Bagaimana AWS Systems Manager bekerja dengan IAM - AWS Systems Manager
Systems Manager kebijakan berbasis identitasSystems Manager kebijakan berbasis sumber dayaOtorisasi berdasarkan Systems Manager tagSystems Manager IAMperan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana AWS Systems Manager bekerja dengan IAM

Sebelum Anda menggunakan AWS Identity and Access Management (IAM) untuk mengelola akses ke AWS Systems Manager, Anda harus memahami IAM fitur apa yang tersedia untuk digunakan dengan Systems Manager. Untuk mendapatkan pandangan tingkat tinggi tentang bagaimana Systems Manager dan Layanan AWS pekerjaan lain denganIAM, lihat Layanan AWS yang bekerja dengan IAM di Panduan IAM Pengguna.

Systems Manager kebijakan berbasis identitas

Dengan kebijakan IAM berbasis identitas, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak serta kondisi di mana tindakan diizinkan atau ditolak. Systems Manager mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam JSON kebijakan, lihat referensi elemen IAM JSON kebijakan di Panduan IAM Pengguna.

Tindakan

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

ActionElemen JSON kebijakan menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan AWS API operasi terkait. Ada beberapa pengecualian, seperti tindakan khusus izin yang tidak memiliki operasi yang cocok. API Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Menyertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Tindakan kebijakan di Systems Manager gunakan awalan berikut sebelum tindakan:ssm:. Misalnya, untuk memberikan izin kepada seseorang untuk membuat Systems Manager parameter (SSMparameter) dengan Systems Manager PutParameterAPIoperasi, Anda memasukkan ssm:PutParameter tindakan dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Systems Manager mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan tindakan-tindakan tersebut menggunakan koma seperti berikut:

"Action": [
      "ssm:action1",
      "ssm:action2"
]
catatan

Kemampuan berikut AWS Systems Manager menggunakan awalan yang berbeda sebelum tindakan.

  • AWS AppConfig menggunakan awalan appconfig: sebelum tindakan.

  • Manajer Insiden menggunakan awalan ssm-incidents: atau ssm-contacts: sebelum tindakan.

  • Systems Manager GUI Connect menggunakan awalan ssm-guiconnect: sebelum tindakan.

  • Quick Setup menggunakan awalan ssm-quicksetup: sebelum tindakan.

Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:

"Action": "ssm:Describe*"

Untuk melihat daftar Systems Manager tindakan, lihat Tindakan yang Ditentukan oleh AWS Systems Managerdalam Referensi Otorisasi Layanan.

Sumber daya

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

Elemen Resource JSON kebijakan menentukan objek atau objek yang tindakan tersebut berlaku. Pernyataan harus menyertakan elemen Resource atau NotResource. Sebagai praktik terbaik, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

"Resource": "*"

Sebagai contoh, Systems Manager sumber daya jendela pemeliharaan memiliki ARN format berikut.

arn:aws:ssm:region:account-id:maintenancewindow/window-id

Untuk menentukan jendela EXAMPLE pemeliharaan mw-0c50858d01 dalam pernyataan Anda di Wilayah AS Timur (Ohio), Anda akan menggunakan yang serupa dengan yang berikut ini. ARN

"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"

Untuk menentukan semua windowa pemeliharaan milik akun tertentu, gunakan wildcard (*).

"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"

Untuk Parameter Store API operasi, Anda dapat menyediakan atau membatasi akses ke semua parameter dalam satu tingkat hierarki dengan menggunakan nama hierarkis dan AWS Identity and Access Management (IAM) kebijakan sebagai berikut.

"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"

Beberapa Systems Manager tindakan, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).

"Resource": "*"

Beberapa Systems Manager APIoperasi menerima banyak sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma sebagai berikut.

"Resource": [
      "resource1",
      "resource2"
catatan

Sebagian besar Layanan AWS memperlakukan titik dua (:) atau garis miring (/) sebagai karakter yang sama diARNs. Namun, Systems Manager membutuhkan kecocokan yang tepat dalam pola dan aturan sumber daya. Saat membuat pola acara, pastikan untuk menggunakan ARN karakter yang benar sehingga cocok dengan sumber dayaARN.

Tabel di bawah ini menjelaskan ARN format untuk jenis sumber daya yang didukung oleh Systems Manager.

catatan

Perhatikan pengecualian berikut untuk ARN format.

  • Kemampuan berikut AWS Systems Manager menggunakan awalan yang berbeda sebelum tindakan.

    • AWS AppConfig menggunakan awalan appconfig: sebelum tindakan.

    • Manajer Insiden menggunakan awalan ssm-incidents: atau ssm-contacts: sebelum tindakan.

    • Systems Manager GUI Connect menggunakan awalan ssm-guiconnect sebelum tindakan.

  • Dokumen dan sumber daya definisi otomatisasi yang dimiliki oleh Amazon, serta parameter publik yang disediakan oleh Amazon dan sumber pihak ketiga, tidak menyertakan akun IDs dalam ARN formatnya. Sebagai contoh:

    • SSMDokumenAWS-RunPatchBaseline:

      arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline

    • Runbook AWS-ConfigureMaintenanceWindows otomatisasi:

      arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows

    • Parameter publik/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version:

      arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version

    Untuk informasi selengkapnya tentang ketiga jenis sumber daya ini, lihat topik berikut:

  • Quick Setup menggunakan awalan ssm-quicksetup: sebelum tindakan.

Jenis sumber daya ARNformat
Aplikasi (AWS AppConfig) arn:aws:appconfig:region:account-id:aplikasi/application-id
Asosiasi arn:aws:ssm:region:account-id:asosiasi/association-id
Eksekusi otomatisasi arn:aws:ssm:region:account-id:otomasi-eksekusi/automation-execution-id
Definisi otomatisasi (dengan versi subsumber daya)

arn:aws:ssm:region:account-id:automasi-definisi/automation-definition-id:version-id Footnote callout 1 to explain a line in a JSON policy
Profil konfigurasi (AWS AppConfig) arn:aws:appconfig:region:account-id:aplikasi/application-id/configurationprofile/configurationprofile-id
Kontak (Manajer Insiden)

arn:aws:ssm-kontak:region:account-id:kontak/contact-alias
Strategi penyebaran ()AWS AppConfig arn:aws:appconfig:region:account-id:strategi penerapan/deploymentstrategy-id
Dokumen

arn:aws:ssm:region:account-id:dokumen/document-name
Lingkungan (AWS AppConfig) arn:aws:appconfig:region:account-id:aplikasi/application-id/lingkungan/environment-id
Insiden

arn:aws:ssm-insiden:region:account-id:catatan insiden/response-plan-name/incident-id
Periode pemeliharaan

arn:aws:ssm:region:account-id:jendela pemeliharaan/window-id
Node terkelola

arn:aws:ssm:region:account-id:instans terkelola/managed-node-id
Inventaris simpul terkelola arn:aws:ssm:region:account-id:managed-instance-inventory/managed-node-id
OpsItem arn:aws:ssm:region:account-id:opsitem/OpsItem-id
Parameter

Parameter satu tingkat:

  • arn:aws:ssm:region:account-id:Parameter/parameter-name/

Parameter bernama dengan konstruksi hierarkis:

  • arn:aws:ssm:region:account-id:Parameter/parameter-name-root/level-2/level-3/level-4/level-5 Footnote callout 2 to explain a line in a JSON policy
Garis dasar patch

arn:aws:ssm:region:account-id:patchbaseline/patch-baseline-id

Rencana respons

arn:aws:ssm-insiden:region:account-id:tanggapan-rencana/response-plan-name
Sesi

arn:aws:ssm:region:account-id:sesi/session-id Footnote callout 3 to explain a line in a JSON policy

Semua Systems Manager sumber daya

arn:aws:ssm:*

Semua Systems Manager sumber daya yang dimiliki oleh yang ditentukan Akun AWS dalam yang ditentukan Wilayah AWS

arn:aws:ssm:region:account-id:*

Footnote callout 1 to explain a line in a JSON policyUntuk definisi otomatisasi, Systems Manager mendukung sumber daya tingkat kedua, ID versi. Pada tahun AWS, sumber daya tingkat kedua ini dikenal sebagai subsumber daya. Menentukan versi subsumber daya untuk sumber definisi otomatisasi memungkinkan Anda untuk menyediakan akses ke versi tertentu dari definisi otomatisasi. Misalnya, Anda mungkin ingin memastikan bahwa hanya versi terbaru dari definisi otomatisasi yang digunakan dalam manajemen node Anda.

Footnote callout 2 to explain a line in a JSON policy Untuk mengatur dan mengelola parameter, Anda dapat membuat nama untuk parameter dengan konstruksi hierarkis. Dengan konstruksi hirarkis, nama parameter dapat mencakup jalur yang Anda tentukan dengan menggunakan garis miring ke depan. Anda dapat menyebutkan sumber daya parameter maksimum lima belas tingkat. Kami menyarankan agar Anda membuat hierarki yang mencerminkan struktur hierarkis yang ada di lingkungan Anda. Untuk informasi selengkapnya, lihat Membuat Parameter Store parameter di Systems Manager.

Dalam sebagian besar kasus Footnote callout 3 to explain a line in a JSON policy, ID sesi dibangun menggunakan ID dari pengguna akun yang memulai sesi, ditambah akhiran alfanumerik. Sebagai contoh:

arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE

Namun, jika ID pengguna tidak tersedia, maka akan ARN dibuat dengan cara ini:

arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE

Untuk informasi selengkapnya tentang formatARNs, lihat Amazon Resource Names (ARNs) di Referensi Umum Amazon Web Services.

Untuk daftar Systems Manager jenis sumber daya dan jenisnyaARNs, lihat Sumber Daya yang Ditentukan oleh AWS Systems Managerdalam Referensi Otorisasi Layanan. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat Tindakan yang Ditentukan oleh AWS Systems Manager.

Kunci kondisi untuk Systems Manager

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.

Elemen Condition (atau blok Condition) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.

Jika Anda menentukan beberapa elemen Condition dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama IAM pengguna mereka. Untuk informasi selengkapnya, lihat elemen IAM kebijakan: variabel dan tag di Panduan IAM Pengguna.

AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan IAM Pengguna.

Untuk melihat daftar Systems Manager tombol kondisi, lihat Kunci Kondisi untuk AWS Systems Managerdalam Referensi Otorisasi Layanan. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat Tindakan yang Ditentukan oleh AWS Systems Manager.

Untuk informasi tentang penggunaan kunci kondisi ssm:resourceTag/*, lihat topik berikut:

Untuk informasi tentang menggunakan tombol ssm:Recursivessm:Policies,, dan ssm:Overwrite kondisi, lihatMencegah akses ke Parameter Store APIoperasi.

Contoh

Untuk melihat contoh Systems Manager Kebijakan berbasis identitas, lihat. AWS Systems Manager contoh kebijakan berbasis identitas

Systems Manager kebijakan berbasis sumber daya

Lainnya Layanan AWS, seperti Amazon Simple Storage Service (Amazon S3), mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan izin ke bucket S3 untuk mengelola izin akses ke bucket tersebut.

Systems Manager tidak mendukung kebijakan berbasis sumber daya.

Otorisasi berdasarkan Systems Manager tag

Anda dapat melampirkan tag ke Systems Manager sumber daya atau meneruskan tag dalam permintaan ke Systems Manager. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag dalam elemen kondisi kebijakan menggunakan kuncissm:resourceTag/key-name,aws:ResourceTag/key-name,aws:RequestTag/key-name, atau aws:TagKeys kondisi. Anda dapat menambahkan tag ke jenis sumber daya berikut saat Anda membuat atau memperbaruinya:

  • Dokumen

  • Node terkelola

  • Periode pemeliharaan

  • Parameter

  • Garis dasar patch

  • OpsItem

Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat Melihat Systems Manager dokumen berdasarkan tag.

Systems Manager IAMperan

IAMPeran adalah entitas di dalam Anda Akun AWS yang memiliki izin khusus.

Menggunakan kredensi sementara dengan Systems Manager

Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau untuk mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil AWS Security Token Service (AWS STS) API operasi seperti AssumeRoleatau. GetFederationToken

Systems Manager mendukung menggunakan kredensi sementara.

Peran terkait layanan

Peran terkait layanan memungkinkan Layanan AWS untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan tercantum di IAM akun Anda dan dimiliki oleh layanan. Administrator dapat melihat tetapi tidak dapat mengedit izin untuk peran yang terkait dengan layanan.

Systems Manager mendukung peran terkait layanan. Untuk detail tentang membuat atau mengelola Systems Manager peran terkait layanan, lihat. Menggunakan peran terkait layanan untuk Systems Manager

Peran layanan

Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan ditampilkan di IAM akun Anda dan dimiliki oleh akun. Ini berarti bahwa administrator dapat mengubah izin untuk peran ini. Namun, melakukannya mungkin merusak fungsi layanan.

Systems Manager mendukung peran layanan.

Memilih IAM peran dalam Systems Manager

Untuk Systems Manager untuk berinteraksi dengan node terkelola Anda, Anda harus memilih peran yang akan diizinkan Systems Manager untuk mengakses node atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan atau peran terkait layanan, maka Systems Manager memberi Anda daftar peran untuk dipilih. Penting untuk memilih peran yang memungkinkan akses untuk memulai dan menghentikan node yang dikelola.

Untuk mengakses EC2 instance, Anda harus mengonfigurasi izin instance. Untuk selengkapnya, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.

Untuk mengakses EC2 non-node dalam hybrid dan multicloud, peran yang Anda Akun AWS butuhkan adalah peran IAM layanan. Untuk selengkapnya, lihat Membuat peran IAM layanan yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud.

Alur kerja otomatisasi dapat dimulai di bawah konteks peran layanan (atau peran asumsi). Hal ini mengizinkan layanan untuk kemudian melakukan tindakan atas nama Anda. Jika Anda tidak menentukan peran asumsi, otomatisasi menggunakan konteks pengguna yang dipanggil eksekusi. Namun, situasi tertentu mengharuskan Anda menentukan peran layanan untuk otomatisasi. Untuk informasi selengkapnya, lihat Mengonfigurasi akses peran layanan (peran asumsi) untuk otomatisasi.

AWS Systems Manager kebijakan terkelola

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan IAM kebijakan mandiri yang dibuat dan dikelola oleh AWS. Kebijakan terkelola AWS ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin mana yang diperlukan. (Anda juga dapat membuat IAM kebijakan kustom Anda sendiri untuk mengizinkan izin Systems Manager tindakan dan sumber daya.)

Untuk informasi selengkapnya tentang kebijakan terkelola untuk Systems Manager, lihat AWS kebijakan terkelola untuk AWS Systems Manager

Untuk informasi umum tentang kebijakan terkelola, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.