In che modo AWS Systems Manager funziona con IAM - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

In che modo AWS Systems Manager funziona con IAM

Prima di utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso a AWS Systems Manager, è necessario comprendere con quali funzionalità IAM è disponibile l'uso Systems Manager. Per avere una visione di alto livello di come Systems Manager e altri Servizi AWS lavori con IAM, vedi come Servizi AWS lavorare con IAM nella IAM User Guide.

Systems Manager politiche basate sull'identità

Con le policy IAM basate su identità, puoi specificare operazioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. Systems Manager supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.

Operazioni

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento Actiondi una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le operazioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Azioni politiche in Systems Manager usa il seguente prefisso prima dell'azione:ssm:. Ad esempio, per concedere a qualcuno il permesso di creare un Systems Manager parametro (parametro SSM) con Systems Manager PutParameterOperazione dell'API, includi l'ssm:PutParameterazione nella loro politica. Le istruzioni della policy devono includere un elemento Action o NotAction. Systems Manager definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.

Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

"Action": [ "ssm:action1", "ssm:action2" ]
Nota

I seguenti strumenti AWS Systems Manager utilizzano prefissi diversi prima delle azioni.

  • AWS AppConfig utilizza il prefisso prima appconfig: delle azioni.

  • Lo·Strumento·di·gestione·degli·incidenti utilizza il prefisso ssm-incidents: o ssm-contacts: prima delle operazioni.

  • Systems Manager GUI Connect utilizza il prefisso ssm-guiconnect: prima delle operazioni.

  • Quick Setup utilizza il prefisso ssm-quicksetup: prima delle azioni.

È possibile specificare più operazioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe, includi la seguente azione:

"Action": "ssm:Describe*"

Per visualizzare un elenco di Systems Manager azioni, vedi Azioni definite da AWS Systems Managernel riferimento di autorizzazione del servizio.

Risorse

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento JSON Resourcedella policy specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.

Per le operazioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.

"Resource": "*"

Ad esempio, Systems Manager la risorsa della finestra di manutenzione ha il seguente formato ARN.

arn:aws:ssm:region:account-id:maintenancewindow/window-id

Per specificare le finestre di manutenzione mw-0c50858d01EXAMPLE nell'istruzione nella regione Stati Uniti orientali (Ohio), utilizzare un ARN simile al seguente.

"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"

Per specificare che tutte le finestre di manutenzione che appartengono ad un account specifico, utilizza il carattere jolly (*).

"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"

Per le operazioni Parameter Store API, è possibile fornire o limitare l'accesso a tutti i parametri in un livello di gerarchia utilizzando nomi gerarchici e politiche AWS Identity and Access Management (IAM) come segue.

"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"

Medio Systems Manager le azioni, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).

"Resource": "*"

Medio Systems Manager Le operazioni API accettano più risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole come segue.

"Resource": [ "resource1", "resource2"
Nota

La maggior parte Servizi AWS considera i due punti (:) o una barra (/) come lo stesso carattere in. ARNs Tuttavia, Systems Manager richiede una corrispondenza esatta nei modelli e nelle regole delle risorse. Durante la creazione di modelli di eventi, assicurati di utilizzare i caratteri ARN corretti, facendo in modo che corrispondano all'ARN della risorsa.

La tabella seguente descrive i formati ARN per i tipi di risorse supportati da Systems Manager.

Nota

Notate le seguenti eccezioni ai formati ARN.

  • I seguenti strumenti AWS Systems Manager utilizzano prefissi diversi prima delle azioni.

    • AWS AppConfig utilizza il prefisso prima appconfig: delle azioni.

    • Lo·Strumento·di·gestione·degli·incidenti utilizza il prefisso ssm-incidents: o ssm-contacts: prima delle operazioni.

    • Systems Manager GUI Connect utilizza il prefisso ssm-guiconnect prima delle operazioni.

  • I documenti e le risorse di definizione dell'automazione di proprietà di Amazon, nonché i parametri pubblici forniti da Amazon e da fonti di terze parti, non includono gli account IDs nei rispettivi formati ARN. Per esempio:

    • Il documento SSM AWS-RunPatchBaseline:

      arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline

    • Il runbook Automation AWS-ConfigureMaintenanceWindows:

      arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows

    • I parametri pubblici /aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version:

      arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version

    Per ulteriori informazioni su questi tre tipi di risorse, consulta i seguenti argomenti:

  • Quick Setup utilizza il prefisso ssm-quicksetup: prima delle azioni.

Tipo di risorsa Formato ARN
Applicazione (AWS AppConfig) arn:aws:appconfig: :application/ region account-id application-id
Associazione arn:aws:ssm: :associazione/ region account-id association-id
Esecuzione di automazione arn:aws:ssm: region :esecuzione-automatia/ account-id automation-execution-id
Definizione di automazione (con sottorisorsa della versione)

arn:aws:ssm: ::automation-definition/region: account-id automation-definition-id version-id Footnote callout 1 to explain a line in a JSON policy

Profilo di configurazione (AWS AppConfig) arn:aws:appconfig: :application/ region /configurationprofile/ account-id application-id configurationprofile-id
Contattare lo·Strumento·di·gestione·degli·incidenti

arn:aws:ssm-contacts: ::contatto/ region account-id contact-alias

Strategia di distribuzione (AWS AppConfig) arn: aws:appconfig:: strategia di distribuzione/ region account-id deploymentstrategy-id
Documento

arn:aws:ssm: :documento/ region account-id document-name

Ambiente (AWS AppConfig) arn:aws:appconfig: :applicazione/ region account-id /ambiente/ application-id environment-id
Incidente

arn:aws:ssm-incidents: region account-id :incident-record//response-plan-nameincident-id

Maintenance window (Finestra di manutenzione)

arn: aws:ssm: :finestra di manutenzione/ region account-id window-id

Nodo gestito

arn:aws:ssm: region :istanza gestita/ account-id managed-node-id

Inventario nodi gestiti arn:aws:ssm::region:/account-idmanaged-instance-inventorymanaged-node-id
OpsItem arn:aws:ssm regionaccount-id: :opsitem/ OpsItem-id
Parametro

Parametro a un livello:

  • arn:aws:ssm: region account-id :parametro//parameter-name

Un parametro denominato con una struttura gerarchica:

  • arn:aws:ssm: region :parametro/////account-idparameter-name-rootlevel-2level-3level-4level-5Footnote callout 2 to explain a line in a JSON policy

Base di patch

arn:aws:ssm: region :patchbaseline/ account-id patch-baseline-id

Piano di risposta

arn:aws:ssm-incidents: :piano di rispostaregion/account-idresponse-plan-name

Sessione

arn:aws:ssm: :session/ region account-id session-id Footnote callout 3 to explain a line in a JSON policy

Tutti Systems Manager risorse

arn:aws:ssm:*

Tutti Systems Manager risorse di proprietà dello specificato nello specificato Account AWS Regione AWS

arn:aws:ssm::: * region account-id

Footnote callout 1 to explain a line in a JSON policyPer le definizioni di automazione, Systems Manager supporta una risorsa di secondo livello, l'ID di versione. Nel AWS, queste risorse di secondo livello sono note come sottorisorse. Specificare una risorsa secondaria della versione per una risorsa di definizione di automazione consente di fornire l'accesso ad alcune versioni di una definizione di automazione. Ad esempio, è possibile assicurare che solo la versione più recente di una definizione di automazione venga utilizzata nella gestione del nodo.

Footnote callout 2 to explain a line in a JSON policy Per organizzare e gestire i parametri, è possibile creare nomi per i parametri con una struttura gerarchica. Con tale struttura gerarchica, un nome di parametro può includere un percorso che definisci tramite l'utilizzo delle barre. È possibile assegnare un nome a una risorsa di parametro con un massimo di quindici livelli. Ti consigliamo di creare gerarchie che riflettano una struttura gerarchica esistente nel tuo ambiente. Per ulteriori informazioni, consulta Creazione Parameter Store parametri in Systems Manager.

Footnote callout 3 to explain a line in a JSON policy Nella maggior parte dei casi, l'ID della sessione è costruito utilizzando l'ID dell'utente dell'account che ha iniziato la sessione, oltre a un suffisso alfanumerico. Ad esempio:

arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE

Tuttavia, se l'ID utente non è disponibile, l'ARN viene costruito in questo modo:

arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE

Per ulteriori informazioni sul formato di ARNs, consulta Amazon Resource Names (ARNs) nel Riferimenti generali di Amazon Web Services.

Per un elenco di Systems Manager tipi di risorse e relativi ARNs, vedere Risorse definite da AWS Systems Managernel riferimento di autorizzazione del servizio. Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, vedere Azioni definite da AWS Systems Manager.

Chiavi di condizione per Systems Manager

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.

Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. OR Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.

È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.

AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.

Per visualizzare un elenco di Systems Manager chiavi di condizione, vedi Condition Keys per AWS Systems Managernel riferimento di autorizzazione del servizio. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta Azioni definite da AWS Systems Manager.

Per informazioni sull'utilizzo della chiave di condizione ssm:resourceTag/*, consulta gli argomenti elencati di seguito:

Per informazioni su come utilizzare le chiavi di condizione ssm:Recursive, ssm:Policies e ssm:Overwrite consulta Impedire l'accesso a Parameter Store Operazioni API.

Esempi

Per visualizzare esempi di Systems Manager politiche basate sull'identità, vedere. AWS Systems Manager esempi di politiche basate sull'identità

Systems Manager politiche basate sulle risorse

Altri Servizi AWS, come Amazon Simple Storage Service (Amazon S3), supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile allegare una policy di autorizzazione a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.

Systems Manager non supporta politiche basate sulle risorse.

Autorizzazione basata su Systems Manager tags

È possibile allegare tag a Systems Manager risorse o invia tag in una richiesta a Systems Manager. Per controllare l'accesso in base ai tag, fornisci le informazioni sui tag nell'elemento condition di una policy utilizzando i tasti ssm:resourceTag/key-name aws:ResourceTag/key-nameaws:RequestTag/key-name,, o aws:TagKeys condition. È possibile aggiungere tag ai seguenti tipi di risorse quando vengono creati o aggiornati:

  • Documento

  • Nodo gestito

  • Maintenance window (Finestra di manutenzione)

  • Parametro

  • Base di patch

  • OpsItem

Per visualizzare un esempio di policy basata su identità per limitare l'accesso a una risorsa in base ai tag di tale risorsa, consulta Visualizzazione Systems Manager documenti basati su tag.

Systems Manager Ruoli IAM

Un ruolo IAM è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.

Utilizzo di credenziali temporanee con Systems Manager

È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni API AWS Security Token Service (AWS STS) come AssumeRoleo. GetFederationToken

Systems Manager supporta l'utilizzo di credenziali temporanee.

Ruoli collegati ai servizi

I ruoli collegati ai servizi consentono di accedere Servizi AWS alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono elencati nell'account IAM e sono di proprietà del servizio. Un amministratore può visualizzare, ma non modificare le autorizzazioni dei ruoli collegati ai servizi.

Systems Manager supporta ruoli collegati ai servizi. Per informazioni dettagliate sulla creazione o la gestione Systems Manager ruoli collegati ai servizi, vedere. Utilizzo di ruoli collegati ai servizi per Systems Manager

Ruoli dei servizi

Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.

Systems Manager supporta i ruoli di servizio.

Scelta di un ruolo IAM in Systems Manager

In Systems Manager per interagire con i nodi gestiti, devi scegliere un ruolo da consentire Systems Manager per accedere ai nodi per tuo conto. Se in precedenza hai creato un ruolo di servizio o un ruolo collegato al servizio, allora Systems Manager fornisce un elenco di ruoli tra cui scegliere. È importante scegliere un ruolo che consenta l'accesso per avviare e arrestare i nodi gestiti.

Per accedere alle EC2 istanze, è necessario configurare le autorizzazioni delle istanze. Per informazioni, consulta la pagina Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager.

Per accedere ai non EC2 nodi in un ambiente ibrido e multicloud, il ruolo di cui hai Account AWS bisogno è un ruolo di servizio IAM. Per informazioni, consulta Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud.

I flussi di lavoro di automazione possono essere avviati nel contesto di un ruolo di servizio (o ruolo presunto). Ciò permette al servizio di eseguire operazioni per conto tuo. Se non specifichi un ruolo presunto, il servizio di automazione utilizza il contesto dell'utente che ha richiamato l'esecuzione. Tuttavia, i seguenti scenari richiedono di specificare un ruolo di servizio di automazione. Per ulteriori informazioni, consulta Configurazione di un accesso al ruolo di servizio (ruolo presunto) per le automazioni.

AWS Systems Manager policy gestite

AWS affronta molti casi d'uso comuni fornendo politiche IAM autonome create e amministrate da. AWS Le policy gestite da AWS concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. (Puoi anche creare le tue policy IAM personalizzate per consentire le autorizzazioni per Systems Manager azioni e risorse.)

Per ulteriori informazioni sulle policy gestite per Systems Manager, consulta AWS politiche gestite per AWS Systems Manager

Per informazioni generali sulle policy gestite, consulta Policy gestite da AWS nella Guida per l'utente IAM.