Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
In che modo AWS Systems Manager funziona con IAM
Prima di utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso a AWS Systems Manager, è necessario comprendere con quali IAM funzionalità è possibile utilizzare Systems Manager. Per avere una visione di alto livello di come Systems Manager e altre applicazioni con Servizi AWS cui lavorareIAM, consulta Servizi AWS la sezione dedicata IAM nella Guida per l'IAMutente.
Argomenti
Systems Manager politiche basate sull'identità
Con le politiche IAM basate sull'identità, è possibile specificare azioni e risorse consentite o negate e le condizioni in base alle quali le azioni sono consentite o negate. Systems Manager supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una JSON politica, consulta il riferimento agli elementi IAM JSON della politica nella Guida per l'IAMutente.
Azioni
Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'Actionelemento di una JSON policy descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome dell' AWS APIoperazione associata. Esistono alcune eccezioni, come le azioni basate solo sulle autorizzazioni che non hanno un'operazione corrispondente. API Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.
Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.
Azioni politiche in Systems Manager usa il seguente prefisso prima dell'azione:ssm:. Ad esempio, per concedere a qualcuno il permesso di creare un Systems Manager parametro (SSMparametro) con il Systems Manager PutParameterAPIoperazione, includi l'ssm:PutParameterazione nella loro politica. Le istruzioni della policy devono includere un elemento Action o NotAction. Systems Manager definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
"Action": [ "ssm:action1", "ssm:action2" ]
Nota
Le seguenti funzionalità consentono di AWS Systems Manager utilizzare prefissi diversi prima delle azioni.
-
AWS AppConfig utilizza il prefisso prima
appconfig:delle azioni. -
Incident Manager utilizza il prefisso
ssm-incidents:ossm-contacts:prima delle azioni. -
Systems Manager GUI Connect utilizza il prefisso
ssm-guiconnect:prima delle azioni. -
Quick Setup utilizza il prefisso
ssm-quicksetup:prima delle azioni.
È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe, includi la seguente azione:
"Action": "ssm:Describe*"
Per visualizzare un elenco di Systems Manager azioni, vedi Azioni definite da AWS Systems Managernel riferimento di autorizzazione del servizio.
Risorse
Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento Resource JSON policy specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il relativo Amazon Resource Name (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.
"Resource": "*"
Ad esempio, Systems Manager la risorsa della finestra di manutenzione ha il seguente ARN formato.
arn:aws:ssm:region:account-id:maintenancewindow/window-id
Per specificare le finestre di EXAMPLE manutenzione mw-0c50858d01 nella dichiarazione relativa alla regione Stati Uniti orientali (Ohio), è necessario utilizzare una finestra simile alla seguente. ARN
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
Per specificare che tutte le finestre di manutenzione che appartengono ad un account specifico, utilizza il carattere jolly (*).
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
Per quanto riguarda Parameter Store API le operazioni, è possibile fornire o limitare l'accesso a tutti i parametri in un livello di gerarchia utilizzando nomi gerarchici e politiche () come segue. AWS Identity and Access Management IAM
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
Medio Systems Manager le azioni, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).
"Resource": "*"
Medio Systems Manager APIle operazioni accettano più risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole come segue.
"Resource": [ "resource1", "resource2"
Nota
La maggior parte Servizi AWS considera i due punti (:) o una barra (/) come lo stesso carattere in. ARNs Tuttavia, Systems Manager richiede una corrispondenza esatta nei modelli e nelle regole delle risorse. Quando crei modelli di eventi, assicurati di utilizzare i ARN caratteri corretti in modo che corrispondano a quelli della risorsaARN.
La tabella seguente descrive i ARN formati per i tipi di risorse supportati da Systems Manager.
Nota
Notate le seguenti eccezioni ai ARN formati.
-
Le seguenti funzionalità consentono di AWS Systems Manager utilizzare prefissi diversi prima delle azioni.
-
AWS AppConfig utilizza il prefisso prima
appconfig:delle azioni. -
Incident Manager utilizza il prefisso
ssm-incidents:ossm-contacts:prima delle azioni. -
Systems Manager GUI Connect utilizza il prefisso
ssm-guiconnectprima delle azioni.
-
-
I documenti e le risorse di definizione dell'automazione di proprietà di Amazon, nonché i parametri pubblici forniti da Amazon e da fonti di terze parti, non includono gli account IDs nei loro ARN formati. Per esempio:
-
Il SSM documento
AWS-RunPatchBaseline:arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline -
Il manuale di automazione
AWS-ConfigureMaintenanceWindows:arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows -
Il parametro
/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_versionpubblico:arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version
Per ulteriori informazioni su questi tre tipi di risorse, consulta i seguenti argomenti:
-
-
Quick Setup utilizza il prefisso
ssm-quicksetup:prima delle azioni.
| Tipo di risorsa | ARNformato |
|---|---|
| Applicazione (AWS AppConfig) | arn: aws:appconfig:region:account-id: applicazione/application-id |
| Associazione | arn:aws:ssm:region:account-id: associazione/association-id |
| Esecuzione di automazione | arn:aws:ssm:region:account-id: automazione-esecuzione/automation-execution-id |
| Definizione di automazione (con sottorisorsa della versione) |
arn:aws:ssm: |
| Profilo di configurazione (AWS AppConfig) | arn:aws:appconfig:region:account-id: applicazione/application-id/profilo di configurazione/configurationprofile-id |
| Contattare Incident Manager |
arn:aws:ssm-contacts: |
| Strategia di distribuzione (AWS AppConfig) | arn:aws:appconfig:region:account-id: strategia di distribuzione/deploymentstrategy-id |
| Documento |
arn:aws:ssm: |
| Ambiente (AWS AppConfig) | arn:aws:appconfig:region:account-id: applicazione/application-id/ambiente/environment-id |
| Incidente |
arn:aws:ssm-incidents: |
| Maintenance window (Finestra di manutenzione) |
arn:aws:ssm: |
| Nodo gestito |
arn:aws:ssm: |
| Inventario nodi gestiti | arn:aws:ssm:region:account-id:managed-instance-inventory/managed-node-id |
| OpsItem | arn:aws:ssm:region:account-id:opsitem/OpsItem-id |
| Parametro |
Parametro a un livello:
Un parametro denominato con una struttura gerarchica:
|
| Base di patch |
arn:aws:ssm: |
| Piano di risposta |
arn:aws:ssm-incidents: |
| Sessione |
arn:aws:ssm: |
|
Tutti Systems Manager risorse |
arn:aws:ssm:* |
|
Tutti Systems Manager risorse di proprietà dello specificato nel specificato Account AWS Regione AWS |
arn:aws:ssm: |
Per le definizioni di automazione, Systems Manager supporta una risorsa di secondo livello, l'ID di versione. Nel AWS, queste risorse di secondo livello sono note come sottorisorse. Specificare una risorsa secondaria della versione per una risorsa di definizione di automazione consente di fornire l'accesso ad alcune versioni di una definizione di automazione. Ad esempio, puoi assicurare che solo la versione più recente di una definizione di automazione venga utilizzata nella gestione del nodo.
Per organizzare e gestire i parametri, puoi creare nomi per i parametri con una struttura gerarchica. Con tale struttura gerarchica, un nome di parametro può includere un percorso che definisci tramite l'utilizzo delle barre. Puoi assegnare un nome a una risorsa di parametro con un massimo di quindici livelli. Ti consigliamo di creare gerarchie che riflettano una struttura gerarchica esistente nel tuo ambiente. Per ulteriori informazioni, consulta Creazione Parameter Store parametri in Systems Manager.
Nella maggior parte dei casi, l'ID della sessione è costruito utilizzando l'ID dell'utente dell'account che ha iniziato la sessione, oltre a un suffisso alfanumerico. Per esempio:
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLETuttavia, se l'ID utente non è disponibile, ARN viene invece costruito in questo modo:
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLEPer ulteriori informazioni sul formato diARNs, consulta Amazon Resource Names (ARNs) nel Riferimenti generali di Amazon Web Services.
Per un elenco di Systems Manager tipi di risorse e relativiARNs, vedere Risorse definite da AWS Systems Managernel riferimento di autorizzazione del servizio. Per sapere con quali azioni è possibile specificare le caratteristiche ARN di ciascuna risorsa, vedere Azioni definite da AWS Systems Manager.
Chiavi di condizione per Systems Manager
Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.
L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logicaOR. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile concedere a un IAM utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il suo nome IAM utente. Per ulteriori informazioni, consulta gli elementi IAM della politica: variabili e tag nella Guida IAM per l'utente.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'IAMutente.
Per visualizzare un elenco di Systems Manager chiavi di condizione, vedi Condition Keys per AWS Systems Managernel riferimento di autorizzazione del servizio. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta Azioni definite da AWS Systems Manager.
Per informazioni sull'utilizzo della chiave di condizione ssm:resourceTag/*, consulta gli argomenti elencati di seguito:
Per informazioni sull'utilizzo dei tasti ssm:Recursivessm:Policies, e ssm:Overwrite condition, consultaImpedire l'accesso a Parameter Store APIoperazioni.
Esempi
Per visualizzare esempi di Systems Manager politiche basate sull'identità, vedere. AWS Systems Manager esempi di politiche basate sull'identità
Systems Manager politiche basate sulle risorse
Altri Servizi AWS, come Amazon Simple Storage Service (Amazon S3), supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile allegare una policy di autorizzazione a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.
Systems Manager non supporta politiche basate sulle risorse.
Autorizzazione basata su Systems Manager tags
È possibile allegare tag a Systems Manager risorse o invia tag in una richiesta a Systems Manager. Per controllare l'accesso in base ai tag, fornisci le informazioni sui tag nell'elemento condition di una policy utilizzando i tasti ssm:resourceTag/ key-nameaws:ResourceTag/key-nameaws:RequestTag/,, o key-nameaws:TagKeys condition. È possibile aggiungere tag ai seguenti tipi di risorse quando vengono creati o aggiornati:
-
Documento
-
Nodo gestito
-
Maintenance window (Finestra di manutenzione)
-
Parametro
-
Base di patch
-
OpsItem
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta Visualizzazione Systems Manager documenti basati su tag.
Systems Manager IAMruoli
Un IAMruolo è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.
Utilizzo di credenziali temporanee con Systems Manager
Puoi utilizzare credenziali temporanee per accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando API operazioni AWS Security Token Service (AWS STS) come o. AssumeRoleGetFederationToken
Systems Manager supporta l'utilizzo di credenziali temporanee.
Ruoli collegati ai servizi
I ruoli collegati ai servizi consentono di accedere Servizi AWS alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono elencati nel tuo IAM account e sono di proprietà del servizio. Un amministratore può visualizzare, ma non modificare le autorizzazioni dei ruoli collegati ai servizi.
Systems Manager supporta ruoli collegati al servizio. Per informazioni dettagliate sulla creazione o la gestione Systems Manager ruoli collegati ai servizi, vedere. Utilizzo di ruoli collegati ai servizi per Systems Manager
Ruoli dei servizi
Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli di servizio vengono visualizzati nell'IAMaccount e sono di proprietà dell'account. Ciò significa che un amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.
Systems Manager supporta i ruoli di servizio.
Scelta di un IAM ruolo in Systems Manager
In Systems Manager per interagire con i nodi gestiti, devi scegliere un ruolo da consentire Systems Manager per accedere ai nodi per tuo conto. Se in precedenza hai creato un ruolo di servizio o un ruolo collegato al servizio, allora Systems Manager fornisce un elenco di ruoli tra cui scegliere. È importante scegliere un ruolo che consenta l'accesso per avviare e arrestare i nodi gestiti.
Per accedere alle EC2 istanze, è necessario configurare le autorizzazioni delle istanze. Per informazioni, vedere Configurare le autorizzazioni di istanza richieste per Systems Manager.
Per accedere ai non EC2 nodi in un ambiente ibrido e multicloud, il ruolo di cui hai Account AWS bisogno è un IAM ruolo di servizio. Per informazioni, consulta Creare il ruolo IAM di servizio richiesto per Systems Manager in ambienti ibridi e multicloud.
I flussi di lavoro di automazione possono essere avviati nel contesto di un ruolo di servizio (o ruolo presunto). Ciò permette al servizio di eseguire operazioni per conto tuo. Se non specifichi un ruolo presunto, il servizio di automazione utilizza il contesto dell'utente che ha richiamato l'esecuzione. Tuttavia, i seguenti scenari richiedono di specificare un ruolo di servizio di automazione. Per ulteriori informazioni, consulta Configurazione di un accesso al ruolo di servizio (ruolo presunto) per le automazioni.
AWS Systems Manager policy gestite
AWS affronta molti casi d'uso comuni fornendo IAM politiche autonome create e amministrate da. AWS Le policy gestite da AWS concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. (È inoltre possibile creare IAM politiche personalizzate per consentire le autorizzazioni per Systems Manager azioni e risorse.)
Per ulteriori informazioni sulle politiche gestite per Systems Manager, vedere AWS politiche gestite per AWS Systems Manager
Per informazioni generali sulle politiche gestite, vedere le politiche AWS gestite nella Guida IAM per l'utente.
