Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
In che modo AWS Systems Manager funziona con IAM
Prima di utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso a AWS Systems Manager, è necessario comprendere con quali funzionalità IAM è disponibile l'uso Systems Manager. Per avere una visione di alto livello di come Systems Manager e altri Servizi AWS lavori con IAM, vedi come Servizi AWS lavorare con IAM nella IAM User Guide.
Argomenti
Systems Manager politiche basate sull'identità
Con le policy IAM basate su identità, puoi specificare operazioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. Systems Manager supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.
Operazioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento Action
di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le operazioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.
Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.
Azioni politiche in Systems Manager usa il seguente prefisso prima dell'azione:ssm:
. Ad esempio, per concedere a qualcuno il permesso di creare un Systems Manager parametro (parametro SSM) con Systems Manager PutParameter
Operazione dell'API, includi l'ssm:PutParameter
azione nella loro politica. Le istruzioni della policy devono includere un elemento Action
o NotAction
. Systems Manager definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
"Action": [ "ssm:action1", "ssm:action2" ]
Nota
I seguenti strumenti AWS Systems Manager utilizzano prefissi diversi prima delle azioni.
-
AWS AppConfig utilizza il prefisso prima
appconfig:
delle azioni. -
Lo·Strumento·di·gestione·degli·incidenti utilizza il prefisso
ssm-incidents:
ossm-contacts:
prima delle operazioni. -
Systems Manager GUI Connect utilizza il prefisso
ssm-guiconnect:
prima delle operazioni. -
Quick Setup utilizza il prefisso
ssm-quicksetup:
prima delle azioni.
È possibile specificare più operazioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe
, includi la seguente azione:
"Action": "ssm:Describe*"
Per visualizzare un elenco di Systems Manager azioni, vedi Azioni definite da AWS Systems Managernel riferimento di autorizzazione del servizio.
Risorse
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento JSON Resource
della policy specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resource
o un elemento NotResource
. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.
Per le operazioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.
"Resource": "*"
Ad esempio, Systems Manager la risorsa della finestra di manutenzione ha il seguente formato ARN.
arn:aws:ssm:
region
:account-id
:maintenancewindow/window-id
Per specificare le finestre di manutenzione mw-0c50858d01EXAMPLE nell'istruzione nella regione Stati Uniti orientali (Ohio), utilizzare un ARN simile al seguente.
"Resource": "arn:aws:ssm:us-east-2:
123456789012
:maintenancewindow/mw-0c50858d01EXAMPLE"
Per specificare che tutte le finestre di manutenzione che appartengono ad un account specifico, utilizza il carattere jolly (*).
"Resource": "arn:aws:ssm:
region
:123456789012
:maintenancewindow/*"
Per le operazioni Parameter Store
API, è possibile fornire o limitare l'accesso a tutti i parametri in un livello di gerarchia utilizzando nomi gerarchici e politiche AWS Identity and Access Management (IAM) come segue.
"Resource": "arn:aws:ssm:
region
:123456789012:parameter/Dev/ERP/Oracle/*"
Medio Systems Manager le azioni, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).
"Resource": "*"
Medio Systems Manager Le operazioni API accettano più risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole come segue.
"Resource": [ "resource1", "resource2"
Nota
La maggior parte Servizi AWS considera i due punti (:) o una barra (/) come lo stesso carattere in. ARNs Tuttavia, Systems Manager richiede una corrispondenza esatta nei modelli e nelle regole delle risorse. Durante la creazione di modelli di eventi, assicurati di utilizzare i caratteri ARN corretti, facendo in modo che corrispondano all'ARN della risorsa.
La tabella seguente descrive i formati ARN per i tipi di risorse supportati da Systems Manager.
Nota
Notate le seguenti eccezioni ai formati ARN.
-
I seguenti strumenti AWS Systems Manager utilizzano prefissi diversi prima delle azioni.
-
AWS AppConfig utilizza il prefisso prima
appconfig:
delle azioni. -
Lo·Strumento·di·gestione·degli·incidenti utilizza il prefisso
ssm-incidents:
ossm-contacts:
prima delle operazioni. -
Systems Manager GUI Connect utilizza il prefisso
ssm-guiconnect
prima delle operazioni.
-
-
I documenti e le risorse di definizione dell'automazione di proprietà di Amazon, nonché i parametri pubblici forniti da Amazon e da fonti di terze parti, non includono gli account IDs nei rispettivi formati ARN. Per esempio:
-
Il documento SSM
AWS-RunPatchBaseline
:arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline
-
Il runbook Automation
AWS-ConfigureMaintenanceWindows
:arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows
-
I parametri pubblici
/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version
:arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version
Per ulteriori informazioni su questi tre tipi di risorse, consulta i seguenti argomenti:
-
-
Quick Setup utilizza il prefisso
ssm-quicksetup:
prima delle azioni.
Tipo di risorsa | Formato ARN |
---|---|
Applicazione (AWS AppConfig) | arn:aws:appconfig: :application/ region account-id application-id |
Associazione | arn:aws:ssm: :associazione/ region account-id association-id |
Esecuzione di automazione | arn:aws:ssm: region :esecuzione-automatia/ account-id automation-execution-id |
Definizione di automazione (con sottorisorsa della versione) |
arn:aws:ssm: ::automation-definition/ |
Profilo di configurazione (AWS AppConfig) | arn:aws:appconfig: :application/ region /configurationprofile/ account-id application-id configurationprofile-id |
Contattare lo·Strumento·di·gestione·degli·incidenti |
arn:aws:ssm-contacts: ::contatto/ |
Strategia di distribuzione (AWS AppConfig) | arn: aws:appconfig:: strategia di distribuzione/ region account-id deploymentstrategy-id |
Documento |
arn:aws:ssm: :documento/ |
Ambiente (AWS AppConfig) | arn:aws:appconfig: :applicazione/ region account-id /ambiente/ application-id environment-id |
Incidente |
arn:aws:ssm-incidents: |
Maintenance window (Finestra di manutenzione) |
arn: aws:ssm: :finestra di manutenzione/ |
Nodo gestito |
arn:aws:ssm: |
Inventario nodi gestiti | arn:aws:ssm::region :/account-id managed-instance-inventorymanaged-node-id |
OpsItem | arn:aws:ssm region account-id : :opsitem/ OpsItem-id |
Parametro |
Parametro a un livello:
Un parametro denominato con una struttura gerarchica:
|
Base di patch |
arn:aws:ssm: |
Piano di risposta |
arn:aws:ssm-incidents: :piano di risposta |
Sessione |
arn:aws:ssm: :session/ |
Tutti Systems Manager risorse |
arn:aws:ssm:* |
Tutti Systems Manager risorse di proprietà dello specificato nello specificato Account AWS Regione AWS |
arn:aws:ssm::: * |
Per le definizioni di automazione, Systems Manager supporta una risorsa di secondo livello, l'ID di versione. Nel AWS, queste risorse di secondo livello sono note come sottorisorse. Specificare una risorsa secondaria della versione per una risorsa di definizione di automazione consente di fornire l'accesso ad alcune versioni di una definizione di automazione. Ad esempio, è possibile assicurare che solo la versione più recente di una definizione di automazione venga utilizzata nella gestione del nodo.
Per organizzare e gestire i parametri, è possibile creare nomi per i parametri con una struttura gerarchica. Con tale struttura gerarchica, un nome di parametro può includere un percorso che definisci tramite l'utilizzo delle barre. È possibile assegnare un nome a una risorsa di parametro con un massimo di quindici livelli. Ti consigliamo di creare gerarchie che riflettano una struttura gerarchica esistente nel tuo ambiente. Per ulteriori informazioni, consulta Creazione Parameter Store parametri in Systems Manager.
Nella maggior parte dei casi, l'ID della sessione è costruito utilizzando l'ID dell'utente dell'account che ha iniziato la sessione, oltre a un suffisso alfanumerico. Ad esempio:
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
Tuttavia, se l'ID utente non è disponibile, l'ARN viene costruito in questo modo:
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
Per ulteriori informazioni sul formato di ARNs, consulta Amazon Resource Names (ARNs) nel Riferimenti generali di Amazon Web Services.
Per un elenco di Systems Manager tipi di risorse e relativi ARNs, vedere Risorse definite da AWS Systems Managernel riferimento di autorizzazione del servizio. Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, vedere Azioni definite da AWS Systems Manager.
Chiavi di condizione per Systems Manager
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento Condition
(o blocco Condition
) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Condition
è facoltativo. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi Condition
in un'istruzione o più chiavi in un singolo elemento Condition
, questi vengono valutati da AWS utilizzando un'operazione AND
logica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. OR
Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
Per visualizzare un elenco di Systems Manager chiavi di condizione, vedi Condition Keys per AWS Systems Managernel riferimento di autorizzazione del servizio. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, consulta Azioni definite da AWS Systems Manager.
Per informazioni sull'utilizzo della chiave di condizione ssm:resourceTag/*
, consulta gli argomenti elencati di seguito:
Per informazioni su come utilizzare le chiavi di condizione ssm:Recursive
, ssm:Policies
e ssm:Overwrite
consulta Impedire l'accesso a Parameter Store Operazioni API.
Esempi
Per visualizzare esempi di Systems Manager politiche basate sull'identità, vedere. AWS Systems Manager esempi di politiche basate sull'identità
Systems Manager politiche basate sulle risorse
Altri Servizi AWS, come Amazon Simple Storage Service (Amazon S3), supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile allegare una policy di autorizzazione a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.
Systems Manager non supporta politiche basate sulle risorse.
Autorizzazione basata su Systems Manager tags
È possibile allegare tag a Systems Manager risorse o invia tag in una richiesta a Systems Manager. Per controllare l'accesso in base ai tag, fornisci le informazioni sui tag nell'elemento condition di una policy utilizzando i tasti ssm:resourceTag/
key-name
aws:ResourceTag/
key-name
aws:RequestTag/
,, o key-name
aws:TagKeys
condition. È possibile aggiungere tag ai seguenti tipi di risorse quando vengono creati o aggiornati:
-
Documento
-
Nodo gestito
-
Maintenance window (Finestra di manutenzione)
-
Parametro
-
Base di patch
-
OpsItem
Per visualizzare un esempio di policy basata su identità per limitare l'accesso a una risorsa in base ai tag di tale risorsa, consulta Visualizzazione Systems Manager documenti basati su tag.
Systems Manager Ruoli IAM
Un ruolo IAM è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.
Utilizzo di credenziali temporanee con Systems Manager
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni API AWS Security Token Service (AWS STS) come AssumeRoleo. GetFederationToken
Systems Manager supporta l'utilizzo di credenziali temporanee.
Ruoli collegati ai servizi
I ruoli collegati ai servizi consentono di accedere Servizi AWS alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono elencati nell'account IAM e sono di proprietà del servizio. Un amministratore può visualizzare, ma non modificare le autorizzazioni dei ruoli collegati ai servizi.
Systems Manager supporta ruoli collegati ai servizi. Per informazioni dettagliate sulla creazione o la gestione Systems Manager ruoli collegati ai servizi, vedere. Utilizzo di ruoli collegati ai servizi per Systems Manager
Ruoli dei servizi
Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.
Systems Manager supporta i ruoli di servizio.
Scelta di un ruolo IAM in Systems Manager
In Systems Manager per interagire con i nodi gestiti, devi scegliere un ruolo da consentire Systems Manager per accedere ai nodi per tuo conto. Se in precedenza hai creato un ruolo di servizio o un ruolo collegato al servizio, allora Systems Manager fornisce un elenco di ruoli tra cui scegliere. È importante scegliere un ruolo che consenta l'accesso per avviare e arrestare i nodi gestiti.
Per accedere alle EC2 istanze, è necessario configurare le autorizzazioni delle istanze. Per informazioni, consulta la pagina Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager.
Per accedere ai non EC2 nodi in un ambiente ibrido e multicloud, il ruolo di cui hai Account AWS bisogno è un ruolo di servizio IAM. Per informazioni, consulta Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud.
I flussi di lavoro di automazione possono essere avviati nel contesto di un ruolo di servizio (o ruolo presunto). Ciò permette al servizio di eseguire operazioni per conto tuo. Se non specifichi un ruolo presunto, il servizio di automazione utilizza il contesto dell'utente che ha richiamato l'esecuzione. Tuttavia, i seguenti scenari richiedono di specificare un ruolo di servizio di automazione. Per ulteriori informazioni, consulta Configurazione di un accesso al ruolo di servizio (ruolo presunto) per le automazioni.
AWS Systems Manager policy gestite
AWS affronta molti casi d'uso comuni fornendo politiche IAM autonome create e amministrate da. AWS Le policy gestite da AWS concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. (Puoi anche creare le tue policy IAM personalizzate per consentire le autorizzazioni per Systems Manager azioni e risorse.)
Per ulteriori informazioni sulle policy gestite per Systems Manager, consulta AWS politiche gestite per AWS Systems Manager
Per informazioni generali sulle policy gestite, consulta Policy gestite da AWS nella Guida per l'utente IAM.