ssm:Overwrite: Mencegah perubahan pada parameter yang ada ssm:Policies: Mencegah pembuatan atau pembaruan parameter yang menggunakan kebijakan parameter ssm:Recursive: Mencegah akses ke level dalam parameter hierarkis

Mencegah akses ke Parameter Store APIoperasi

Menggunakan kondisi khusus layanan yang didukung oleh kebijakan Systems Manager for AWS Identity and Access Management (IAM), Anda dapat secara eksplisit mengizinkan atau menolak akses ke Parameter Store APIoperasi dan konten. Dengan menggunakan kondisi ini, Anda hanya dapat mengizinkan IAM Entitas tertentu (pengguna dan peran) di organisasi Anda untuk memanggil API tindakan tertentu, atau mencegah IAM Entitas tertentu menjalankannya. Ini termasuk tindakan yang dijalankan melalui Parameter Store konsol, AWS Command Line Interface (AWS CLI), danSDKs.

Systems Manager saat ini mendukung tiga kondisi yang khusus untuk Parameter Store.

Topik

ssm:Overwrite: Mencegah perubahan pada parameter yang ada
ssm:Policies: Mencegah pembuatan atau pembaruan parameter yang menggunakan kebijakan parameter
ssm:Recursive: Mencegah akses ke level dalam parameter hierarkis

`ssm:Overwrite`: Mencegah perubahan pada parameter yang ada

Gunakan ssm:Overwrite kondisi untuk mengontrol apakah IAM Entitas dapat memperbarui parameter yang ada.

Dalam kebijakan sampel berikut, "Allow" pernyataan tersebut memberikan izin untuk membuat parameter dengan menjalankan PutParameter API operasi di Akun AWS 123456789012 di Wilayah Timur AS (Ohio) (us-east-2).

Namun, "Deny" pernyataan tersebut mencegah Entitas mengubah nilai parameter yang ada karena Overwrite opsi tersebut secara eksplisit ditolak untuk operasi. PutParameter Oleh karena itu, Entitas yang ditetapkan kebijakan ini dapat membuat parameter, tetapi tidak membuat perubahan pada parameter yang ada.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:PutParameter"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Overwrite": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        }
    ]
}

`ssm:Policies`: Mencegah pembuatan atau pembaruan parameter yang menggunakan kebijakan parameter

Pengguna ssm:Policies kondisi untuk mengontrol apakah Entitas dapat membuat parameter yang menyertakan kebijakan parameter dan memperbarui parameter yang ada yang menyertakan kebijakan parameter.

Dalam contoh kebijakan berikut, "Allow" pernyataan tersebut memberikan izin umum untuk membuat dan parameter, tetapi "Deny" pernyataan tersebut mencegah Entitas membuat atau memperbarui parameter yang menyertakan kebijakan parameter di Wilayah Akun AWS 123456789012 di Wilayah Timur AS (Ohio) (us-east-2). Entitas masih dapat membuat atau memperbarui parameter yang tidak ditetapkan kebijakan parameter.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:PutParameter"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Policies": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        }
    ]
}

`ssm:Recursive`: Mencegah akses ke level dalam parameter hierarkis

Gunakan ssm:Recursive kondisi untuk mengontrol apakah IAM Entitas dapat melihat atau mereferensikan level dalam parameter hierarkis. Anda dapat memberikan atau membatasi akses ke semua parameter di luar tingkat hierarki tertentu.

Dalam contoh kebijakan berikut, "Allow" pernyataan menyediakan akses ke Parameter Store operasi pada semua parameter di jalur /Code/Departments/Finance/* untuk Akun AWS 123456789012 di Wilayah Timur AS (Ohio) (us-east-2).

Setelah ini, "Deny" pernyataan mencegah IAM Entitas melihat atau mengambil data parameter pada atau di bawah tingkat. /Code/Departments/* Entitas masih dapat, bagaimanapun, masih membuat atau memperbarui parameter di jalur itu. Contoh telah dibuat untuk menggambarkan bahwa menolak akses secara rekursif di bawah tingkat tertentu dalam hierarki parameter lebih diutamakan daripada akses yang lebih permisif dalam kebijakan yang sama.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:*"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Recursive": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/Code/Departments/*"
        }
    ]
}

penting

Jika pengguna memiliki akses ke sebuah jalur, maka pengguna dapat mengakses semua tingkat pada jalur tersebut. Misalnya, jika pengguna memiliki izin untuk mengakses jalur /a, maka pengguna juga bisa mengakses /a/b. Ini benar kecuali pengguna secara eksplisit ditolak aksesnya IAM untuk parameter/b, seperti yang diilustrasikan di atas.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Bekerja dengan hierarki parameter

Bekerja dengan label parameter