Impedire l'accesso alle operazioni dell'API di Parameter Store - AWS Systems Manager
Impedire le modifiche ai parametri esistenti utilizzando ssm:OverwriteImpedire la creazione o l'aggiornamento di parametri che utilizzano una politica di parametri utilizzando ssm:PoliciesImpedire l'accesso ai livelli in un parametro gerarchico utilizzando ssm:Recursive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impedire l'accesso alle operazioni dell'API di Parameter Store

Utilizzando condizioni specifiche del servizio supportate dalle policy di Systems Manager for AWS Identity and Access Management (IAM), puoi consentire o negare esplicitamente l'accesso alle operazioni e ai contenuti delle Parameter Store API. Utilizzando queste condizioni, è possibile consentire solo a determinate entità IAM (utenti e ruoli) dell'organizzazione di richiamare determinate operazioni API o impedire a determinate entità IAM di eseguirle. Ciò include le azioni eseguite tramite la Parameter Store console, AWS Command Line Interface ()AWS CLI e. SDKs

Systems Manager attualmente supporta tre condizioni specifiche per il Parameter Store.

Impedire le modifiche ai parametri esistenti utilizzando ssm:Overwrite

Utilizza la condizione ssm:Overwrite per controllare se le entità IAM siano in grado di aggiornare i parametri esistenti.

Nella seguente politica di esempio, l'"Allow"istruzione concede l'autorizzazione a creare parametri eseguendo l'operazione PutParameter API nel Account AWS 123456789012 nella regione Stati Uniti orientali (Ohio) (us-east-2).

Tuttavia, l'istruzione "Deny" impedisce alle Entità di modificare i valori dei parametri esistenti, poiché l'opzione Overwrite è esplicitamente negata per l'operazione PutParameter. In altre parole, le Entità a cui è stata assegnata questa policy creano parametri, ma non apportano modifiche ai parametri esistenti.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:PutParameter"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Overwrite": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        }
    ]
}

Impedire la creazione o l'aggiornamento di parametri che utilizzano una politica di parametri utilizzando ssm:Policies

Utilizza la condizione ssm:Policies per controllare se le Entità creano parametri che includono una politica di parametro e aggiornano i parametri esistenti che effettivamente la includono.

Nel seguente esempio di politica, l'"Allow"istruzione concede l'autorizzazione generale per la creazione di parametri, ma impedisce alle Entità di creare o aggiornare parametri che includono una politica dei parametri nel Account AWS 123456789012 nella regione Stati Uniti orientali (Ohio) (us-east-2). "Deny" Ad ogni modo, le Entità continuano a creare o aggiornare parametri a cui non è assegnata una politica di parametro.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:PutParameter"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Policies": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        }
    ]
}

Impedire l'accesso ai livelli in un parametro gerarchico utilizzando ssm:Recursive

Utilizza la condizione ssm:Recursive per controllare se le Entità IAM visualizzano o fanno riferimento ai livelli in un parametro gerarchico. È possibile fornire o limitare l'accesso a tutti i parametri oltre uno specifico livello di gerarchia.

Nella policy di esempio seguente, l'istruzione "Allow" fornisce l'accesso alle operazioni del Parameter Store su tutti i parametri nel percorso /Code/Departments/Finance/* per l' Account AWS 123456789012 nella regione Stati Uniti orientali (Ohio) (us-east-2).

Successivamente, l'istruzione "Deny" impedisce alle entità IAM di visualizzare o recuperare i dati dei parametri pari o inferiori al livello di /Code/Departments/*. Le Entità continuano comunque a creare o aggiornare i parametri in quel percorso. L'esempio è stato creato per illustrare che la negazione ricorsiva dell'accesso al di sotto di un certo livello in una gerarchia di parametri ha la precedenza sull'accesso più permissivo nella stessa politica.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:*"
            ],
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ssm:GetParametersByPath"
            ],
            "Condition": {
                "StringEquals": {
                    "ssm:Recursive": [
                        "true"
                    ]
                }
            },
            "Resource": "arn:aws:ssm:us-east-2:123456789012:parameter/Code/Departments/*"
        }
    ]
}
Importante

Se un utente ha accesso a un percorso, accederà a tutti i livelli del percorso. Ad esempio, se un utente è autorizzato ad accedere al percorso /a, accederà anche a /a/b. Ciò è vero a meno che all'utente non sia stato esplicitamente negato l'accesso in IAM per il parametro /b, come illustrato sopra.