Empêcher l'accès à Parameter Store APIopérations - AWS Systems Manager
ssm:Overwrite: Empêcher la modification des paramètres existantsssm:Policies: empêcher la création ou la mise à jour de paramètres utilisant une politique de paramètresssm:Recursive: Empêcher l'accès aux niveaux dans un paramètre hiérarchique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Empêcher l'accès à Parameter Store APIopérations

En utilisant les conditions spécifiques aux services prises en charge par les politiques de Systems Manager for AWS Identity and Access Management (IAM), vous pouvez explicitement autoriser ou refuser l'accès à Parameter Store APIopérations et contenu. En utilisant ces conditions, vous pouvez autoriser uniquement certaines IAM entités (utilisateurs et rôles) de votre organisation à effectuer certaines API actions, ou empêcher certaines IAM entités de les exécuter. Cela inclut les actions menées par le biais du Parameter Store console, le AWS Command Line Interface (AWS CLI), etSDKs.

Systems Manager prend actuellement en charge trois conditions spécifiques à Parameter Store.

ssm:Overwrite: Empêcher la modification des paramètres existants

Utilisez la ssm:Overwrite condition pour contrôler si IAM les entités peuvent mettre à jour les paramètres existants.

Dans l'exemple de politique suivant, la "Allow" déclaration autorise la création de paramètres en exécutant l'PutParameterAPIopération dans le Compte AWS 123456789012 dans la région USA Est (Ohio) (us-east-2).

Toutefois, l'"Deny"instruction empêche les entités de modifier les valeurs des paramètres existants car l'Overwriteoption est explicitement refusée pour l'PutParameteropération. Par conséquent, les entités auxquelles cette politique est affectée peuvent créer des paramètres, mais pas modifier les paramètres existants.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:PutParameter"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Overwrite": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        }
    ]
}

ssm:Policies: empêcher la création ou la mise à jour de paramètres utilisant une politique de paramètres

Utilisez la ssm:Policies condition pour contrôler si les entités peuvent créer des paramètres qui incluent une politique de paramètres et mettre à jour les paramètres existants qui incluent une politique de paramètres.

Dans l'exemple de politique suivant, l'"Allow"instruction accorde l'autorisation générale de créer des paramètres, mais elle empêche les "Deny" entités de créer ou de mettre à jour des paramètres qui incluent une politique de paramètres dans le Compte AWS 123456789012 dans la région USA Est (Ohio) (us-east-2). Les entités peuvent toujours créer ou mettre à jour des paramètres auxquels aucune politique de paramètres n'est affectée.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:PutParameter"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Policies": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        }
    ]
}

ssm:Recursive: Empêcher l'accès aux niveaux dans un paramètre hiérarchique

Utilisez la ssm:Recursive condition pour contrôler si IAM les entités peuvent afficher ou référencer des niveaux dans un paramètre hiérarchique. Vous pouvez fournir ou restreindre l'accès à tous les paramètres au-delà d'un niveau spécifique d'une hiérarchie.

Dans l'exemple de politique suivant, l'"Allow"instruction donne accès à Parameter Store opérations sur tous les paramètres du chemin /Code/Departments/Finance/* du Compte AWS 123456789012 dans la région USA Est (Ohio) (us-east-2).

Ensuite, l'"Deny"instruction empêche les IAM entités de visualiser ou de récupérer les données de paramètres au niveau ou inférieur à. /Code/Departments/* Les entités peuvent toutefois toujours créer ou mettre à jour des paramètres dans ce chemin. L'exemple a été conçu pour illustrer le fait que le refus récursif d'accès en dessous d'un certain niveau dans une hiérarchie de paramètres a priorité sur un accès plus permissif dans la même politique.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:*"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Recursive": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/Code/Departments/*"
        }
    ]
}
Important

Si un utilisateur a accès à un chemin, il peut accéder à tous les niveaux de ce chemin. Par exemple, si un utilisateur a l'autorisation d'accéder à un chemin /a, il peut également accéder à /a/b. Cela est vrai sauf si l'accès au paramètre IAM for a été explicitement refusé à l'utilisateur/b, comme illustré ci-dessus.