翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Systems Manager のアクション、リソース、および条件キー
AWS Systems Manager (サービスプレフィックス: ssm) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
AWS Systems Manager で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
Actions テーブルのアクセスレベル列は、アクションの分類方法 (List、Read、Permissions Management、Tagging) を示しています。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、ポリシー概要の「アクセスレベル」を参照してください。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
Actions テーブルの Dependent actions 列には、アクションを正常に呼び出すために必要な追加のアクセス許可が表示されます。これらのアクセス許可は、アクション自体のアクセス許可に加えて必要になる場合があります。アクションが依存アクションを指定すると、それらの依存関係は、テーブルにリストされている最初のリソースだけでなく、そのアクションに定義された追加のリソースに適用される場合があります。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AddTagsToResource | 指定された AWS リソースの 1 つ以上のタグを追加または上書きするアクセス許可を付与します | Tagging | |||
| AssociateOpsItemRelatedItem | OpsItem に RelatedItem を関連付けるためのアクセス許可を付与 | 書き込み | |||
| CancelCommand | 指定した Run Command コマンドをキャンセルする許可を付与 | 書き込み | |||
| CancelMaintenanceWindowExecution | 進行中のメンテナンスウィンドウの実行をキャンセルする許可を付与 | 書き込み | |||
| CreateActivation | オンプレミスサーバーと仮想マシン (VM) を Systems Manager に登録するために使用するアクティベーションを作成する許可を付与 | 書き込み | |||
| CreateAssociation | 指定した Systems Manager ドキュメントを、指定したインスタンスまたは他のターゲットに関連付けるアクセス許可を付与 | 書き込み | |||
| CreateAssociationBatch | 1 つのコマンドで複数の CreateAssociation オペレーションのエントリを結合する許可を付与 | 書き込み | |||
| CreateDocument | Systems Manager SSM ドキュメントを作成する許可を付与 | 書き込み |
iam:PassRole |
||
| CreateMaintenanceWindow | メンテナンスウィンドウを作成する許可を付与 | 書き込み | |||
| CreateOpsItem | OpsCenter で OpsItem を作成する許可を付与 | 書き込み | |||
| CreateOpsMetadata | AWS リソースの OpsMetadata オブジェクトを作成するアクセス許可を付与します | 書き込み | |||
| CreatePatchBaseline | パッチベースラインを作成する許可を付与 | 書き込み | |||
| CreateResourceDataSync | リソースデータ同期設定を作成する許可を付与。この設定は、マネージドインスタンスからインベントリデータを定期的に収集し、Amazon S3 バケット内のデータを更新 | 書き込み | |||
| DeleteActivation | マネージドインスタンスの指定されたアクティベーションを削除する許可を付与 | 書き込み | |||
| DeleteAssociation | 指定した SSM ドキュメントを指定したインスタンスから関連付け解除する許可を付与 | 書き込み | |||
| DeleteDocument | 指定した SSM ドキュメントとそのインスタンスの関連付けを削除する許可を付与 | 書き込み | |||
| DeleteInventory | カスタムインベントリタイプまたは当該タイプに関連付けられているデータを削除する許可を付与 | 書き込み | |||
| DeleteMaintenanceWindow | 指定したメンテナンスウィンドウを削除する許可を付与 | 書き込み | |||
| DeleteOpsItem | OpsItem を削除する許可を付与 | 書き込み | |||
| DeleteOpsMetadata | OpsMetadata オブジェクトを削除する許可を付与 | 書き込み | |||
| DeleteParameter | 指定した SSM パラメータを削除する許可を付与 | 書き込み | |||
| DeleteParameters | 複数の指定する SSM パラメータを削除する許可を付与 | 書き込み | |||
| DeletePatchBaseline | 指定したパッチベースラインを削除する許可を付与 | 書き込み | |||
| DeleteResourceDataSync | 指定したリソースデータ同期を削除する許可を付与 | 書き込み | |||
| DeleteResourcePolicy | Systems Manager のポリシーを削除する許可を付与 | 権限の管理 | |||
| DeregisterManagedInstance | Systems Manager から指定したオンプレミスサーバーまたは仮想マシン (VM) の登録を解除する許可を付与 | 書き込み | |||
| DeregisterPatchBaselineForPatchGroup | 指定したパッチベースラインを、指定したパッチグループのデフォルトパッチベースラインから登録解除する許可を付与 | 書き込み | |||
| DeregisterTargetFromMaintenanceWindow | 指定したターゲットをメンテナンスウィンドウから登録解除する許可を付与 | 書き込み | |||
| DeregisterTaskFromMaintenanceWindow | 指定されたタスクをメンテナンスウィンドウから登録解除する許可を付与 | 書き込み | |||
| DescribeActivations | 指定されたマネージドインスタンスのアクティベーションに関する詳細を表示する許可を付与(作成日時、アクティベーションを使用して登録されたインスタンスの数など) | 読み取り | |||
| DescribeAssociation | 指定したインスタンスまたはターゲットの指定した関連付けの詳細を表示する許可を付与 | 読み取り | |||
| DescribeAssociationExecutionTargets | 指定した関連付け実行に関する情報を表示する許可を付与 | 読み取り | |||
| DescribeAssociationExecutions | 指定した関連付けのすべての実行を表示する許可を付与 | 読み取り | |||
| DescribeAutomationExecutions | すべてのアクティブなオートメーション実行と終了したオートメーション実行の詳細を表示する許可を付与 | 読み取り | |||
| DescribeAutomationStepExecutions | オートメーションワークフローでアクティブなステップ実行と終了したステップ実行のすべてを表示する許可を付与 | 読み取り | |||
| DescribeAvailablePatches | パッチベースラインに含める資格のあるすべてのパッチを表示する許可を付与 | 読み取り | |||
| DescribeDocument | 指定した SSM ドキュメントの詳細を表示する許可を付与 | 読み取り | |||
| DescribeDocumentParameters | Systems Manager コンソールで SSM ドキュメントパラメータに関する情報を表示する許可を付与(内部 Systems Manager のアクション) | 読み取り | |||
| DescribeDocumentPermission | 指定した SSM ドキュメントのアクセス許可を表示する許可を付与 | 読み取り | |||
| DescribeEffectiveInstanceAssociations | 指定したインスタンスの現在の関連付けをすべて表示する許可を付与 | 読み取り | |||
| DescribeEffectivePatchesForPatchBaseline | 指定したパッチベースラインに現在関連付けられているパッチの詳細を表示する許可を付与(Windows のみ) | 読み取り | |||
| DescribeInstanceAssociationsStatus | 指定したインスタンスの関連付けのステータスを表示する許可を付与 | 読み取り | |||
| DescribeInstanceInformation | 指定したインスタンスに関する詳細を表示する許可を付与 | 読み取り | |||
| DescribeInstancePatchStates | 指定したインスタンスのパッチに関するステータスの詳細を表示する許可を付与 | 読み取り | |||
| DescribeInstancePatchStatesForPatchGroup | 指定したパッチグループ内のインスタンスのパッチ状態の概要を記述する許可を付与 | 読み取り | |||
| DescribeInstancePatches | 指定したインスタンスのパッチに関する全般的な詳細を表示する許可を付与 | 読み取り | |||
| DescribeInstanceProperties | マネージドインスタンスのノードをレンダリングするアクセス許可をユーザーの Amazon EC2 コンソールに付与 | 読み取り | |||
| DescribeInventoryDeletions | 指定したインベントリ削除の詳細を表示する許可を付与 | 読み取り | |||
| DescribeMaintenanceWindowExecutionTaskInvocations | メンテナンスウィンドウに対して指定したタスク実行の詳細を表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowExecutionTasks | 指定したメンテナンスウィンドウの実行中に実行されたタスクの詳細を表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowExecutions | 指定したメンテナンスウィンドウの実行を表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowSchedule | 指定したメンテナンスウィンドウの今後の実行に関する詳細を表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowTargets | 指定したメンテナンスウィンドウに関連付けられているターゲットのリストを表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowTasks | 指定したメンテナンスウィンドウに関連付けられたタスクのリストを表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindows | すべてまたは指定したメンテナンスウィンドウに関する情報を表示する許可を付与 | リスト | |||
| DescribeMaintenanceWindowsForTarget | 指定したインスタンスに関連付けられたメンテナンスウィンドウのターゲットおよびタスクに関する情報を表示する許可を付与 | リスト | |||
| DescribeOpsItems | 指定した OpsItems の詳細を表示する許可を付与 | 読み取り | |||
| DescribeParameters | 指定した SSM パラメータの詳細を表示する許可を付与 | リスト | |||
| DescribePatchBaselines | 指定した条件を満たすパッチベースラインに関する情報を表示する許可を付与 | リスト | |||
| DescribePatchGroupState | 指定したパッチグループのパッチの集約ステータス詳細を表示する許可を付与 | リスト | |||
| DescribePatchGroups | 指定したパッチグループのパッチベースラインに関する情報を表示する許可を付与 | リスト | |||
| DescribePatchProperties | 指定したオペレーティングシステムおよびパッチプロパティで使用可能なパッチの詳細を表示する許可を付与 | リスト | |||
| DescribeSessions | 指定した検索条件を満たす最近の Session Manager セッションのリストを表示する許可を付与 | リスト | |||
| DisassociateOpsItemRelatedItem | OpsItem から RelatedItem の関連付けを解除するためのアクセス許可を付与 | 書き込み | |||
| ExecuteAPI | Systems Manager の委任された管理者に、 の複数の AWS アカウントにわたる OpsItems に関する関連リソースの詳細を表示するアクセス許可を付与します AWS Management Console | 読み取り | |||
| GetAccessToken | just-in-timeノードアクセスで使用する認証情報セットを返す許可を付与 | 読み取り | |||
| GetAutomationExecution | 指定したオートメーション実行の詳細を表示する許可を付与 | 読み取り | |||
| GetCalendar [許可のみ] | 特定のカレンダーの詳細を表示する許可を付与 | 読み取り | |||
| GetCalendarState | 変更カレンダーまたは変更カレンダーの一覧のカレンダーの状態を表示する許可を付与 | 読み取り | |||
| GetCommandInvocation | 指定した呼び出しまたはプラグインのコマンド実行に関する詳細を表示する許可を付与 | 読み取り | |||
| GetConnectionStatus | 指定したマネージドインスタンスの Session Manager 接続ステータスを表示する許可を付与 | 読み取り | |||
| GetDefaultPatchBaseline | 指定したオペレーティングシステムタイプの現在の既定のパッチベースラインを表示する許可を付与 | 読み取り | |||
| GetDeployablePatchSnapshotForInstance | 指定したインスタンスの現在のパッチベースラインスナップショットを取得する許可を付与 | 読み取り | |||
| GetDocument | 指定された SSM ドキュメントの内容を表示する許可を付与 | 読み取り | |||
| GetExecutionPreview | 指定された Automation ランブックを実行するとターゲットリソースに与える影響を示す既存のプレビューを取得するアクセス許可を付与します | 読み取り | |||
| GetInventory | 指定した基準に従ってインスタンスインベントリの詳細を表示する許可を付与 | 読み取り | |||
| GetInventorySchema | 指定したインベントリ項目タイプのインベントリタイプまたは属性名のリストを表示する許可を付与 | 読み取り | |||
| GetMaintenanceWindow | 指定したメンテナンスウィンドウの詳細を表示する許可を付与 | 読み取り | |||
| GetMaintenanceWindowExecution | 指定したメンテナンスウィンドウの実行に関する詳細を表示する許可を付与 | 読み取り | |||
| GetMaintenanceWindowExecutionTask | 指定したメンテナンスウィンドウの実行タスクの詳細を表示する許可を付与 | 読み取り | |||
| GetMaintenanceWindowExecutionTaskInvocation | 特定のターゲットで実行されている特定のメンテナンスウィンドウのタスクの詳細を表示する許可を付与 | 読み取り | |||
| GetMaintenanceWindowTask | 指定したメンテナンスウィンドウに登録されたタスクの詳細を表示する許可を付与 | 読み取り | |||
| GetManifest [許可のみ] | Systems Manager および SSM Agent に、インスタンスのパッケージのインストール要件を決定する許可を付与(内部 Systems Manager の呼び出し) | 読み取り | |||
| GetOpsItem | 指定した OpsItem に関する情報を表示する許可を付与 | 読み取り | |||
| GetOpsMetadata | OpsMetadata オブジェクトを取得する許可を付与 | 読み取り | |||
| GetOpsSummary | 指定したフィルターとアグリゲータに基づいて OpsItems に関する概要情報を表示する許可を付与 | 読み取り | |||
| GetParameter | 指定したパラメータに関する情報を表示する許可を付与 | 読み取り | |||
| GetParameterHistory | 指定したパラメータの詳細と変更を表示する許可を付与 | 読み取り | |||
| GetParameters | 指定した複数のパラメータに関する情報を表示する許可を付与 | 読み取り | |||
| GetParametersByPath | 指定した階層内のパラメータに関する情報を表示する許可を付与 | 読み取り | |||
| GetPatchBaseline | 指定したパッチベースラインに関する情報を表示する許可を付与 | 読み取り | |||
| GetPatchBaselineForPatchGroup | 指定したパッチグループの現在のパッチベースラインの ID を表示する許可を付与 | 読み取り | |||
| GetResourcePolicies | Systems Manager のリソースポリシーを一覧表示する許可を付与 | リスト | |||
| GetServiceSetting | AWS サービスのアカウントレベルの設定を表示するアクセス許可を付与します | 読み取り | |||
| LabelParameterVersion | 指定したバージョンのパラメータに識別ラベルを適用する許可を付与 | 書き込み | |||
| ListAssociationVersions | 指定した関連付けのバージョンを一覧表示する許可を付与 | リスト | |||
| ListAssociations | 指定した SSM ドキュメントまたはマネージドインスタンスの関連付けを一覧表示する許可を付与 | リスト | |||
| ListCommandInvocations | 指定したインスタンスに送信されたコマンド呼び出しに関する情報を一覧表示する許可を付与 | リスト | |||
| ListCommands | 指定したインスタンスに送信されたコマンドを一覧表示する許可を付与 | リスト | |||
| ListComplianceItems | 指定したリソース上の指定したリソースタイプに対するコンプライアンスステータスを一覧表示する許可を付与 | リスト | |||
| ListComplianceSummaries | 指定したコンプライアンスタイプについて、準拠リソースと非準拠リソースの集計カウントを一覧表示する許可を付与 | リスト | |||
| ListDocumentMetadataHistory | 指定した SSM ドキュメントについてのメタデータ履歴を表示する許可を付与 | リスト | |||
| ListDocumentVersions | 指定したドキュメントのすべてのバージョンを一覧表示する許可を付与 | リスト | |||
| ListDocuments | 指定した SSM ドキュメントに関する情報を表示する許可を付与 | リスト | |||
| ListInstanceAssociations | SSM Agent に、新しいステートマネージャーの関連付けをチェックするアクセス許可を付与(内部 Systems Manager の呼び出し) | リスト | |||
| ListInventoryEntries | 指定したインスタンスの指定したインベントリタイプのリストを表示する許可を付与 | リスト | |||
| ListNodes | 指定されたフィルターに基づいてマネージドノードの詳細を表示するアクセス許可を付与します | リスト | |||
| ListNodesSummary | 指定されたフィルターとアグリゲータに基づいてマネージドノードに関する概要情報を表示するアクセス許可を付与します | リスト | |||
| ListOpsItemEvents | OpsItemEvents を表示する許可を付与 | リスト | |||
| ListOpsItemRelatedItems | OpsItem RelatedItems の詳細を表示するためのアクセス許可を付与 | リスト | |||
| ListOpsMetadata | OpsMetadata オブジェクトのリストを表示する許可を付与 | リスト | |||
| ListResourceComplianceSummaries | リソースレベルの集計カウントを一覧表示する許可を付与 | リスト | |||
| ListResourceDataSync | アカウントのリソースデータ同期設定に関する情報を一覧表示する許可を付与 | リスト | |||
| ListTagsForResource | 指定したリソースのリソースタグのリストを表示する許可を付与 | リスト | |||
| ModifyDocumentPermission | カスタム SSM ドキュメントを指定された AWS アカウントとパブリックまたはプライベートに共有するアクセス許可を付与します | 権限の管理 | |||
| PutCalendar [許可のみ] | 特定のカレンダーを作成/編集する許可を付与 | 書き込み | |||
| PutComplianceItems | 指定したリソースのコンプライアンスタイプおよびその他のコンプライアンス詳細を登録する許可を付与 | 書き込み | |||
| PutConfigurePackageResult [アクセス許可のみ] | SSM Agentに、 特定のエージェントリクエスト(内部 Systems Manager の呼び出し)の結果のレポートを生成する許可を付与 | 読み取り | |||
| PutInventory | 指定した複数のマネージドインスタンスでインベントリ項目を追加または更新する許可を付与 | 書き込み | |||
| PutParameter | SSM パラメータを作成する許可を付与 | 書き込み | |||
| PutResourcePolicy | Systems Manager のリソースポリシーを作成または更新する許可を付与 | 権限の管理 | |||
| RegisterDefaultPatchBaseline | オペレーティングシステムタイプの既定のパッチベースラインを指定する許可を付与 | 書き込み | |||
| RegisterManagedInstance | Systems Manager Agent を登録するアクセス許可を付与 | 書き込み | |||
| RegisterPatchBaselineForPatchGroup | 指定したパッチグループのデフォルトのパッチベースラインを指定する許可を付与 | 書き込み | |||
| RegisterTargetWithMaintenanceWindow | メンテナンスウィンドウでターゲットを登録する許可を付与 | 書き込み | |||
| RegisterTaskWithMaintenanceWindow | 指定したメンテナンスウィンドウでタスクを登録する許可を付与 | 書き込み | |||
| RemoveTagsFromResource | 指定したリソースから指定したタグキーを削除する許可を付与 | Tagging | |||
| ResetServiceSetting | のサービス設定をデフォルト値 AWS アカウント にリセットするアクセス許可を付与します | 書き込み | |||
| ResumeSession | マネージドインスタンスに Session Manager のセッションを再接続する許可を付与 | 書き込み | |||
| SendAutomationSignal | 指定したオートメーション実行の現在の動作やステータスを変更するための信号を送信する許可を付与 | 書き込み | |||
| SendCommand | 指定した 1 つ以上のマネージドインスタンスでコマンドを実行する許可を付与 | 書き込み | |||
| StartAccessRequest | just-in-timeノードアクセスセッションのワークフローを開始する許可を付与 | 書き込み | |||
| StartAssociationsOnce | 指定した関連付けを手動で実行する許可を付与 | 書き込み | |||
| StartAutomationExecution | オートメーションドキュメントの実行を開始する許可を付与 | 書き込み | |||
| StartChangeRequestExecution | 自動化ドキュメントの実行を開始する許可を付与 | 書き込み | |||
| StartExecutionPreview | 指定された Automation ランブックを実行するとターゲットリソースに与える影響を示すプレビューを作成するアクセス許可を付与します | 読み取り | |||
| StartSession | セッションマネージャーセッションの指定したターゲットへの接続を開始する許可を付与 | 書き込み | |||
| StopAutomationExecution | 既に進行中の指定したオートメーションの実行を停止する許可を付与 | 書き込み | |||
| TerminateSession | インスタンスへの Session Manager 接続を永続的に終了するアクセス許可を付与 | 書き込み | |||
| UnlabelParameterVersion | 指定済みバージョンのパラメータから識別ラベルを削除する許可を付与 | 書き込み | |||
| UpdateAssociation | 指定したターゲットで関連付けを更新し、関連付けをただちに実行する許可を付与 | 書き込み | |||
| UpdateAssociationStatus | 指定したインスタンスに関連付けられている SSM ドキュメントのステータスを更新する許可を付与 | 書き込み | |||
| UpdateDocument | SSM ドキュメントの 1 つ以上の値を更新する許可を付与 | 書き込み | |||
| UpdateDocumentDefaultVersion | SSM ドキュメントのデフォルトバージョンを変更する許可を付与 | 書き込み | |||
| UpdateDocumentMetadata | SSM ドキュメントのメタデータを更新する許可を付与 | 書き込み | |||
| UpdateInstanceAssociationStatus [アクセス許可のみ] | 現在実行中の関連付けのステータスを更新するSSM Agentに許可を付与(内部 Systems Manager の呼び出し) | 書き込み | |||
| UpdateInstanceInformation | ハートビート信号をクラウド内の Systems Manager サービスに送信する SSM Agent に許可を付与 | 書き込み | |||
| UpdateMaintenanceWindow | 指定したメンテナンスウィンドウを更新する許可を付与 | 書き込み | |||
| UpdateMaintenanceWindowTarget | メンテナンスウィンドウターゲットを更新する許可を付与 | 書き込み | |||
| UpdateMaintenanceWindowTask | メンテナンスウィンドウタスクを更新する許可を付与 | 書き込み | |||
| UpdateManagedInstanceRole | 指定したマネージドインスタンスに割り当てられた IAM ロールを割り当てまたは変更する許可を付与 | 書き込み | |||
| UpdateOpsItem | OpsItem を編集または変更する許可を付与 | 書き込み | |||
| UpdateOpsMetadata | OpsMetadata オブジェクトを更新する許可を付与 | 書き込み | |||
| UpdatePatchBaseline | 指定したパッチベースラインを更新する許可を付与 | 書き込み | |||
| UpdateResourceDataSync | リソースデータの同期を更新する許可を付与 | 書き込み | |||
| UpdateServiceSetting | のサービス設定を更新するアクセス許可を付与します AWS アカウント | 書き込み |
AWS Systems Manager で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
注記
一部の State Manager API パラメータは非推奨となりました。これは予期しない動作につながる可能性があります。詳細については、「IAM を使用した関連付けの作業」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
| automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
| automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
| iam-role |
arn:${Partition}:iam::${Account}:role/${RoleName}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
| maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
| managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
| managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
| opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
| opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
| opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
| parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
| patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
| session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
| resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
| servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
| windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
| windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
AWS Systems Manager の条件キー
AWS Systems Manager は、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを表示するには、AWS 「グローバル条件コンテキストキー」を参照してください。
| 条件キー | 説明 | [Type] (タイプ) |
|---|---|---|
| aws:RequestTag/${TagKey} | 指定したタグで許可されている値のセットに基づいて「作成」リクエストでアクセスをフィルタリング | 文字列 |
| aws:ResourceTag/${TagKey} | AWS リソースに割り当てられたタグキーと値のペアに基づいてアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | 必須タグがリクエストに含まれているかどうかに基づいて、「作成」リクエストでアクセスをフィルタリング | ArrayOfString |
| ec2:SourceInstanceARN | リクエストが発生したインスタンスの ARN によってアクセスをフィルタリングします | ARN |
| ssm:AccessRequestId | ユーザーがリクエストで指定されたアクセスリクエスト ID にアクセスできることを確認して、アクセスをフィルタリングします | 文字列 |
| ssm:AutoApprove | ユーザーがレビューステップなしで (変更フリーズイベントは例外) 、Change Manager ワークフローを開始するアクセス可能を持っていることを確認して、アクセスをフィルタリング | Bool |
| ssm:DocumentCategories | ユーザーが特定のカテゴリに属するドキュメントにアクセスする許可を持っていることを確認して、アクセスをフィルタリング | ArrayOfString |
| ssm:DocumentType | ユーザーが特定のドキュメントタイプに属するドキュメントにアクセスするアクセス許可を持っていることを確認して、アクセスをフィルタリングします。「aws」、「aws-cn」、「aws-us-gov」パーティションでのみ使用可能 | 文字列 |
| ssm:InventoryTypeName | ユーザーがリクエストで指定された InventoryType にもアクセスできることを確認して、アクセスをフィルタリングします | ArrayOfString |
| ssm:Overwrite | Systems Manager のパラメータを上書きできるかどうかの制御によって、アクセスをフィルタリング | 文字列 |
| ssm:Policies | IAM エンティティ (ユーザーまたはロール) がパラメータポリシーを含むパラメータを作成または更新できるかどうかを制御することでアクセスをフィルタリングする | 文字列 |
| ssm:Recursive | 階層構造で作成された Systems Manager のパラメータによってアクセスをフィルタリング | 文字列 |
| ssm:SessionDocumentAccessCheck | ユーザーがデフォルトの Session Manager 設定ドキュメントまたはリクエストで指定されたカスタム設定ドキュメントにアクセスする権限を持っていることを確認して、アクセスをフィルタリング | Bool |
| ssm:SourceInstanceARN | リクエスト元の AWS Systems Manager マネージドインスタンスの Amazon リソースネーム (ARN) を検証してアクセスをフィルタリングします。EC2 インスタンスプロファイルに関連付けられた IAM ロールで認証されたマネージドインスタンスからリクエストが送信された場合、このキーは存在しません。 | ARN |
| ssm:SyncType | リクエストで指定された ResourceDataSync SyncType にユーザーがアクセスできることを確認して、アクセスをフィルタリング | 文字列 |
| ssm:resourceTag/${TagKey} | Systems Manager リソースに割り当てられたタグのキーおよび値のペアによってアクセスをフィルタリング | 文字列 |
| ssm:resourceTag/aws:ssmmessages:session-id | Systems Manager セッションリソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリングします | 文字列 |
| ssm:resourceTag/aws:ssmmessages:target-id | Systems Manager セッションリソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリングします | 文字列 |
| ssm:resourceTag/tag-key | Systems Manager リソースに割り当てられたタグのキーおよび値のペアに基づいてアクセスをフィルタリング | 文字列 |
