AWS Systems ManagerChange Managertidak lagi terbuka untuk pelanggan baru. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat perubahan AWS Systems ManagerChange Manager ketersediaan.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Cara kerja AWS Systems Manager dengan IAM
Sebelum Anda menggunakan AWS Identity and Access Management (IAM) untuk mengelola akses AWS Systems Manager, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan. Systems Manager Untuk mendapatkan tampilan tingkat tinggi tentang bagaimana Systems Manager dan Layanan AWS pekerjaan lainnya dengan IAM, lihat Layanan AWS bahwa bekerja dengan IAM di Panduan Pengguna IAM.
Topik
Kebijakan berbasis identitas Systems Manager
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, dan juga ketentuan di mana tindakan tersebut diperbolehkan atau ditolak. Systems Manager mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.
Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.
Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di Systems Manager menggunakan prefiks berikut sebelum tindakan: ssm:. Misalnya, untuk memberikan izin kepada seseorang untuk membuat Systems Manager parameter (parameter SSM) dengan operasi Systems Manager PutParameter API, Anda menyertakan ssm:PutParameter tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus menyertakan elemen Action atau NotAction. Systems Manager menentukan set tindakan sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan tindakan-tindakan tersebut menggunakan koma seperti berikut:
"Action": [ "ssm:action1", "ssm:action2" ]
catatan
Alat-alat berikut AWS Systems Manager menggunakan awalan yang berbeda sebelum tindakan.
-
AWS AppConfig menggunakan awalan
appconfig:sebelum tindakan. -
Manajer Insiden menggunakan awalan
ssm-incidents:ataussm-contacts:sebelum tindakan. -
Systems Manager GUI Connect menggunakan awalan
ssm-guiconnect:sebelum tindakan. -
Quick Setupmenggunakan awalan
ssm-quicksetup:sebelum tindakan.
Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:
"Action": "ssm:Describe*"
Untuk melihat daftar tindakan Systems Manager, lihat Tindakan yang Ditentukan oleh AWS Systems Manager dalam Referensi Otorisasi Layanan.
Sumber Daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.
Elemen kebijakan JSON Resource menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Untuk tindakan yang tidak mendukung izin tingkat sumber daya, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
"Resource": "*"
Misalnya, sumber daya jendela Systems Manager pemeliharaan memiliki format ARN berikut.
arn:aws:ssm:region:account-id:maintenancewindow/window-id
Untuk menentukan jendela pemeliharaan MW-0C50858D01Example dalam pernyataan Anda di Wilayah AS Timur (Ohio), Anda akan menggunakan ARN yang mirip dengan yang berikut ini.
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
Untuk menentukan semua windowa pemeliharaan milik akun tertentu, gunakan wildcard (*).
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
Untuk operasi Parameter Store API, Anda dapat menyediakan atau membatasi akses ke semua parameter dalam satu tingkat hierarki dengan menggunakan nama hierarkis dan kebijakan AWS Identity and Access Management (IAM) sebagai berikut.
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
Beberapa tindakan Systems Manager, seperti tindakan untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).
"Resource": "*"
Beberapa operasi Systems Manager API menerima banyak sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma sebagai berikut.
"Resource": [ "resource1", "resource2"
catatan
Sebagian besar Layanan AWS memperlakukan titik dua (:) atau garis miring (/) sebagai karakter yang sama di ARNs. Namun, Systems Manager membutuhkan kecocokan yang tepat dalam pola dan aturan sumber daya. Saat membuat pola peristiwa, pastikan untuk menggunakan karakter ARN yang benar sehingga cocok dengan ARN sumber daya.
Tabel di bawah ini menjelaskan format ARN untuk jenis sumber daya yang didukung oleh. Systems Manager
catatan
Perhatikan pengecualian berikut untuk format ARN.
-
Alat-alat berikut AWS Systems Manager menggunakan awalan yang berbeda sebelum tindakan.
-
AWS AppConfig menggunakan awalan
appconfig:sebelum tindakan. -
Manajer Insiden menggunakan awalan
ssm-incidents:ataussm-contacts:sebelum tindakan. -
Systems Manager GUI Connect menggunakan awalan
ssm-guiconnectsebelum tindakan.
-
-
Dokumen dan sumber daya definisi otomatisasi yang dimiliki oleh Amazon, serta parameter publik yang disediakan oleh Amazon dan sumber pihak ketiga, tidak menyertakan akun IDs dalam format ARN mereka. Contoh:
-
Dokumen
AWS-RunPatchBaselineSSM:arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline -
Runbook
AWS-ConfigureMaintenanceWindowsotomatisasi:arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows -
Parameter publik
/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version:arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version
Untuk informasi selengkapnya tentang ketiga jenis sumber daya ini, lihat topik berikut:
-
-
Quick Setupmenggunakan awalan
ssm-quicksetup:sebelum tindakan.
| Tipe sumber daya | Format ARN |
|---|---|
| Aplikasi (AWS AppConfig) | arn:aws:appconfig: ::aplikasi/ region account-id application-id |
| Asosiasi | arn:aws:ssm: ::asosiasi/regionaccount-idassociation-id |
| Eksekusi otomatisasi | arn:aws:ssm: ::otomasi-eksekusi/regionaccount-idautomation-execution-id |
| Definisi otomatisasi (dengan versi subsumber daya) |
arn:aws:ssm: ::otomasi-definisi/: 1 |
| Profil konfigurasi (AWS AppConfig) | arn:aws:appconfig: ::application/ /configurationprofile/ region account-id application-id configurationprofile-id |
| Kontak (Manajer Insiden) |
arn:aws:ssm-kontak: ::kontak/ |
| Strategi penyebaran ()AWS AppConfig | arn:aws:appconfig: ::deploymentstrategy/ region account-id deploymentstrategy-id |
| Dokumen |
arn:aws:ssm: ::dokumen/ |
| Lingkungan (AWS AppConfig) | arn:aws:appconfig: ::aplikasi//lingkungan/regionaccount-idapplication-idenvironment-id |
| Insiden |
arn:aws:ssm-insiden: ::catatan insiden/ |
| Periode pemeliharaan |
arn:aws:ssm: ::maintenance window/ |
| Node terkelola |
arn:aws:ssm: ::instance-manage/ |
| Inventaris simpul terkelola | arn:aws:ssm:::/regionaccount-idmanaged-instance-inventorymanaged-node-id |
| OpsItem | arn:aws:ssm: ::opsitem/regionaccount-idOpsItem-id |
| Parameter |
Parameter satu tingkat:
Parameter bernama dengan konstruksi hierarkis:
|
| Garis dasar patch |
arn:aws:ssm: ::patchbaseline/ |
| Rencana respons |
arn:aws:ssm-insiden: ::respons-plan/ |
| Sesi |
arn:aws:ssm: ::sesi/ 3 |
|
Semua sumber daya Systems Manager |
arn:aws:ssm:* |
|
Semua Systems Manager sumber daya yang dimiliki oleh yang ditentukan Akun AWS dalam yang ditentukan Wilayah AWS |
arn:aws:ssm::: * |
1 Untuk definisi otomatisasi, Systems Manager mendukung sumber daya tingkat kedua, ID versi. Pada tahun AWS, sumber daya tingkat kedua ini dikenal sebagai subsumber daya. Menentukan versi subsumber daya untuk sumber definisi otomatisasi memungkinkan Anda untuk menyediakan akses ke versi tertentu dari definisi otomatisasi. Misalnya, Anda mungkin ingin memastikan bahwa hanya versi terbaru dari definisi otomatisasi yang digunakan dalam manajemen node Anda.
2 Untuk mengatur dan mengelola parameter, Anda dapat membuat nama untuk parameter dengan konstruksi hierarkis. Dengan konstruksi hirarkis, nama parameter dapat mencakup jalur yang Anda tentukan dengan menggunakan garis miring ke depan. Anda dapat menyebutkan sumber daya parameter maksimum lima belas tingkat. Kami menyarankan agar Anda membuat hierarki yang mencerminkan struktur hierarkis yang ada di lingkungan Anda. Untuk informasi selengkapnya, lihat Membuat Parameter Store parameter di Systems Manager.
3 Dalam kebanyakan kasus, ID sesi dibuat menggunakan ID pengguna akun yang memulai sesi, ditambah akhiran alfanumerik. Contoh:
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLENamun, jika ID pengguna tidak tersedia, ARN dibangun dengan cara ini sebagai gantinya:
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLEUntuk informasi selengkapnya tentang format ARNs, lihat Amazon Resource Names (ARNs) di Referensi Umum Amazon Web Services.
Untuk daftar jenis sumber daya dan jenis Systems Manager sumber daya ARNs, lihat Sumber Daya yang Ditentukan oleh AWS Systems Manager dalam Referensi Otorisasi Layanan. Untuk mempelajari tindakan mana yang dapat menentukan ARN setiap sumber daya, lihat Tindakan yang Ditentukan oleh AWS Systems Manager.
Kunci kondisi untuk Systems Manager
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Artinya, prinsipal manakah yang dapat melakukan tindakan pada sumber daya apa, dan dengan kondisi apa.
ConditionElemen menentukan ketika pernyataan mengeksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan Pengguna IAM.
Untuk melihat daftar kunci syarat Systems Manager, lihat Kunci Syarat untuk AWS Systems Manager dalam Referensi Otorisasi Layanan. Untuk mempelajari tindakan dan sumber daya mana yang dapat Anda gunakan kunci syarat, lihat Tindakan yang Ditentukan oleh AWS Systems Manager.
Untuk informasi tentang penggunaan kunci kondisi ssm:resourceTag/*, lihat topik berikut:
Untuk informasi tentang menggunakan tombol ssm:Recursivessm:Policies,, dan ssm:Overwrite kondisi, lihatMencegah akses ke operasi Parameter Store API.
Contoh
Untuk melihat contoh kebijakan berbasis identitas Systems Manager, lihat Contoh kebijakan berbasis identitas AWS Systems Manager.
Systems Manager Kebijakan berbasis sumber daya
Lainnya Layanan AWS, seperti Amazon Simple Storage Service (Amazon S3), mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan izin ke bucket S3 untuk mengelola izin akses ke bucket tersebut.
Systems Manager tidak mendukung kebijakan berbasis sumber daya.
Otorisasi berdasarkan tag Systems Manager
Anda dapat melampirkan tanda ke sumber daya Systems Manager atau meneruskan tanda dalam sebuah permintaan ke Systems Manager. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag di elemen kondisi kebijakan menggunakan kunci kondisi ssm:resourceTag/, key-nameaws:ResourceTag/, key-nameaws:RequestTag/, atau key-nameaws:TagKeys. Anda dapat menambahkan tag ke jenis sumber daya berikut saat Anda membuat atau memperbaruinya:
-
Dokumen
-
Node terkelola
-
Periode pemeliharaan
-
Parameter
-
Garis dasar patch
-
OpsItem
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tanda pada sumber daya tersebut, lihat Melihat Systems Manager dokumen berdasarkan tag.
Peran IAM Systems Manager
Peran IAM adalah entitas di dalam Anda Akun AWS yang memiliki izin khusus.
Menggunakan kredensial sementara dengan Systems Manager
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensyal keamanan sementara dengan memanggil AWS Security Token Service (AWS STS) operasi API seperti AssumeRoleatau. GetFederationToken
Systems Manager mendukung penggunaan kredensial sementara.
Peran terkait layanan
Peran terkait layanan memungkinkan Layanan AWS untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan tercantum dalam akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator dapat melihat tetapi tidak dapat mengedit izin untuk peran yang terkait dengan layanan.
Systems Manager mendukung peran terkait layanan Untuk informasi selengkapnya tentang cara membuat atau mengelola peran terkait layanan Systems Manager, lihat Menggunakan peran terkait layanan untuk Systems Manager.
Peran layanan
Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan ditampilkan dalam akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti bahwa administrator dapat mengubah izin untuk peran ini. Namun, melakukannya mungkin merusak fungsi layanan.
Systems Manager mendukung peran layanan
Memilih IAM role dalam Systems Manager
Systems ManagerAgar dapat berinteraksi dengan node terkelola Anda, Anda harus memilih peran yang Systems Manager memungkinkan mengakses node atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan atau peran terkait layanan, Systems Manager berikan daftar peran yang dapat dipilih. Penting untuk memilih peran yang memungkinkan akses untuk memulai dan menghentikan node yang dikelola.
Untuk mengakses EC2 instance, Anda harus mengonfigurasi izin instans. Untuk selengkapnya, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.
Untuk mengakses EC2 non-node dalam hybrid dan multicloud, peran yang Anda Akun AWS butuhkan adalah peran layanan IAM. Untuk selengkapnya, lihat Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud.
Alur kerja otomatisasi dapat dimulai di bawah konteks peran layanan (atau peran asumsi). Hal ini mengizinkan layanan untuk kemudian melakukan tindakan atas nama Anda. Jika Anda tidak menentukan peran asumsi, otomatisasi menggunakan konteks pengguna yang dipanggil eksekusi. Namun, situasi tertentu mengharuskan Anda menentukan peran layanan untuk otomatisasi. Untuk informasi selengkapnya, lihat Mengonfigurasi akses peran layanan (peran asumsi) untuk otomatisasi.
Kebijakan yang dikelola AWS Systems Manager
AWS mengatasi banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWSKebijakan terkelola AWS ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin mana yang diperlukan. (Anda juga dapat membuat kebijakan IAM kustom Anda sendiri untuk mengizinkan izin Systems Manager tindakan dan sumber daya.)
Untuk informasi selengkapnya tentang kebijakan terkelola untuk Systems Manager, lihat AWS kebijakan terkelola untuk AWS Systems Manager
Untuk informasi umum tentang kebijakan terkelola, lihat kebijakan AWS terkelola di Panduan Pengguna IAM.
