Utilizzo delle associazioni tramite IAM - AWS Systems Manager

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle associazioni tramite IAM

State Manager, uno strumento in AWS Systems Manager, utilizza gli obiettivi per scegliere con quali istanze configurare le associazioni. Originariamente, le associazioni venivano create specificando un nome di documento (Name) e un ID di istanza (InstanceId). In questo modo è stata creata un'associazione tra un documento e un'istanza o nodo gestito. Le associazioni erano identificate da questi parametri. Questi parametri sono ora obsoleti, ma sono comunque supportati. Le risorseinstanceemanaged-instancesono stati aggiunti come risorse alle azioni conNameeInstanceId.

AWS Identity and Access Management (IAM) il comportamento di applicazione delle policy dipende dal tipo di risorsa specificata. Le risorse per operazioni di State Manager vengono applicate solo in base alla richiesta inoltrata. State Manager non esegue un controllo approfondito delle proprietà delle risorse nell'account. Una richiesta viene convalidata in base alle risorse di policy solo se il parametro della richiesta contiene le risorse di policy specificate. Ad esempio, se si specifica un'istanza nel blocco di risorse, la policy viene applicata se la richiesta utilizza il parametro InstanceId. Il parametro Targets per ogni risorsa nell'account non viene controllato per questo InstanceId.

Di seguito sono riportati alcuni casi con comportamento confuso:

  • DescribeAssociationDeleteAssociation, e UpdateAssociationutilizza instance e document risorse per specificare il modo obsoleto di fare riferimento alle associazioni. managed-instance Ciò include tutte le associazioni create con il parametro obsoleto InstanceId.

  • CreateAssociationCreateAssociationBatch, e UpdateAssociationuse instance and managed-instance resources per specificare il modo obsoleto di fare riferimento alle associazioni. Ciò include tutte le associazioni create con il parametro obsoleto InstanceId. Il tipo di risorsa document fa parte del modo obsoleto di riferirsi alle associazioni ed è proprietà effettiva di un'associazione. Ciò significa che è possibile creare policy IAM con autorizzazioni Allow o Deny per entrambe le azioni Create e Update in base al nome del documento.

Per ulteriori informazioni sull'uso delle policy IAM con Systems Manager, consultare Gestione delle identità e degli accessi per l’ AWS Systems Manager oppure Operazioni, risorse e chiavi di condizione per AWS Systems Manager nella Guida all'autorizzazione dei servizi.