本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
透過 IAM 使用關聯
State Manager(的 AWS Systems Manager功能) 會使用目標來選擇您設定關聯的執行處理。最初,關聯是透過指定文件名稱 (Name) 和執行個體 ID (InstanceId) 來建立的。這創建了一個文檔和一個實例或託管節點之間的關聯。關聯通常由這些參數識別。這些參數現在已被取代,但仍支援它們。資源 instance 和 managed-instance 作為資源新增到具有 Name 和 InstanceId 的動作。
AWS Identity and Access Management (IAM) 政策強制執行行為取決於指定的資源類型。僅根據傳入的請求強制執行 State Manager 的資源操作。State Manager 不會對帳戶中資源的屬性執行深入檢查。只有在請求參數包含指定的政策資源時,才會針對政策資源驗證請求。例如,如果您在資源區塊中指定執行個體,若請求使用 InstanceId 參數,則會強制執行政策。不會針對該 InstanceId 來檢查帳戶中每個資源的 Targets 參數。
以下是具有迷惑行為的一些案例:
-
DescribeAssociationDeleteAssociation、和UpdateAssociation使用
instancemanaged-instance、和document資源來指定參照關聯的已棄用方式。這包括使用已取代的InstanceId參數建立的所有關聯。 -
CreateAssociationCreateAssociationBatch、以及UpdateAssociation使用
instance和managed-instance資源來指定參照關聯的已棄用方式。這包括使用已取代的InstanceId參數建立的所有關聯。document資源類型是參考關聯的已取代方式的一部分,並且是關聯的實際屬性。這表示您可以針對兩者建構具有Allow或Deny權限的 IAM 政策,Create並根據文件名稱建構Update動作。
如需有關搭配使用 IAM 政策與 Systems Manager 的詳細資訊,請參閱《服務授權參考》中的 的身分和存取管理 AWS Systems Manager 或適用於 AWS Systems Manager的動作、資源及條件金鑰。
