Impedire l'accesso a Parameter Store APIoperazioni - AWS Systems Manager
ssm:Overwrite: Impedisci le modifiche ai parametri esistentissm:Policies: Impedisce la creazione o l'aggiornamento di parametri che utilizzano una politica parametricassm:Recursive: Impedisci l'accesso ai livelli di un parametro gerarchico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impedire l'accesso a Parameter Store APIoperazioni

Utilizzando le condizioni specifiche del servizio supportate dalle policy di Systems Manager for AWS Identity and Access Management (IAM), è possibile consentire o negare esplicitamente l'accesso a Parameter Store APIoperazioni e contenuti. Utilizzando queste condizioni, è possibile consentire solo a determinate IAM Entità (utenti e ruoli) dell'organizzazione di eseguire determinate API azioni o impedire a determinate IAM Entità di eseguirle. Ciò include le azioni eseguite tramite Parameter Store console, il AWS Command Line Interface (AWS CLI) eSDKs.

Systems Manager attualmente supporta tre condizioni specifiche per Parameter Store.

ssm:Overwrite: Impedisci le modifiche ai parametri esistenti

Utilizzate la ssm:Overwrite condizione per controllare se IAM le Entità possono aggiornare i parametri esistenti.

Nella seguente politica di esempio, l'"Allow"istruzione concede l'autorizzazione a creare parametri eseguendo l'PutParameterAPIoperazione nel Account AWS 123456789012 nella regione Stati Uniti orientali (Ohio) (us-east-2).

Tuttavia, l'"Deny"istruzione impedisce a Entities di modificare i valori dei parametri esistenti perché l'opzione è esplicitamente negata per l'Overwriteoperazione. PutParameter Pertanto, le entità a cui viene assegnata questa politica possono creare parametri, ma non apportare modifiche ai parametri esistenti.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:PutParameter"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Overwrite": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        }
    ]
}

ssm:Policies: Impedisce la creazione o l'aggiornamento di parametri che utilizzano una politica parametrica

Utilizza la ssm:Policies condizione per controllare se le Entità possono creare parametri che includono una politica dei parametri e aggiornare i parametri esistenti che includono una politica dei parametri.

Nel seguente esempio di politica, l'"Allow"istruzione concede l'autorizzazione generale alla creazione di parametri e, tuttavia, impedisce alle Entità di creare o aggiornare parametri che includono una politica dei parametri nel Account AWS 123456789012 nella regione Stati Uniti orientali (Ohio) (us-east-2). "Deny" Le entità possono comunque creare o aggiornare parametri a cui non è assegnata una politica relativa ai parametri.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:PutParameter"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Policies": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        }
    ]
}

ssm:Recursive: Impedisci l'accesso ai livelli di un parametro gerarchico

Utilizza la ssm:Recursive condizione per controllare se le IAM Entità possono visualizzare o fare riferimento ai livelli in un parametro gerarchico. È possibile fornire o limitare l'accesso a tutti i parametri oltre uno specifico livello di gerarchia.

Nel seguente esempio di politica, l'"Allow"istruzione fornisce l'accesso a Parameter Store operazioni su tutti i parametri nel percorso /Code/Departments/Finance/* per il Account AWS 123456789012 nella regione Stati Uniti orientali (Ohio) (us-east-2).

Successivamente, l'"Deny"istruzione impedisce alle IAM Entità di visualizzare o recuperare i dati dei parametri pari o inferiori al livello di. /Code/Departments/* Le entità possono comunque continuare a creare o aggiornare i parametri in quel percorso. L'esempio è stato creato per illustrare che la negazione ricorsiva dell'accesso al di sotto di un certo livello in una gerarchia di parametri ha la precedenza sull'accesso più permissivo nella stessa politica.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:*"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Recursive": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/Code/Departments/*"
        }
    ]
}
Importante

Se un utente ha accesso a un percorso, potrà accedere a tutti i livelli del percorso. Ad esempio, se un utente è autorizzato ad accedere al percorso /a, potrà accedere anche ad /a/b. Ciò è vero a meno che all'utente non sia stato esplicitamente negato l'accesso al parametro, come illustrato sopra. IAM /b