Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tindakan, sumber daya, dan kunci kondisi untuk AWS Systems Manager
AWS Systems Manager (awalan layanan:ssm) menyediakan sumber daya, tindakan, dan kunci konteks kondisi khusus layanan berikut untuk digunakan dalam IAM kebijakan izin.
Referensi:
-
Pelajari cara mengonfigurasi layanan ini.
-
Lihat daftar APIoperasi yang tersedia untuk layanan ini.
-
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan IAM izin.
Topik
Tindakan yang ditentukan oleh AWS Systems Manager
Anda dapat menentukan tindakan berikut dalam Action elemen pernyataan IAM kebijakan. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Ketika Anda menggunakan tindakan dalam kebijakan, Anda biasanya mengizinkan atau menolak akses ke API operasi atau CLI perintah dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom menyertakan jenis sumber daya, maka Anda dapat menentukan ARN jenis itu dalam pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam IAM kebijakan, Anda harus menyertakan pola ARN atau untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.
Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.
catatan
Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.
Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.
| Tindakan | Deskripsi | Tingkat akses | Jenis sumber daya (*diperlukan) | Kunci syarat | Tindakan bergantung |
|---|---|---|---|---|---|
| AddTagsToResource | Memberikan izin untuk menambah atau menimpa satu atau beberapa tag untuk sumber daya tertentu AWS | Penandaan | |||
| AssociateOpsItemRelatedItem | Memberikan izin untuk berasosiasi RelatedItem dengan OpsItem | Tulis | |||
| CancelCommand | Memberikan izin untuk membatalkan perintah Run Command yang ditentukan | Tulis | |||
| CancelMaintenanceWindowExecution | Memberikan izin untuk membatalkan eksekusi jendela pemeliharaan yang sedang berlangsung | Tulis | |||
| CreateActivation | Memberikan izin untuk membuat aktivasi yang digunakan untuk mendaftarkan server lokal dan mesin virtual (VMs) dengan Systems Manager | Tulis | |||
| CreateAssociation | Memberikan izin untuk mengaitkan dokumen Systems Manager tertentu dengan instance tertentu atau target lainnya | Tulis | |||
| CreateAssociationBatch | Memberikan izin untuk menggabungkan entri untuk beberapa CreateAssociation operasi dalam satu perintah | Tulis | |||
| CreateDocument | Memberikan izin untuk membuat dokumen Systems Manager SSM | Tulis |
iam:PassRole |
||
| CreateMaintenanceWindow | Memberikan izin untuk membuat jendela pemeliharaan | Tulis | |||
| CreateOpsItem | Memberikan izin untuk membuat in OpsItem OpsCenter | Tulis | |||
| CreateOpsMetadata | Memberikan izin untuk membuat OpsMetadata objek untuk sumber daya AWS | Tulis | |||
| CreatePatchBaseline | Memberikan izin untuk membuat baseline patch | Tulis | |||
| CreateResourceDataSync | Memberikan izin untuk membuat konfigurasi sinkronisasi data sumber daya, yang secara teratur mengumpulkan data inventaris dari instans terkelola dan memperbarui data dalam bucket Amazon S3 | Tulis | |||
| DeleteActivation | Memberikan izin untuk menghapus aktivasi tertentu untuk instance terkelola | Tulis | |||
| DeleteAssociation | Memberikan izin untuk memisahkan SSM dokumen tertentu dari contoh tertentu | Tulis | |||
| DeleteDocument | Memberikan izin untuk menghapus SSM dokumen tertentu dan asosiasi instance-nya | Tulis | |||
| DeleteInventory | Memberikan izin untuk menghapus jenis inventaris kustom tertentu, atau data yang terkait dengan jenis inventaris kustom | Tulis | |||
| DeleteMaintenanceWindow | Memberikan izin untuk menghapus jendela pemeliharaan tertentu | Tulis | |||
| DeleteOpsItem | Memberikan izin untuk menghapus OpsItem | Tulis | |||
| DeleteOpsMetadata | Memberikan izin untuk menghapus objek OpsMetadata | Tulis | |||
| DeleteParameter | Memberikan izin untuk menghapus parameter tertentu SSM | Tulis | |||
| DeleteParameters | Memberikan izin untuk menghapus beberapa parameter tertentu SSM | Tulis | |||
| DeletePatchBaseline | Memberikan izin untuk menghapus baseline patch tertentu | Tulis | |||
| DeleteResourceDataSync | Memberikan izin untuk menghapus sinkronisasi data sumber daya tertentu | Tulis | |||
| DeleteResourcePolicy | Memberikan izin untuk menghapus kebijakan sumber daya Systems Manager | Manajemen izin | |||
| DeregisterManagedInstance | Memberikan izin untuk membatalkan pendaftaran server lokal atau mesin virtual (VM) tertentu dari Systems Manager | Tulis | |||
| DeregisterPatchBaselineForPatchGroup | Memberikan izin untuk membatalkan pendaftaran baseline patch tertentu dari menjadi baseline patch default untuk grup patch tertentu | Tulis | |||
| DeregisterTargetFromMaintenanceWindow | Memberikan izin untuk membatalkan pendaftaran target tertentu dari jendela pemeliharaan | Tulis | |||
| DeregisterTaskFromMaintenanceWindow | Memberikan izin untuk membatalkan pendaftaran tugas tertentu dari jendela pemeliharaan | Tulis | |||
| DescribeActivations | Memberikan izin untuk melihat detail tentang aktivasi instans terkelola tertentu, seperti saat dibuat dan jumlah instance yang terdaftar menggunakan aktivasi | Baca | |||
| DescribeAssociation | Memberikan izin untuk melihat detail tentang asosiasi yang ditentukan untuk instance atau target tertentu | Baca | |||
| DescribeAssociationExecutionTargets | Memberikan izin untuk melihat informasi tentang eksekusi asosiasi tertentu | Baca | |||
| DescribeAssociationExecutions | Memberikan izin untuk melihat semua eksekusi untuk asosiasi tertentu | Baca | |||
| DescribeAutomationExecutions | Memberikan izin untuk melihat detail tentang semua eksekusi Otomasi yang aktif dan dihentikan | Baca | |||
| DescribeAutomationStepExecutions | Memberikan izin untuk melihat informasi tentang semua eksekusi langkah yang aktif dan dihentikan dalam alur kerja Otomasi | Baca | |||
| DescribeAvailablePatches | Memberikan izin untuk melihat semua tambalan yang memenuhi syarat untuk disertakan dalam baseline patch | Baca | |||
| DescribeDocument | Memberikan izin untuk melihat detail tentang dokumen tertentu SSM | Baca | |||
| DescribeDocumentParameters | Memberikan izin untuk menampilkan informasi tentang parameter SSM dokumen di konsol Systems Manager (tindakan Systems Manager internal) | Baca | |||
| DescribeDocumentPermission | Memberikan izin untuk melihat izin untuk dokumen tertentu SSM | Baca | |||
| DescribeEffectiveInstanceAssociations | Memberikan izin untuk melihat semua asosiasi saat ini untuk instance tertentu | Baca | |||
| DescribeEffectivePatchesForPatchBaseline | Memberikan izin untuk melihat detail tentang tambalan yang saat ini terkait dengan baseline patch yang ditentukan (hanya Windows) | Baca | |||
| DescribeInstanceAssociationsStatus | Memberikan izin untuk melihat status asosiasi untuk contoh tertentu | Baca | |||
| DescribeInstanceInformation | Memberikan izin untuk melihat detail tentang contoh tertentu | Baca | |||
| DescribeInstancePatchStates | Memberikan izin untuk melihat detail status tentang tambalan pada instance tertentu | Baca | |||
| DescribeInstancePatchStatesForPatchGroup | Memberikan izin untuk mendeskripsikan status patch tingkat tinggi untuk instance dalam grup patch yang ditentukan | Baca | |||
| DescribeInstancePatches | Memberikan izin untuk melihat detail umum tentang tambalan pada instance tertentu | Baca | |||
| DescribeInstanceProperties | Memberikan izin kepada EC2 konsol Amazon pengguna untuk merender node instans terkelola | Baca | |||
| DescribeInventoryDeletions | Memberikan izin untuk melihat detail tentang penghapusan inventaris tertentu | Baca | |||
| DescribeMaintenanceWindowExecutionTaskInvocations | Memberikan izin untuk melihat detail eksekusi tugas tertentu untuk jendela pemeliharaan | Daftar | |||
| DescribeMaintenanceWindowExecutionTasks | Memberikan izin untuk melihat detail tentang tugas yang dijalankan selama eksekusi jendela pemeliharaan tertentu | Daftar | |||
| DescribeMaintenanceWindowExecutions | Memberikan izin untuk melihat eksekusi jendela pemeliharaan tertentu | Daftar | |||
| DescribeMaintenanceWindowSchedule | Memberikan izin untuk melihat detail tentang eksekusi yang akan datang dari jendela pemeliharaan tertentu | Daftar | |||
| DescribeMaintenanceWindowTargets | Memberikan izin untuk melihat daftar target yang terkait dengan jendela pemeliharaan tertentu | Daftar | |||
| DescribeMaintenanceWindowTasks | Memberikan izin untuk melihat daftar tugas yang terkait dengan jendela pemeliharaan tertentu | Daftar | |||
| DescribeMaintenanceWindows | Memberikan izin untuk melihat informasi tentang semua atau jendela pemeliharaan tertentu | Daftar | |||
| DescribeMaintenanceWindowsForTarget | Memberikan izin untuk melihat informasi tentang target jendela pemeliharaan dan tugas yang terkait dengan instance tertentu | Daftar | |||
| DescribeOpsItems | Memberikan izin untuk melihat detail tentang yang ditentukan OpsItems | Baca | |||
| DescribeParameters | Memberikan izin untuk melihat detail tentang parameter tertentu SSM | Daftar | |||
| DescribePatchBaselines | Memberikan izin untuk melihat informasi tentang baseline patch yang memenuhi kriteria yang ditentukan | Daftar | |||
| DescribePatchGroupState | Memberikan izin untuk melihat detail status agregat untuk tambalan untuk grup tambalan tertentu | Daftar | |||
| DescribePatchGroups | Memberikan izin untuk melihat informasi tentang baseline patch untuk grup patch tertentu | Daftar | |||
| DescribePatchProperties | Memberikan izin untuk melihat rincian patch yang tersedia untuk sistem operasi tertentu dan properti patch | Daftar | |||
| DescribeSessions | Memberikan izin untuk melihat daftar sesi Pengelola Sesi terbaru yang memenuhi kriteria pencarian yang ditentukan | Daftar | |||
| DisassociateOpsItemRelatedItem | Memberikan izin untuk memisahkan RelatedItem diri dari OpsItem | Tulis | |||
| ExecuteAPI | Memberikan izin kepada administrator yang didelegasikan Systems Manager untuk melihat detail sumber daya terkait OpsItems di beberapa AWS akun di AWS Management Console | Baca | |||
| GetAutomationExecution | Memberikan izin untuk melihat detail eksekusi Otomasi tertentu | Baca | |||
| GetCalendar[hanya izin] | Memberikan izin untuk melihat detail kalender tertentu | Baca | |||
| GetCalendarState | Memberikan izin untuk melihat status kalender untuk kalender perubahan atau daftar kalender perubahan | Baca | |||
| GetCommandInvocation | Memberikan izin untuk melihat detail tentang eksekusi perintah dari pemanggilan atau plugin tertentu | Baca | |||
| GetConnectionStatus | Memberikan izin untuk melihat status koneksi Manajer Sesi untuk instance terkelola tertentu | Baca | |||
| GetDefaultPatchBaseline | Memberikan izin untuk melihat baseline patch default saat ini untuk jenis sistem operasi tertentu | Baca | |||
| GetDeployablePatchSnapshotForInstance | Memberikan izin untuk mengambil snapshot dasar patch saat ini untuk instance tertentu | Baca | |||
| GetDocument | Memberikan izin untuk melihat isi dokumen tertentu SSM | Baca | |||
| GetExecutionPreview | Memberikan izin untuk mengambil pratinjau yang ada yang menunjukkan efek yang akan dimiliki menjalankan runbook Otomasi tertentu pada sumber daya yang ditargetkan | Baca | |||
| GetInventory | Memberikan izin untuk melihat detail inventaris instance sesuai kriteria yang ditentukan | Baca | |||
| GetInventorySchema | Memberikan izin untuk melihat daftar jenis inventaris atau nama atribut untuk jenis item inventaris tertentu | Baca | |||
| GetMaintenanceWindow | Memberikan izin untuk melihat detail tentang jendela pemeliharaan yang ditentukan | Baca | |||
| GetMaintenanceWindowExecution | Memberikan izin untuk melihat detail tentang eksekusi jendela pemeliharaan tertentu | Baca | |||
| GetMaintenanceWindowExecutionTask | Memberikan izin untuk melihat detail tentang tugas eksekusi jendela pemeliharaan tertentu | Baca | |||
| GetMaintenanceWindowExecutionTaskInvocation | Memberikan izin untuk melihat detail tentang tugas jendela pemeliharaan tertentu yang berjalan pada target tertentu | Baca | |||
| GetMaintenanceWindowTask | Memberikan izin untuk melihat detail tentang tugas yang terdaftar dengan jendela pemeliharaan tertentu | Baca | |||
| GetManifest[hanya izin] | Memberikan izin kepada Systems Manager dan SSM Agen untuk menentukan persyaratan instalasi paket untuk sebuah instans (panggilan Systems Manager internal) | Baca | |||
| GetOpsItem | Memberikan izin untuk melihat informasi tentang yang ditentukan OpsItem | Baca | |||
| GetOpsMetadata | Memberikan izin untuk mengambil objek OpsMetadata | Baca | |||
| GetOpsSummary | Memberikan izin untuk melihat informasi ringkasan OpsItems berdasarkan filter dan agregator yang ditentukan | Baca | |||
| GetParameter | Memberikan izin untuk melihat informasi tentang parameter tertentu | Baca | |||
| GetParameterHistory | Memberikan izin untuk melihat detail dan perubahan untuk parameter tertentu | Baca | |||
| GetParameters | Memberikan izin untuk melihat informasi tentang beberapa parameter tertentu | Baca | |||
| GetParametersByPath | Memberikan izin untuk melihat informasi tentang parameter dalam hierarki tertentu | Baca | |||
| GetPatchBaseline | Memberikan izin untuk melihat informasi tentang baseline patch tertentu | Baca | |||
| GetPatchBaselineForPatchGroup | Memberikan izin untuk melihat ID dari baseline patch saat ini untuk grup patch tertentu | Baca | |||
| GetResourcePolicies | Memberikan izin untuk mengambil daftar kebijakan sumber daya Systems Manager | Daftar | |||
| GetServiceSetting | Memberikan izin untuk melihat setelan tingkat akun untuk layanan AWS | Baca | |||
| LabelParameterVersion | Memberikan izin untuk menerapkan label identifikasi ke versi parameter tertentu | Tulis | |||
| ListAssociationVersions | Memberikan izin untuk membuat daftar versi asosiasi yang ditentukan | Daftar | |||
| ListAssociations | Memberikan izin untuk mencantumkan asosiasi untuk SSM dokumen tertentu atau contoh terkelola | Daftar | |||
| ListCommandInvocations | Memberikan izin untuk mencantumkan informasi tentang pemanggilan perintah yang dikirim ke instance tertentu | Daftar | |||
| ListCommands | Memberikan izin untuk membuat daftar perintah yang dikirim ke instance tertentu | Daftar | |||
| ListComplianceItems | Memberikan izin untuk mencantumkan status kepatuhan untuk jenis sumber daya tertentu pada sumber daya tertentu | Daftar | |||
| ListComplianceSummaries | Memberikan izin untuk mencantumkan jumlah ringkasan sumber daya yang sesuai dan tidak sesuai untuk jenis kepatuhan tertentu | Daftar | |||
| ListDocumentMetadataHistory | Memberikan izin untuk melihat riwayat metadata tentang dokumen tertentu SSM | Daftar | |||
| ListDocumentVersions | Memberikan izin untuk membuat daftar semua versi dokumen tertentu | Daftar | |||
| ListDocuments | Memberikan izin untuk melihat informasi tentang dokumen tertentu SSM | Daftar | |||
| ListInstanceAssociations | Memberikan izin kepada SSM Agen untuk memeriksa asosiasi State Manager baru (panggilan Systems Manager internal) | Daftar | |||
| ListInventoryEntries | Memberikan izin untuk melihat daftar jenis inventaris tertentu untuk contoh tertentu | Daftar | |||
| ListNodes | Memberikan izin untuk melihat detail tentang node terkelola berdasarkan filter yang ditentukan | Daftar | |||
| ListNodesSummary | Memberikan izin untuk melihat informasi ringkasan tentang node terkelola berdasarkan filter dan agregator yang ditentukan | Daftar | |||
| ListOpsItemEvents | Memberikan izin untuk melihat detail tentang OpsItemEvents | Daftar | |||
| ListOpsItemRelatedItems | Memberikan izin untuk melihat detail tentang OpsItem RelatedItems | Daftar | |||
| ListOpsMetadata | Memberikan izin untuk melihat daftar objek OpsMetadata | Daftar | |||
| ListResourceComplianceSummaries | Memberikan izin untuk mencantumkan jumlah ringkasan tingkat sumber daya | Daftar | |||
| ListResourceDataSync | Memberikan izin untuk mencantumkan informasi tentang konfigurasi sinkronisasi data sumber daya di akun | Daftar | |||
| ListTagsForResource | Memberikan izin untuk melihat daftar tag sumber daya untuk sumber daya tertentu | Daftar | |||
| ModifyDocumentPermission | Memberikan izin untuk membagikan SSM dokumen kustom secara publik atau pribadi dengan akun tertentu AWS | Manajemen izin | |||
| PutCalendar[hanya izin] | Memberikan izin untuk membuat/mengedit kalender tertentu | Tulis | |||
| PutComplianceItems | Memberikan izin untuk mendaftarkan jenis kepatuhan dan detail kepatuhan lainnya pada sumber daya tertentu | Tulis | |||
| PutConfigurePackageResult[hanya izin] | Memberikan izin kepada SSM Agen untuk membuat laporan hasil permintaan agen tertentu (panggilan internal Systems Manager) | Baca | |||
| PutInventory | Memberikan izin untuk menambah atau memperbarui item inventaris pada beberapa instance terkelola yang ditentukan | Tulis | |||
| PutParameter | Memberikan izin untuk membuat parameter SSM | Tulis | |||
| PutResourcePolicy | Memberikan izin untuk membuat atau memperbarui kebijakan sumber daya Systems Manager | Manajemen izin | |||
| RegisterDefaultPatchBaseline | Memberikan izin untuk menentukan baseline patch default untuk jenis sistem operasi | Tulis | |||
| RegisterManagedInstance | Memberikan izin untuk mendaftarkan Agen Systems Manager | Tulis | |||
| RegisterPatchBaselineForPatchGroup | Memberikan izin untuk menentukan baseline patch default untuk grup patch tertentu | Tulis | |||
| RegisterTargetWithMaintenanceWindow | Memberikan izin untuk mendaftarkan target dengan jendela pemeliharaan yang ditentukan | Tulis | |||
| RegisterTaskWithMaintenanceWindow | Memberikan izin untuk mendaftarkan tugas dengan jendela pemeliharaan yang ditentukan | Tulis | |||
| RemoveTagsFromResource | Memberikan izin untuk menghapus kunci tag tertentu dari sumber daya tertentu | Penandaan | |||
| ResetServiceSetting | Memberikan izin untuk mengatur ulang setelan layanan Akun AWS untuk nilai default | Tulis | |||
| ResumeSession | Memberikan izin untuk menghubungkan kembali sesi Manajer Sesi ke instans terkelola | Tulis | |||
| SendAutomationSignal | Memberikan izin untuk mengirim sinyal untuk mengubah perilaku saat ini atau status eksekusi Otomasi tertentu | Tulis | |||
| SendCommand | Memberikan izin untuk menjalankan perintah pada satu atau beberapa instance terkelola yang ditentukan | Tulis | |||
| StartAssociationsOnce | Memberikan izin untuk menjalankan asosiasi tertentu secara manual | Tulis | |||
| StartAutomationExecution | Memberikan izin untuk memulai eksekusi dokumen Otomasi | Tulis | |||
| StartChangeRequestExecution | Memberikan izin untuk memulai eksekusi dokumen Automation Change Template | Tulis | |||
| StartExecutionPreview | Memberikan izin untuk membuat pratinjau yang menunjukkan efek yang akan dimiliki oleh menjalankan runbook Otomasi tertentu pada sumber daya yang ditargetkan | Baca | |||
| StartSession | Memberikan izin untuk memulai koneksi ke target tertentu untuk sesi Manajer Sesi | Tulis | |||
| StopAutomationExecution | Memberikan izin untuk menghentikan eksekusi Otomasi tertentu yang sudah berlangsung | Tulis | |||
| TerminateSession | Memberikan izin untuk mengakhiri koneksi Session Manager secara permanen ke sebuah instans | Tulis | |||
| UnlabelParameterVersion | Memberikan izin untuk menghapus label pengenal dari versi parameter tertentu | Tulis | |||
| UpdateAssociation | Memberikan izin untuk memperbarui asosiasi dan segera menjalankan asosiasi pada target yang ditentukan | Tulis | |||
| UpdateAssociationStatus | Memberikan izin untuk memperbarui status SSM dokumen yang terkait dengan instance tertentu | Tulis | |||
| UpdateDocument | Memberikan izin untuk memperbarui satu atau beberapa nilai untuk dokumen SSM | Tulis | |||
| UpdateDocumentDefaultVersion | Memberikan izin untuk mengubah versi default dokumen SSM | Tulis | |||
| UpdateDocumentMetadata | Memberikan izin untuk memperbarui metadata dokumen SSM | Tulis | |||
| UpdateInstanceAssociationStatus[hanya izin] | Memberikan izin kepada SSM Agen untuk memperbarui status asosiasi yang sedang dijalankan (panggilan Systems Manager internal) | Tulis | |||
| UpdateInstanceInformation | Memberikan izin kepada SSM Agen untuk mengirim sinyal detak jantung ke layanan Systems Manager di cloud | Tulis | |||
| UpdateMaintenanceWindow | Memberikan izin untuk memperbarui jendela pemeliharaan tertentu | Tulis | |||
| UpdateMaintenanceWindowTarget | Memberikan izin untuk memperbarui target jendela pemeliharaan yang ditentukan | Tulis | |||
| UpdateMaintenanceWindowTask | Memberikan izin untuk memperbarui tugas jendela pemeliharaan yang ditentukan | Tulis | |||
| UpdateManagedInstanceRole | Memberikan izin untuk menetapkan atau mengubah IAM peran yang ditetapkan ke instans terkelola tertentu | Tulis | |||
| UpdateOpsItem | Memberikan izin untuk mengedit atau mengubah OpsItem | Tulis | |||
| UpdateOpsMetadata | Memberikan izin untuk memperbarui objek OpsMetadata | Tulis | |||
| UpdatePatchBaseline | Memberikan izin untuk memperbarui baseline patch tertentu | Tulis | |||
| UpdateResourceDataSync | Memberikan izin untuk memperbarui sinkronisasi data sumber daya | Tulis | |||
| UpdateServiceSetting | Memberikan izin untuk memperbarui setelan layanan untuk Akun AWS | Tulis |
Jenis sumber daya yang ditentukan oleh AWS Systems Manager
Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam Resource elemen pernyataan kebijakan IAM izin. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.
catatan
Beberapa API parameter State Manager tidak digunakan lagi. Ini mungkin menyebabkan perilaku yang tidak terduga. Untuk informasi selengkapnya, lihat Bekerja dengan asosiasi menggunakan IAM.
| Jenis sumber daya | ARN | Kunci syarat |
|---|---|---|
| association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
| automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
| automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
| iam-role |
arn:${Partition}:iam::${Account}:role/${RoleName}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
| maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
| managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
| managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
| opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
| opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
| opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
| parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
| patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
| session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
| resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
| servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
| windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
| windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
Kunci kondisi untuk AWS Systems Manager
AWS Systems Manager mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen IAM kebijakan. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.
| Kunci syarat | Deskripsi | Jenis |
|---|---|---|
| aws:RequestTag/${TagKey} | Memfilter akses dengan permintaan 'Buat' berdasarkan kumpulan nilai yang diizinkan untuk tag tertentu | String |
| aws:ResourceTag/${TagKey} | Memfilter akses berdasarkan pasangan nilai kunci tag yang ditetapkan ke sumber daya AWS | String |
| aws:TagKeys | Memfilter akses dengan permintaan 'Buat' berdasarkan apakah tag wajib disertakan dalam permintaan | ArrayOfString |
| ec2:SourceInstanceARN | Memfilter akses berdasarkan contoh dari mana permintaan berasal ARN | ARN |
| ssm:AutoApprove | Memfilter akses dengan memverifikasi bahwa pengguna memiliki izin untuk memulai alur kerja Change Manager tanpa langkah peninjauan (dengan pengecualian peristiwa pembekuan perubahan) | Bool |
| ssm:DocumentCategories | Memfilter akses dengan memverifikasi bahwa pengguna memiliki izin untuk mengakses dokumen milik kategori tertentu enum | ArrayOfString |
| ssm:Overwrite | Memfilter akses dengan mengontrol apakah parameter Systems Manager dapat ditimpa | String |
| ssm:Policies | Memfilter akses dengan mengontrol apakah IAM Entitas (pengguna atau peran) dapat membuat atau memperbarui parameter yang menyertakan kebijakan parameter | String |
| ssm:Recursive | Memfilter akses oleh parameter Systems Manager yang dibuat dalam struktur hierarkis | String |
| ssm:SourceInstanceARN | Memfilter akses dengan memverifikasi Amazon Resource Name (ARN) dari instans terkelola Manajer AWS Sistem tempat permintaan dibuat. Kunci ini tidak ada saat permintaan berasal dari instance terkelola yang diautentikasi dengan IAM peran yang terkait dengan profil EC2 instance | ARN |
| ssm:SyncType | Memfilter akses dengan memverifikasi bahwa pengguna juga memiliki akses ke ResourceDataSync SyncType yang ditentukan dalam permintaan | String |
| ssm:resourceTag/${TagKey} | Memfilter akses dengan pasangan nilai kunci tag yang ditetapkan ke sumber daya Systems Manager | String |
| ssm:resourceTag/aws:ssmmessages:session-id | Memfilter akses berdasarkan pasangan nilai kunci tag yang ditetapkan ke sumber daya sesi Systems Manager | String |
| ssm:resourceTag/aws:ssmmessages:target-id | Memfilter akses berdasarkan pasangan nilai kunci tag yang ditetapkan ke sumber daya sesi Systems Manager | String |
| ssm:resourceTag/tag-key | Memfilter akses berdasarkan pasangan nilai kunci tag yang ditetapkan ke sumber daya Systems Manager | String |
