Bagaimana AWS Systems Manager bekerja dengan IAM - AWS Systems Manager
Systems Manager kebijakan berbasis identitasSystems Manager kebijakan berbasis sumber dayaOtorisasi berdasarkan Systems Manager tagSystems Manager Peran IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana AWS Systems Manager bekerja dengan IAM

Sebelum Anda menggunakan AWS Identity and Access Management (IAM) untuk mengelola akses AWS Systems Manager, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan Systems Manager. Untuk mendapatkan pandangan tingkat tinggi tentang bagaimana Systems Manager dan Layanan AWS pekerjaan lain dengan IAM, lihat Layanan AWS bahwa bekerja dengan IAM di Panduan Pengguna IAM.

Systems Manager kebijakan berbasis identitas

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak dan ketentuan di mana tindakan tersebut diperbolehkan atau ditolak. Systems Manager mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.

Tindakan

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.

Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya tindakan hanya izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Tindakan kebijakan di Systems Manager gunakan awalan berikut sebelum tindakan:ssm:. Misalnya, untuk memberikan izin kepada seseorang untuk membuat Systems Manager parameter (parameter SSM) dengan Systems Manager PutParameterOperasi API, Anda menyertakan ssm:PutParameter tindakan dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction. Systems Manager mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan tindakan-tindakan tersebut menggunakan koma seperti berikut:

"Action": [
      "ssm:action1",
      "ssm:action2"
]
catatan

Alat-alat berikut AWS Systems Manager menggunakan awalan yang berbeda sebelum tindakan.

  • AWS AppConfig menggunakan awalan appconfig: sebelum tindakan.

  • Manajer Insiden menggunakan awalan ssm-incidents: atau ssm-contacts: sebelum tindakan.

  • Systems Manager GUI Connect menggunakan awalan ssm-guiconnect: sebelum tindakan.

  • Quick Setup menggunakan awalan ssm-quicksetup: sebelum tindakan.

Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:

"Action": "ssm:Describe*"

Untuk melihat daftar Systems Manager tindakan, lihat Tindakan yang Ditentukan oleh AWS Systems Managerdalam Referensi Otorisasi Layanan.

Sumber daya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.

Elemen kebijakan JSON Resource menentukan objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen Resource atau NotResource. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

"Resource": "*"

Sebagai contoh, Systems Manager sumber daya jendela pemeliharaan memiliki format ARN berikut.

arn:aws:ssm:region:account-id:maintenancewindow/window-id

Untuk menentukan jendela pemeliharaan MW-0C50858D01Example dalam pernyataan Anda di Wilayah AS Timur (Ohio), Anda akan menggunakan ARN yang mirip dengan yang berikut ini.

"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"

Untuk menentukan semua windowa pemeliharaan milik akun tertentu, gunakan wildcard (*).

"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"

Untuk operasi Parameter Store API, Anda dapat menyediakan atau membatasi akses ke semua parameter dalam satu tingkat hierarki dengan menggunakan nama hierarkis dan kebijakan AWS Identity and Access Management (IAM) sebagai berikut.

"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"

Beberapa Systems Manager tindakan, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).

"Resource": "*"

Beberapa Systems Manager Operasi API menerima banyak sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma sebagai berikut.

"Resource": [
      "resource1",
      "resource2"
catatan

Sebagian besar Layanan AWS memperlakukan titik dua (:) atau garis miring (/) sebagai karakter yang sama di ARNs. Namun, Systems Manager membutuhkan kecocokan yang tepat dalam pola dan aturan sumber daya. Saat membuat pola peristiwa, pastikan untuk menggunakan karakter ARN yang benar sehingga cocok dengan ARN sumber daya.

Tabel di bawah ini menjelaskan format ARN untuk jenis sumber daya yang didukung oleh Systems Manager.

catatan

Perhatikan pengecualian berikut untuk format ARN.

  • Alat-alat berikut AWS Systems Manager menggunakan awalan yang berbeda sebelum tindakan.

    • AWS AppConfig menggunakan awalan appconfig: sebelum tindakan.

    • Manajer Insiden menggunakan awalan ssm-incidents: atau ssm-contacts: sebelum tindakan.

    • Systems Manager GUI Connect menggunakan awalan ssm-guiconnect sebelum tindakan.

  • Dokumen dan sumber daya definisi otomatisasi yang dimiliki oleh Amazon, serta parameter publik yang disediakan oleh Amazon dan sumber pihak ketiga, tidak menyertakan akun IDs dalam format ARN mereka. Sebagai contoh:

    • Dokumen AWS-RunPatchBaseline SSM:

      arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline

    • Runbook AWS-ConfigureMaintenanceWindows otomatisasi:

      arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows

    • Parameter publik/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version:

      arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version

    Untuk informasi selengkapnya tentang ketiga jenis sumber daya ini, lihat topik berikut:

  • Quick Setup menggunakan awalan ssm-quicksetup: sebelum tindakan.

Jenis sumber daya Format ARN
Aplikasi (AWS AppConfig) arn:aws:appconfig: ::aplikasi/ region account-id application-id
Asosiasi arn:aws:ssm: ::asosiasi/regionaccount-idassociation-id
Eksekusi otomatisasi arn:aws:ssm: ::otomasi-eksekusi/regionaccount-idautomation-execution-id
Definisi otomatisasi (dengan versi subsumber daya)

arn:aws:ssm: ::automation-definition/: region account-id automation-definition-id version-id Footnote callout 1 to explain a line in a JSON policy
Profil konfigurasi (AWS AppConfig) arn:aws:appconfig: ::application/ /configurationprofile/ region account-id application-id configurationprofile-id
Kontak (Manajer Insiden)

arn:aws:ssm-kontak: ::kontak/regionaccount-idcontact-alias
Strategi penyebaran ()AWS AppConfig arn:aws:appconfig: ::deploymentstrategy/ region account-id deploymentstrategy-id
Dokumen

arn:aws:ssm: ::dokumen/regionaccount-iddocument-name
Lingkungan (AWS AppConfig) arn:aws:appconfig: ::aplikasi//lingkungan/regionaccount-idapplication-idenvironment-id
Insiden

arn:aws:ssm-insiden: ::catatan insiden/regionaccount-idresponse-plan-nameincident-id
Periode pemeliharaan

arn:aws:ssm: ::maintenance window/ region account-id window-id
Node terkelola

arn:aws:ssm: ::instance-manage/ region account-id managed-node-id
Inventaris simpul terkelola arn:aws:ssm:::/regionaccount-idmanaged-instance-inventorymanaged-node-id
OpsItem arn:aws:ssm: ::opsitem/regionaccount-idOpsItem-id
Parameter

Parameter satu tingkat:

  • arn:aws:ssm: ::parameter//regionaccount-idparameter-name

Parameter bernama dengan konstruksi hierarkis:

  • arn:aws:ssm: ::parameter/////regionaccount-idparameter-name-rootlevel-2level-3level-4level-5Footnote callout 2 to explain a line in a JSON policy
Garis dasar patch

arn:aws:ssm: ::patchbaseline/regionaccount-idpatch-baseline-id

Rencana respons

arn:aws:ssm-insiden: ::respons-plan/ region account-id response-plan-name
Sesi

arn:aws:ssm: ::sesi/regionaccount-idsession-idFootnote callout 3 to explain a line in a JSON policy

Semua Systems Manager sumber daya

arn:aws:ssm:*

Semua Systems Manager sumber daya yang dimiliki oleh yang ditentukan Akun AWS dalam yang ditentukan Wilayah AWS

arn:aws:ssm::: * region account-id

Footnote callout 1 to explain a line in a JSON policyUntuk definisi otomatisasi, Systems Manager mendukung sumber daya tingkat kedua, ID versi. Pada tahun AWS, sumber daya tingkat kedua ini dikenal sebagai subsumber daya. Menentukan versi subsumber daya untuk sumber definisi otomatisasi memungkinkan Anda untuk menyediakan akses ke versi tertentu dari definisi otomatisasi. Misalnya, Anda mungkin ingin memastikan bahwa hanya versi terbaru dari definisi otomatisasi yang digunakan dalam manajemen node Anda.

Footnote callout 2 to explain a line in a JSON policy Untuk mengatur dan mengelola parameter, Anda dapat membuat nama untuk parameter dengan konstruksi hierarkis. Dengan konstruksi hirarkis, nama parameter dapat mencakup jalur yang Anda tentukan dengan menggunakan garis miring ke depan. Anda dapat menyebutkan sumber daya parameter maksimum lima belas tingkat. Kami menyarankan agar Anda membuat hierarki yang mencerminkan struktur hierarkis yang ada di lingkungan Anda. Untuk informasi selengkapnya, lihat Membuat Parameter Store parameter di Systems Manager.

Dalam sebagian besar kasus Footnote callout 3 to explain a line in a JSON policy, ID sesi dibangun menggunakan ID dari pengguna akun yang memulai sesi, ditambah akhiran alfanumerik. Sebagai contoh:

arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE

Namun, jika ID pengguna tidak tersedia, ARN dibangun dengan cara ini sebagai gantinya:

arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE

Untuk informasi selengkapnya tentang format ARNs, lihat Amazon Resource Names (ARNs) di Referensi Umum Amazon Web Services.

Untuk daftar Systems Manager jenis sumber daya dan jenisnya ARNs, lihat Sumber Daya yang Ditentukan oleh AWS Systems Managerdalam Referensi Otorisasi Layanan. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat Tindakan yang Ditentukan oleh AWS Systems Manager.

Kunci kondisi untuk Systems Manager

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.

Elemen Condition (atau blok Condition) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.

Jika Anda menentukan beberapa elemen Condition dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Sebagai contoh, Anda dapat memberikan izin kepada pengguna IAM untuk mengakses sumber daya hanya jika izin tersebut mempunyai tanda yang sesuai dengan nama pengguna IAM mereka. Untuk informasi selengkapnya, lihat Elemen kebijakan IAM: variabel dan tanda dalam Panduan Pengguna IAM.

AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan Pengguna IAM.

Untuk melihat daftar Systems Manager tombol kondisi, lihat Condition Keys untuk AWS Systems Managerdalam Referensi Otorisasi Layanan. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat Tindakan yang Ditentukan oleh AWS Systems Manager.

Untuk informasi tentang penggunaan kunci kondisi ssm:resourceTag/*, lihat topik berikut:

Untuk informasi tentang menggunakan tombol ssm:Recursivessm:Policies,, dan ssm:Overwrite kondisi, lihatMencegah akses ke Parameter Store Operasi API.

Contoh

Untuk melihat contoh Systems Manager Kebijakan berbasis identitas, lihat. AWS Systems Manager contoh kebijakan berbasis identitas

Systems Manager kebijakan berbasis sumber daya

Lainnya Layanan AWS, seperti Amazon Simple Storage Service (Amazon S3), mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan izin ke bucket S3 untuk mengelola izin akses ke bucket tersebut.

Systems Manager tidak mendukung kebijakan berbasis sumber daya.

Otorisasi berdasarkan Systems Manager tag

Anda dapat melampirkan tag ke Systems Manager sumber daya atau meneruskan tag dalam permintaan Systems Manager. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag dalam elemen kondisi kebijakan menggunakan kuncissm:resourceTag/key-name,aws:ResourceTag/key-name,aws:RequestTag/key-name, atau aws:TagKeys kondisi. Anda dapat menambahkan tag ke jenis sumber daya berikut saat Anda membuat atau memperbaruinya:

  • Dokumen

  • Node terkelola

  • Periode pemeliharaan

  • Parameter

  • Garis dasar patch

  • OpsItem

Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat Melihat Systems Manager dokumen berdasarkan tag.

Systems Manager Peran IAM

Peran IAM adalah entitas di dalam Anda Akun AWS yang memiliki izin khusus.

Menggunakan kredensyal sementara dengan Systems Manager

Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil AWS Security Token Service (AWS STS) operasi API seperti AssumeRoleatau. GetFederationToken

Systems Manager mendukung menggunakan kredensyal sementara.

Peran terkait layanan

Peran terkait layanan memungkinkan Layanan AWS untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan tercantum dalam akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator dapat melihat tetapi tidak dapat mengedit izin untuk peran yang terkait dengan layanan.

Systems Manager mendukung peran terkait layanan. Untuk detail tentang membuat atau mengelola Systems Manager peran terkait layanan, lihat. Menggunakan peran terkait layanan untuk Systems Manager

Peran layanan

Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan ditampilkan dalam akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti bahwa administrator dapat mengubah izin untuk peran ini. Namun, melakukannya mungkin merusak fungsi layanan.

Systems Manager mendukung peran layanan.

Memilih peran IAM di Systems Manager

Untuk Systems Manager untuk berinteraksi dengan node terkelola Anda, Anda harus memilih peran yang akan diizinkan Systems Manager untuk mengakses node atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan atau peran terkait layanan, Systems Manager memberi Anda daftar peran untuk dipilih. Penting untuk memilih peran yang memungkinkan akses untuk memulai dan menghentikan node yang dikelola.

Untuk mengakses EC2 instance, Anda harus mengonfigurasi izin instans. Untuk selengkapnya, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.

Untuk mengakses EC2 non-node dalam hybrid dan multicloud, peran yang Anda Akun AWS butuhkan adalah peran layanan IAM. Untuk selengkapnya, lihat Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud.

Alur kerja otomatisasi dapat dimulai di bawah konteks peran layanan (atau peran asumsi). Hal ini mengizinkan layanan untuk kemudian melakukan tindakan atas nama Anda. Jika Anda tidak menentukan peran asumsi, otomatisasi menggunakan konteks pengguna yang dipanggil eksekusi. Namun, situasi tertentu mengharuskan Anda menentukan peran layanan untuk otomatisasi. Untuk informasi selengkapnya, lihat Mengonfigurasi akses peran layanan (peran asumsi) untuk otomatisasi.

AWS Systems Manager kebijakan terkelola

AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWSKebijakan terkelola AWS ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin mana yang diperlukan. (Anda juga dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin Systems Manager tindakan dan sumber daya.)

Untuk informasi selengkapnya tentang kebijakan terkelola untuk Systems Manager, lihat AWS kebijakan terkelola untuk AWS Systems Manager

Untuk informasi umum tentang kebijakan terkelola, lihat kebijakan AWS terkelola di Panduan Pengguna IAM.