Utilizzo delle associazioni tramite IAM - AWS Systems Manager

Utilizzo delle associazioni tramite IAM

State Manager, una funzionalità di AWS Systems Manager, utilizza target per scegliere con quali istanze configurare le associazioni. Originariamente, le associazioni venivano create specificando un nome di documento (Name) e un ID di istanza (InstanceId). In questo modo è stata creata un'associazione tra un documento e un'istanza o nodo gestito. Le associazioni erano identificate da questi parametri. Questi parametri sono ora obsoleti, ma sono comunque supportati. Le risorseinstanceemanaged-instancesono stati aggiunti come risorse alle azioni conNameeInstanceId.

Il comportamento dell'applicazione delle policy AWS Identity and Access Management (IAM) dipende dal tipo di risorsa specificato. Le risorse per operazioni di State Manager vengono applicate solo in base alla richiesta inoltrata. State Manager non esegue un controllo approfondito delle proprietà delle risorse nell'account. Una richiesta viene convalidata in base alle risorse di policy solo se il parametro della richiesta contiene le risorse di policy specificate. Ad esempio, se si specifica un'istanza nel blocco di risorse, la policy viene applicata se la richiesta utilizza il parametro InstanceId. Il parametro Targets per ogni risorsa nell'account non viene controllato per questo InstanceId.

Di seguito sono riportati alcuni casi con comportamento confuso:

  • DescribeAssociation, DeleteAssociation e UpdateAssociation usano le risorse instance, managed-instance e document per specificare il modo obsoleto di riferirsi alle associazioni. Ciò include tutte le associazioni create con il parametro obsoleto InstanceId.

  • CreateAssociation, CreateAssociationBatch e UpdateAssociation usano le risorse instance e managed-instance per specificare il modo obsoleto di riferirsi alle associazioni. Ciò include tutte le associazioni create con il parametro obsoleto InstanceId. Il tipo di risorsa document fa parte del modo obsoleto di riferirsi alle associazioni ed è proprietà effettiva di un'associazione. Ciò significa che è possibile creare policy IAM con autorizzazioni Allow o Deny per entrambe le azioni Create e Update in base al nome del documento.

Per ulteriori informazioni sull'uso delle policy IAM con Systems Manager, consultare Gestione delle identità e degli accessi per l'AWS Systems Manager oppure Operazioni, risorse e chiavi di condizione per AWS Systems Manager nella Guida all'autorizzazione dei servizi.