Funzionamento di AWS Systems Manager con IAM - AWS Systems Manager
Policy Systems Manager basate su identità Policy di Systems Manager basate sulle risorse Autorizzazione basata su tag Systems ManagerRuoli IAM di Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Funzionamento di AWS Systems Manager con IAM

Prima di utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso a AWS Systems Manager, è necessario comprendere con quali funzionalità IAM è disponibile l'usoSystems Manager. Per avere una panoramica di alto livello su come Systems Manager e su altri Servizi AWS utilizzi IAM, consulta Servizi AWS la sezione dedicata all'utilizzo di IAM nella IAM User Guide.

Policy Systems Manager basate su identità

Con le policy basate su identità IAM è possibile specificare operazioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. Systems Manager supporta operazioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.

Azioni

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.

L’elemento Action di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso a un criterio. Includere le operazioni in una policy per concedere le autorizzazioni di eseguire l'operazione associata.

Le operazioni delle policy in Systems Manager utilizzano il seguente prefisso prima dell'operazione: ssm:. Ad esempio, per concedere a qualcuno l'autorizzazione per creare un parametro Systems Manager (parametro SSM) mediante l'operazione API Systems Manager PutParameter, includere l'operazione ssm:PutParameter nella policy. Le istruzioni delle policy devono includere un elemento Action o NotAction. Systems Managerdefinisce un proprio set di operazioni che descrivono le attività che è possibile eseguire con questo servizio.

Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

"Action": [
      "ssm:action1",
      "ssm:action2"
]
Nota

I seguenti strumenti AWS Systems Manager utilizzano prefissi diversi prima delle azioni.

  • AWS AppConfig utilizza il prefisso prima appconfig: delle azioni.

  • Lo·Strumento·di·gestione·degli·incidenti utilizza il prefisso ssm-incidents: o ssm-contacts: prima delle operazioni.

  • Systems Manager GUI Connect utilizza il prefisso ssm-guiconnect: prima delle operazioni.

  • Quick Setup utilizza il prefisso ssm-quicksetup: prima delle operazioni.

È possibile specificare più operazioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le operazioni che iniziano con la parola Describe, includi la seguente operazione:

"Action": "ssm:Describe*"

Per visualizzare un elenco di operazioni Systems Manager, consulta Operazioni definite da AWS Systems Manager in Riferimento per l'autorizzazione del servizio.

Resources

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.

L’elemento JSON Resource della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specificare una risorsa utilizzando il suo nome della risorsa Amazon (ARN). Per le azioni che non supportano le autorizzazioni a livello di risorsa, utilizzare un carattere jolly (*) per indicare che l’istruzione si applica a tutte le risorse.

"Resource": "*"

Ad esempio, la risorsa finestra di manutenzione Systems Manager ha il seguente formato ARN.

arn:aws:ssm:region:account-id:maintenancewindow/window-id

Per specificare le finestre di manutenzione mw-0c50858d01EXAMPLE nell'istruzione nella regione Stati Uniti orientali (Ohio), utilizzare un ARN simile al seguente.

"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"

Per specificare che tutte le finestre di manutenzione che appartengono ad un account specifico, utilizza il carattere jolly (*).

"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"

Per le operazioni Parameter Store API, puoi fornire o limitare l'accesso a tutti i parametri in un livello di gerarchia utilizzando nomi gerarchici e policy AWS Identity and Access Management (IAM) come segue.

"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"

Alcune operazioni Systems Manager, ad esempio quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).

"Resource": "*"

Alcune operazioni API di Systems Manager accettano più risorse. Per specificare più risorse in una singola istruzione, separale ARNs con virgole come segue.

"Resource": [
      "resource1",
      "resource2"
Nota

La maggior parte Servizi AWS considera i due punti (:) o una barra (/) come lo stesso carattere in. ARNs Tuttavia, Systems Manager richiede una corrispondenza esatta nei modelli di risorse e nelle regole. Durante la creazione di modelli di eventi, assicurati di utilizzare i caratteri ARN corretti, facendo in modo che corrispondano all'ARN della risorsa.

Nella tabella seguente vengono descritti i formati ARN per i tipi di risorse supportati da Systems Manager.

Nota

Notate le seguenti eccezioni ai formati ARN.

  • I seguenti strumenti AWS Systems Manager utilizzano prefissi diversi prima delle azioni.

    • AWS AppConfig utilizza il prefisso prima appconfig: delle azioni.

    • Lo·Strumento·di·gestione·degli·incidenti utilizza il prefisso ssm-incidents: o ssm-contacts: prima delle operazioni.

    • Systems Manager GUI Connect utilizza il prefisso ssm-guiconnect prima delle operazioni.

  • I documenti e le risorse di definizione dell'automazione di proprietà di Amazon, nonché i parametri pubblici forniti da Amazon e da fonti di terze parti, non includono gli account IDs nei rispettivi formati ARN. Ad esempio:

    • Il documento SSM AWS-RunPatchBaseline:

      arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline

    • Il runbook Automation AWS-ConfigureMaintenanceWindows:

      arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows

    • I parametri pubblici /aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version:

      arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version

    Per ulteriori informazioni su questi tre tipi di risorse, consulta i seguenti argomenti:

  • Quick Setup utilizza il prefisso ssm-quicksetup: prima delle operazioni.

Tipo di risorsa Formato ARN
Applicazione (AWS AppConfig) arn:aws:appconfig: :application/ region account-id application-id
Associazione arn:aws:ssm: :associazione/ region account-id association-id
Esecuzione di automazione arn:aws:ssm: region :esecuzione-automatia/ account-id automation-execution-id
Definizione di automazione (con sottorisorsa della versione)

arn:aws:ssm: region ::automation-definition/: 1 account-id automation-definition-id version-id
Profilo di configurazione (AWS AppConfig) arn:aws:appconfig: :application/ region /configurationprofile/ account-id application-id configurationprofile-id
Contattare lo·Strumento·di·gestione·degli·incidenti

arn:aws:ssm-contacts: ::contatto/ region account-id contact-alias
Strategia di distribuzione (AWS AppConfig) arn: aws:appconfig:: strategia di distribuzione/ region account-id deploymentstrategy-id
Documento

arn:aws:ssm: :documento/ region account-id document-name
Ambiente (AWS AppConfig) arn:aws:appconfig: :applicazione/ region account-id /ambiente/ application-id environment-id
Incidente

arn:aws:ssm-incidents: region account-id :incident-record//response-plan-nameincident-id
Finestra di manutenzione

arn: aws:ssm: :finestra di manutenzione/ region account-id window-id
Nodo gestito

arn:aws:ssm: region :istanza gestita/ account-id managed-node-id
Inventario nodi gestiti arn:aws:ssm::region:/account-idmanaged-instance-inventorymanaged-node-id
OpsItem arn:aws:ssm regionaccount-id: :opsitem/ OpsItem-id
Parametro

Parametro a un livello:

  • arn:aws:ssm: region account-id :parametro//parameter-name

Un parametro denominato con una struttura gerarchica:

  • arn:aws:ssm: region :parametro///account-id/2 parameter-name-root level-2 level-3 level-4 level-5
Base di patch

arn:aws:ssm: region :patchbaseline/ account-id patch-baseline-id

Piano di risposta

arn:aws:ssm-incidents: :piano di rispostaregion/account-idresponse-plan-name
Sessione

arn:aws:ssm: :sessione/ 3 region account-id session-id

Tutte le risorse Systems Manager

arn:aws:ssm:*

Tutte le risorse di proprietà dello specificato nel specificato Systems Manager Account AWS Regione AWS

arn:aws:ssm::: * region account-id

1 Per le definizioni di automazione, Systems Manager supporta una risorsa di secondo livello, l'ID di versione. Nel AWS, queste risorse di secondo livello sono note come sottorisorse. Specificare una risorsa secondaria della versione per una risorsa di definizione di automazione consente di fornire l'accesso ad alcune versioni di una definizione di automazione. Ad esempio, è possibile assicurare che solo la versione più recente di una definizione di automazione venga utilizzata nella gestione del nodo.

2 Per organizzare e gestire i parametri, è possibile creare nomi per i parametri con una struttura gerarchica. Con tale struttura gerarchica, un nome di parametro può includere un percorso che definisci tramite l'utilizzo delle barre. È possibile assegnare un nome a una risorsa di parametro con un massimo di quindici livelli. Ti consigliamo di creare gerarchie che riflettano una struttura gerarchica esistente nel tuo ambiente. Per ulteriori informazioni, consulta Creazione di parametri Parameter Store in Systems Manager.

3 Nella maggior parte dei casi, l'ID di sessione viene costruito utilizzando l'ID dell'utente dell'account che ha avviato la sessione, più un suffisso alfanumerico. Ad esempio:

arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE

Tuttavia, se l'ID utente non è disponibile, l'ARN viene costruito in questo modo:

arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE

Per ulteriori informazioni sul formato di ARNs, consulta Amazon Resource Names (ARNs) nel Riferimenti generali di Amazon Web Services.

Per un elenco dei tipi di Systems Manager risorse e relativi ARNs, consulta Resources Defined by AWS Systems Manager nel Service Authorization Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta Operazioni definite da AWS Systems Manager.

Chiavi di condizione per Systems Manager

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.

L’elemento Condition specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.

Per visualizzare un elenco di chiavi di condizione Systems Manager, consulta Condition Keys (Chiavi di condizione) per per AWS Systems Manager nel Service Authorization Reference (Riferimento per l'autorizzazione del servizio). Per informazioni su operazioni e risorse con cui è possibile utilizzare una chiave di condizione, consulta Operazioni definite da AWS Systems Manager.

Per informazioni sull'utilizzo della chiave di condizione ssm:resourceTag/*, consulta gli argomenti elencati di seguito:

Per informazioni su come utilizzare le chiavi di condizione ssm:Recursive, ssm:Policies e ssm:Overwrite consulta Impedire l'accesso alle operazioni dell'API di Parameter Store.

Esempi

Per visualizzare esempi di policy basate su identità Systems Manager, consulta Esempi di policy AWS Systems Manager di basate su identità.

Policy di Systems Manager basate sulle risorse

Altri Servizi AWS, come Amazon Simple Storage Service (Amazon S3), supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile allegare una policy di autorizzazione a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.

Systems Manager non supporta le policy basate su risorse.

Autorizzazione basata su tag Systems Manager

È possibile collegare i tag alle risorse Systems Manager o passare i tag in una richiesta a Systems Manager. Per controllare l'accesso basato su tag, fornire informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione ssm:resourceTag/key-name, aws:ResourceTag/key-name, aws:RequestTag/key-name o aws:TagKeys. È possibile aggiungere tag ai seguenti tipi di risorse quando vengono creati o aggiornati:

  • Documento

  • Nodo gestito

  • Finestra di manutenzione

  • Parametro

  • Base di patch

  • OpsItem

Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta Visualizzazione di documenti Systems Manager in base ai tag.

Ruoli IAM di Systems Manager

Un ruolo IAM è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.

Utilizzo di credenziali temporanee con Systems Manager

È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. Puoi ottenere credenziali di sicurezza temporanee chiamando operazioni API AWS Security Token Service (AWS STS) come AssumeRoleo. GetFederationToken

Systems Manager supporta l'uso di credenziali temporanee.

Ruoli collegati ai servizi

I ruoli collegati ai servizi consentono di accedere Servizi AWS alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono elencati nell'account IAM e sono di proprietà del servizio. Un amministratore può visualizzare, ma non modificare le autorizzazioni dei ruoli collegati ai servizi.

Systems Manager supporta i ruoli collegati ai servizi. Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi Systems Manager, consulta Utilizzo di ruoli collegati ai servizi per Systems Manager.

Ruoli dei servizi

Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.

Systems Manager supporta i ruoli dei servizi.

Scelta di un ruolo IAM in Systems Manager

Affinché Systems Manager interagisca con i nodi gestiti, è necessario scegliere un ruolo per consentire l'accesso di Systems Manager alle istanze a tuo nodo. Se hai creato in precedenza un ruolo di servizio o un ruolo collegato ai servizi, Systems Manager fornisce un elenco di ruoli tra cui scegliere. È importante scegliere un ruolo che consenta l'accesso per avviare e arrestare i nodi gestiti.

Per accedere alle EC2 istanze, è necessario configurare le autorizzazioni delle istanze. Per informazioni, consulta la pagina Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager.

Per accedere ai non EC2 nodi in un ambiente ibrido e multicloud, il ruolo di cui hai Account AWS bisogno è un ruolo di servizio IAM. Per informazioni, consulta Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud.

I flussi di lavoro di automazione possono essere avviati nel contesto di un ruolo di servizio (o ruolo presunto). Ciò permette al servizio di eseguire operazioni per conto tuo. Se non specifichi un ruolo presunto, il servizio di automazione utilizza il contesto dell'utente che ha richiamato l'esecuzione. Tuttavia, i seguenti scenari richiedono di specificare un ruolo di servizio di automazione. Per ulteriori informazioni, consulta Configurazione di un accesso al ruolo di servizio (ruolo presunto) per le automazioni.

Policy gestite da AWS Systems Manager

AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da. AWS Le policy gestite da AWS concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. (È inoltre possibile creare policy IAM personalizzate per concedere le autorizzazioni per operazioni e risorse Systems Manager).

Per ulteriori informazioni sulle policy gestite per Systems Manager, consulta AWS politiche gestite per AWS Systems Manager

Per informazioni generali sulle policy gestite, consulta Policy gestite da AWS nella Guida per l'utente IAM.