使用 IAM 处理关联
State Manager (AWS Systems Manager 的一种关联)使用 targets 以选择您使用哪些实例配置关联。最初,关联是通过指定文档名称(Name)和实例 ID(InstanceId)创建的。这会在文档和实例或托管式节点之间创建关联。通过这些参数标识的关联。这些参数现在已弃用,但仍受支持。资源 instance 和 managed-instance 作为资源添加到具有 Name 和 InstanceId 的操作中。
AWS Identity and Access Management (IAM) 策略实施行为取决于指定的资源类型。State Manager 操作的资源仅根据传入的请求强制执行。State Manager 不会对账户中的资源属性进行深入检查。只有当请求参数包含指定的策略资源时,才会根据策略资源验证请求。例如,如果您在资源块中指定了一个实例,则如果请求使用 InstanceId 参数,策略会强制执行。不会为InstanceId 检查账户中每项资源的 Targets 参数。
以下是一些具有混淆的行为的情况:
-
DescribeAssociation、DeleteAssociation 和 UpdateAssociation 使用
instance、managed-instance和document资源来指定已弃用的引用关联的方式。这包括所有使用已弃用使用的InstanceId参数创建的关联。 -
CreateAssociation、CreateAssociationBatch 和 UpdateAssociation 使用
instance和managed-instance资源来指定已弃用的引用关联的方式。这包括所有使用已弃用的InstanceId参数创建的关联。document资源类型是已弃用的引用关联方式的一部分,并且是关联的实际属性。这意味着您可以根据文档名称为Create和Update操作构建具有Allow或Deny权限的 IAM 策略。
有关将 IAM 策略与 Systems Manager 配合使用的更多信息,请参阅 服务授权参考中的 适用于 AWS Systems Manager 的身份和访问管理 或者操作、资源和条件键 AWS Systems Manager。
