本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Systems Manager 的動作、資源和條件索引鍵
AWS Systems Manager (服務字首:ssm) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視API此服務可用的操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Systems Manager 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用 動作時,通常會允許或拒絕存取具有相同名稱API的操作或CLI命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作ARN的陳述式中指定該類型的 。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在 IAM 政策中限制對 Resource元素的資源存取,您必須為每個必要的資源類型包含 ARN或 模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AddTagsToResource | 准許新增或覆寫指定 AWS 資源的一或多個標籤 | 標記 | |||
| AssociateOpsItemRelatedItem | 准許 RelatedItem 與 建立關聯 OpsItem | 寫入 | |||
| CancelCommand | 准許取消指定的 Run Command 命令 | 寫入 | |||
| CancelMaintenanceWindowExecution | 准許取消正在執行的維護時段作業 | 寫入 | |||
| CreateActivation | 准許建立用於向 Systems Manager 註冊內部部署伺服器和虛擬機器 (VMs) 的啟用 | 寫入 | |||
| CreateAssociation | 准許建立指定 Systems Manager 文件與指定執行個體或其他目標的關聯性 | 寫入 | |||
| CreateAssociationBatch | 准許在單一命令中合併多個 CreateAssociation 操作的項目 | 寫入 | |||
| CreateDocument | 准許建立 Systems Manager SSM 文件 | 寫入 |
iam:PassRole |
||
| CreateMaintenanceWindow | 准許建立維護時段 | 寫入 | |||
| CreateOpsItem | 准許在 OpsItem 中建立 OpsCenter | 寫入 | |||
| CreateOpsMetadata | 准許為 AWS 資源建立 OpsMetadata 物件 | 寫入 | |||
| CreatePatchBaseline | 准許建立修補程式基準 | 寫入 | |||
| CreateResourceDataSync | 准許建立資源資料同步組態,此組態會定期收集受管執行個體的清查資料,並更新 Amazon S3 儲存貯體中的資料 | 寫入 | |||
| DeleteActivation | 准許刪除受管執行個體的指定啟動作業 | 寫入 | |||
| DeleteAssociation | 准許取消指定SSM文件與指定執行個體的關聯 | 寫入 | |||
| DeleteDocument | 准許刪除指定的SSM文件及其執行個體關聯 | 寫入 | |||
| DeleteInventory | 准許刪除指定的自訂清查類型或與自訂清查類型關聯的資料 | 寫入 | |||
| DeleteMaintenanceWindow | 准許刪除指定的維護時段 | 寫入 | |||
| DeleteOpsItem | 准許刪除 OpsItem | 寫入 | |||
| DeleteOpsMetadata | 准許刪除 OpsMetadata 物件 | 寫入 | |||
| DeleteParameter | 准許刪除指定的SSM參數 | 寫入 | |||
| DeleteParameters | 准許刪除多個指定的SSM參數 | 寫入 | |||
| DeletePatchBaseline | 准許刪除指定的修補程式基準 | 寫入 | |||
| DeleteResourceDataSync | 准許刪除指定的資源資料同步 | 寫入 | |||
| DeleteResourcePolicy | 准許刪除 Systems Manager 資源政策 | 許可管理 | |||
| DeregisterManagedInstance | 准許從 Systems Manager 取消登錄指定的內部部署伺服器或虛擬機器 (VM) | 寫入 | |||
| DeregisterPatchBaselineForPatchGroup | 准許取消登錄指定的修補程式基準,不使其成為指定修補程式群組的預設修補程式基準 | 寫入 | |||
| DeregisterTargetFromMaintenanceWindow | 准許取消登錄維護時段中的指定目標 | 寫入 | |||
| DeregisterTaskFromMaintenanceWindow | 准許取消登錄維護時段中的指定作業 | 寫入 | |||
| DescribeActivations | 准許檢視指定受管執行個體啟動作業的詳細資訊,例如建立的時間以及使用啟動作業登錄的執行個體數目 | 讀取 | |||
| DescribeAssociation | 准許檢視指定執行個體或目標之指定關聯性的詳細資訊 | 讀取 | |||
| DescribeAssociationExecutionTargets | 准許檢視指定的相關聯執行資訊 | 讀取 | |||
| DescribeAssociationExecutions | 准許檢視所有指定關聯性的執行作業 | 讀取 | |||
| DescribeAutomationExecutions | 准許檢視所有作用中和已終止自動化執行的詳細資訊 | 讀取 | |||
| DescribeAutomationStepExecutions | 准許檢視自動化工作流程中所有啟用中及已終止步驟的執行相關資訊 | 讀取 | |||
| DescribeAvailablePatches | 准許檢視符合修補程式基準收容資格的所有修補程式 | 讀取 | |||
| DescribeDocument | 准許檢視指定SSM文件的詳細資訊 | 讀取 | |||
| DescribeDocumentParameters | 准許在 Systems Manager 主控台中顯示SSM文件參數的相關資訊 (內部 Systems Manager 動作) | 讀取 | |||
| DescribeDocumentPermission | 准許檢視指定SSM文件的許可 | 讀取 | |||
| DescribeEffectiveInstanceAssociations | 准許檢視指定執行個體的所有目前關聯性 | 讀取 | |||
| DescribeEffectivePatchesForPatchBaseline | 准許檢視目前與指定修補程式基準相關聯的修補程式詳細資訊 (僅限 Windows) | 讀取 | |||
| DescribeInstanceAssociationsStatus | 准許檢視指定執行個體的關聯性狀態 | 讀取 | |||
| DescribeInstanceInformation | 准許檢視指定執行個體的詳細資訊 | 讀取 | |||
| DescribeInstancePatchStates | 准許檢視指定執行個體的修補程式狀態詳細資訊 | 讀取 | |||
| DescribeInstancePatchStatesForPatchGroup | 准許描述指定修補群組中執行個體高層級修補程式狀態 | 讀取 | |||
| DescribeInstancePatches | 准許檢視指定執行個體的修補程式一般詳細資訊 | 讀取 | |||
| DescribeInstanceProperties | 准許使用者的 Amazon EC2主控台轉譯受管執行個體的節點 | 讀取 | |||
| DescribeInventoryDeletions | 准許檢視指定清查刪除作業的詳細資訊 | 讀取 | |||
| DescribeMaintenanceWindowExecutionTaskInvocations | 准許檢視在維護時段期間執行的指定任務詳細資訊 | 列出 | |||
| DescribeMaintenanceWindowExecutionTasks | 准許檢視曾在指定維護時段執行期間執行的任務詳細資訊 | 列出 | |||
| DescribeMaintenanceWindowExecutions | 准許檢視執行的指定維護時段 | 列出 | |||
| DescribeMaintenanceWindowSchedule | 准許檢視即將執行之指定維護時段的詳細資訊 | 列出 | |||
| DescribeMaintenanceWindowTargets | 准許檢視與指定維護時段相關聯目標的清單 | 列出 | |||
| DescribeMaintenanceWindowTasks | 准許檢視與指定維護時段相關聯任務的清單 | 列出 | |||
| DescribeMaintenanceWindows | 准許檢視所有或指定的維護時段資訊 | 列出 | |||
| DescribeMaintenanceWindowsForTarget | 准許檢視維護時段目標的資訊以及與指定執行個體相關聯任務的資訊 | 清單 | |||
| DescribeOpsItems | 准許檢視指定的詳細資訊 OpsItems | 讀取 | |||
| DescribeParameters | 准許檢視指定SSM參數的詳細資訊 | 清單 | |||
| DescribePatchBaselines | 准許檢視符合指定條件之修補程式基準的資訊 | 列出 | |||
| DescribePatchGroupState | 准許檢視指定修補程式群組之修補程式的彙總狀態詳細資訊 | 列出 | |||
| DescribePatchGroups | 准許檢視指定修正程式群組的修補程式基準資訊 | 列出 | |||
| DescribePatchProperties | 准許檢視指定作業系統之可用修補程式和修補程式屬性的詳細資訊 | 列出 | |||
| DescribeSessions | 准許檢視符合指定搜尋條件之最近工作階段管理員工作階段的清單 | 清單 | |||
| DisassociateOpsItemRelatedItem | 准許取消 RelatedItem 與 的關聯 OpsItem | 寫入 | |||
| ExecuteAPI | 准許 Systems Manager 委派管理員檢視 OpsItems 中多個 AWS 帳戶之間的相關資源詳細資訊 AWS Management Console | 讀取 | |||
| GetAutomationExecution | 准許檢視指定自動化執行作業的詳細資訊 | 讀取 | |||
| GetCalendar [僅限許可] | 准許檢視特定行事曆詳細資訊 | 讀取 | |||
| GetCalendarState | 授與檢視變更行事曆或變更行事曆清單之行事曆狀態的權限 | 讀取 | |||
| GetCommandInvocation | 准許檢視指定呼叫或外掛程式之命令執行的詳細資訊 | 讀取 | |||
| GetConnectionStatus | 准許檢視指定受管執行個體的工作階段管理員連線狀態 | 讀取 | |||
| GetDefaultPatchBaseline | 准許檢視指定作業系統類型目前的預設修補程式基準 | 讀取 | |||
| GetDeployablePatchSnapshotForInstance | 准許擷取指定執行個體目前的修補程式基準快照 | 讀取 | |||
| GetDocument | 准許檢視指定SSM文件的內容 | 讀取 | |||
| GetExecutionPreview | 准許擷取現有的預覽,顯示執行指定的 Automation Runbook 對目標資源的影響 | 讀取 | |||
| GetInventory | 准許檢視依指定條件列出的執行個體清查詳細資訊 | 讀取 | |||
| GetInventorySchema | 准許檢視指定清查項目類型之清查類型或屬性名稱的清單 | 讀取 | |||
| GetMaintenanceWindow | 准許檢視指定維護時段的詳細資訊 | 讀取 | |||
| GetMaintenanceWindowExecution | 准許檢視指定維護時段執行作業的詳細資訊 | 讀取 | |||
| GetMaintenanceWindowExecutionTask | 准許檢視指定之維護時段執行任務的詳細資訊 | 讀取 | |||
| GetMaintenanceWindowExecutionTaskInvocation | 准許檢視在特定目標上執行的特定維護時段任務詳細資訊 | 讀取 | |||
| GetMaintenanceWindowTask | 准許檢視已登錄指定維護時段的任務詳細資訊 | 讀取 | |||
| GetManifest [僅限許可] | 准許 Systems Manager 和 SSM Agent 判斷執行個體的套件安裝需求 (內部 Systems Manager 呼叫) | 讀取 | |||
| GetOpsItem | 准許檢視指定 的相關資訊 OpsItem | 讀取 | |||
| GetOpsMetadata | 准許擷取 OpsMetadata 物件 | 讀取 | |||
| GetOpsSummary | 准許 OpsItems 根據指定的篩選條件和彙總工具檢視 的摘要資訊 | 讀取 | |||
| GetParameter | 准許檢視指定參數的資訊 | 讀取 | |||
| GetParameterHistory | 准許檢視指定參數的詳細資訊和變更 | 讀取 | |||
| GetParameters | 准許檢視多個指定參數的資訊 | 讀取 | |||
| GetParametersByPath | 准許檢視指定階層中參數的資訊 | 讀取 | |||
| GetPatchBaseline | 准許檢視指定修補程式基準的資訊 | 讀取 | |||
| GetPatchBaselineForPatchGroup | 准許檢視指定修補程式群組之目前修補程式基準的 ID | 讀取 | |||
| GetResourcePolicies | 准許擷取 Systems Manager 資源政策的清單 | 清單 | |||
| GetServiceSetting | 准許檢視 AWS 服務的帳戶層級設定 | 讀取 | |||
| LabelParameterVersion | 准許將識別標籤套用至參數的指定版本 | 寫入 | |||
| ListAssociationVersions | 准許列出指定關聯版本 | 清單 | |||
| ListAssociations | 准許列出指定SSM文件或受管執行個體的關聯 | 清單 | |||
| ListCommandInvocations | 准許列出傳送至指定執行個體的命令呼叫資訊 | 清單 | |||
| ListCommands | 准許列出傳送至指定執行個體的命令 | 清單 | |||
| ListComplianceItems | 准許列出指定資源上的指定資源類型相容性狀態 | 列出 | |||
| ListComplianceSummaries | 准許列出指定相容性類型之相容和不相容資源的計數摘要 | 清單 | |||
| ListDocumentMetadataHistory | 准許檢視指定SSM文件的中繼資料歷史記錄 | 清單 | |||
| ListDocumentVersions | 准許列出指定文件的所有版本 | 清單 | |||
| ListDocuments | 准許檢視指定SSM文件的相關資訊 | 清單 | |||
| ListInstanceAssociations | 准許SSM客服人員檢查新的 State Manager 關聯 (內部 Systems Manager 呼叫) | 清單 | |||
| ListInventoryEntries | 准許檢視指定執行個體的指定清查類型清單 | 清單 | |||
| ListNodes | 准許根據指定的篩選條件檢視受管節點的詳細資訊 | 清單 | |||
| ListNodesSummary | 准許根據指定的篩選條件和彙總器檢視受管節點的摘要資訊 | 清單 | |||
| ListOpsItemEvents | 准許檢視 的詳細資訊 OpsItemEvents | 清單 | |||
| ListOpsItemRelatedItems | 准許檢視 的詳細資訊 OpsItem RelatedItems | 清單 | |||
| ListOpsMetadata | 准許檢視 OpsMetadata 物件清單 | 清單 | |||
| ListResourceComplianceSummaries | 准許列出資源層次摘要計數 | 列出 | |||
| ListResourceDataSync | 准許列出帳號中資源資料同步組態的資訊 | 列出 | |||
| ListTagsForResource | 准許檢視指定資源的資源標籤清單 | 清單 | |||
| ModifyDocumentPermission | 准許公開或私下與指定的 AWS 帳戶共用自訂SSM文件 | 許可管理 | |||
| PutCalendar [僅限許可] | 准許建立/編輯特定行事曆 | 寫入 | |||
| PutComplianceItems | 准許在指定的資源上登錄合規類型及其他合規詳細資訊 | 寫入 | |||
| PutConfigurePackageResult [僅限許可] | 准許SSM客服人員產生特定客服人員請求結果的報告 (內部 Systems Manager 呼叫) | 讀取 | |||
| PutInventory | 准許在多個指定的受管執行個體上新增或更新清查項目 | 寫入 | |||
| PutParameter | 准許建立 SSM 參數 | 寫入 | |||
| PutResourcePolicy | 准許建立或更新 Systems Manager 資源政策 | 許可管理 | |||
| RegisterDefaultPatchBaseline | 准許指定作業系統類型的預設修補程式基準 | 寫入 | |||
| RegisterManagedInstance | 准許註冊 Systems Manager Agent | 寫入 | |||
| RegisterPatchBaselineForPatchGroup | 准許為指定的修補程式群組指定預設修補程式基準 | 寫入 | |||
| RegisterTargetWithMaintenanceWindow | 准許登錄具有指定維護時段的目標 | 寫入 | |||
| RegisterTaskWithMaintenanceWindow | 准許在指定的維護時段登錄任務 | 寫入 | |||
| RemoveTagsFromResource | 准許從指定的資源中移除指定的標籤金鑰 | 標記 | |||
| ResetServiceSetting | 准許將 的服務設定重設 AWS 帳戶 為預設值 | 寫入 | |||
| ResumeSession | 准許將工作階段管理員工作階段重新連線到受管執行個體 | 寫入 | |||
| SendAutomationSignal | 准許傳送訊號,以變更指定自動化執行目前的行為或狀態 | 寫入 | |||
| SendCommand | 准許對一或多個指定的受管執行個體執行命令 | 寫入 | |||
| StartAssociationsOnce | 准許手動執行指定的關聯性 | 寫入 | |||
| StartAutomationExecution | 准許啟動自動化文件執行 | 寫入 | |||
| StartChangeRequestExecution | 准許啟動自動化變更範本文件執行 | 寫入 | |||
| StartExecutionPreview | 准許建立預覽,顯示執行指定的 Automation Runbook 對目標資源的影響 | 讀取 | |||
| StartSession | 准許啟動工作階段管理員工作階段的指定目標連線 | 寫入 | |||
| StopAutomationExecution | 准許停止已在進行的指定自動化執行作業 | 寫入 | |||
| TerminateSession | 准許永久結束執行個體的工作階段管理員連線 | 寫入 | |||
| UnlabelParameterVersion | 准許從參數的指定版本移除識別標籤 | 寫入 | |||
| UpdateAssociation | 准許更新關聯性,並立即在指定的目標上執行關聯性 | 寫入 | |||
| UpdateAssociationStatus | 准許更新與指定執行個體相關聯的SSM文件狀態 | 寫入 | |||
| UpdateDocument | 准許更新SSM文件的一或多個值 | 寫入 | |||
| UpdateDocumentDefaultVersion | 准許變更SSM文件的預設版本 | 寫入 | |||
| UpdateDocumentMetadata | 准許更新SSM文件的中繼資料 | 寫入 | |||
| UpdateInstanceAssociationStatus [僅限許可] | 准許 SSM 代理程式更新其目前執行中的關聯狀態 (內部 Systems Manager 呼叫) | 寫入 | |||
| UpdateInstanceInformation | 准許SSM代理程式將活動訊號傳送至雲端中的 Systems Manager 服務 | 寫入 | |||
| UpdateMaintenanceWindow | 准許更新指定的維護時段 | 寫入 | |||
| UpdateMaintenanceWindowTarget | 准許更新指定的維護時段目標 | 寫入 | |||
| UpdateMaintenanceWindowTask | 准許更新指定的維護時段任務 | 寫入 | |||
| UpdateManagedInstanceRole | 准許指派或變更指派給指定受管執行個體IAM的角色 | 寫入 | |||
| UpdateOpsItem | 准許編輯或變更 OpsItem | 寫入 | |||
| UpdateOpsMetadata | 准許更新 OpsMetadata 物件 | 寫入 | |||
| UpdatePatchBaseline | 准許更新指定的修補程式基準 | 寫入 | |||
| UpdateResourceDataSync | 准許更新資源資料同步 | 寫入 | |||
| UpdateServiceSetting | 准許更新 的服務設定 AWS 帳戶 | 寫入 |
AWS Systems Manager 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型表。
注意
有些 State Manager API 參數已棄用。這可能會導致非預期行為。如需詳細資訊,請參閱使用 使用關聯IAM。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
| automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
| automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
| iam-role |
arn:${Partition}:iam::${Account}:role/${RoleName}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
| maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
| managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
| managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
| opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
| opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
| opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
| parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
| patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
| session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
| resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
| servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
| windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
| windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
AWS Systems Manager 的條件索引鍵
AWS Systems Manager 定義下列條件索引鍵,可用於 IAM政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵。
| 條件索引鍵 | 描述 | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | 根據指定標籤的允許值集,依「建立」請求篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 根據指派給 AWS 資源的標籤鍵值對篩選存取權 | 字串 |
| aws:TagKeys | 根據請求是否包含強制性標籤,依「建立」請求篩選存取權 | ArrayOfString |
| ec2:SourceInstanceARN | 依發出請求之執行個體ARN的 篩選存取權 | ARN |
| ssm:AutoApprove | 透過驗證使用者是否具有無需檢閱步驟就能啟動 Change Manager 工作流程 (變更凍結事件除外) 的許可來篩選存取權 | Bool |
| ssm:DocumentCategories | 透過驗證使用者是否具有存取屬於特定類別列舉的文件來篩選存取 | ArrayOfString |
| ssm:Overwrite | 依控制是否可以覆寫 Systems Manager 參數篩選存取權 | 字串 |
| ssm:Policies | 透過控制IAM實體 (使用者或角色) 是否可以建立或更新包含參數政策的參數來篩選存取權 | 字串 |
| ssm:Recursive | 依在階層結構中建立的 Systems Manager 參數篩選存取權 | 字串 |
| ssm:SourceInstanceARN | 透過驗證提出請求之 AWS Systems Manager 受管執行個體的 Amazon Resource Name (ARN) 來篩選存取權。當請求來自使用與執行個體描述檔相關聯IAM角色進行驗證的受管EC2執行個體時,此金鑰不存在 | ARN |
| ssm:SyncType | 透過驗證使用者是否也可以存取請求中 ResourceDataSync SyncType 指定的 來篩選存取權 | 字串 |
| ssm:resourceTag/${TagKey} | 依指派給 Systems Manager 資源的標籤鍵值對篩選存取權 | 字串 |
| ssm:resourceTag/aws:ssmmessages:session-id | 根據指派給 Systems Manager 工作階段資源的標籤金鑰值對篩選存取權 | 字串 |
| ssm:resourceTag/aws:ssmmessages:target-id | 根據指派給 Systems Manager 工作階段資源的標籤金鑰值對篩選存取權 | 字串 |
| ssm:resourceTag/tag-key | 根據指派給 Systems Manager 資源的標籤鍵值對篩選存取權 | 字串 |
