本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Systems Manager 的動作、資源和條件索引鍵
AWS Systems Manager (服務字首:ssm) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Systems Manager 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了動作本身的許可之外,還可能需要這些許可。當動作指定相依動作時,這些相依性可能適用於針對該動作定義的其他資源,而不只是資料表中列出的第一個資源。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AddTagsToResource | 准許新增或覆寫指定 AWS 資源的一或多個標籤 | 標記 | |||
| AssociateOpsItemRelatedItem | 准許將 RelatedItem 關聯至 OpsItem | 寫入 | |||
| CancelCommand | 准許取消指定的 Run Command 命令 | 寫入 | |||
| CancelMaintenanceWindowExecution | 准許取消正在執行的維護時段作業 | 寫入 | |||
| CreateActivation | 准許建立用來向 Systems Manager 登錄內部部署伺服器和虛擬機器 (VM) 的啟動作業 | 寫入 | |||
| CreateAssociation | 准許建立指定 Systems Manager 文件與指定執行個體或其他目標的關聯性 | 寫入 | |||
| CreateAssociationBatch | 准許在單一命令中合併多個 CreateAssociation 作業的項目 | 寫入 | |||
| CreateDocument | 准許建立 Systems Manager SSM 文件 | 寫入 |
iam:PassRole |
||
| CreateMaintenanceWindow | 准許建立維護時段 | 寫入 | |||
| CreateOpsItem | 准許在 OpsCenter 中建立 OpsItem | 寫入 | |||
| CreateOpsMetadata | 准許為 AWS 資源建立 OpsMetadata 物件 | 寫入 | |||
| CreatePatchBaseline | 准許建立修補程式基準 | 寫入 | |||
| CreateResourceDataSync | 准許建立資源資料同步組態,此組態會定期收集受管執行個體的清查資料,並更新 Amazon S3 儲存貯體中的資料 | 寫入 | |||
| DeleteActivation | 准許刪除受管執行個體的指定啟動作業 | 寫入 | |||
| DeleteAssociation | 准許取消指定 SSM 文件與指定執行個體的關聯 | 寫入 | |||
| DeleteDocument | 准許刪除指定 SSM 文件及其執行個體的關聯 | 寫入 | |||
| DeleteInventory | 准許刪除指定的自訂清查類型或與自訂清查類型關聯的資料 | 寫入 | |||
| DeleteMaintenanceWindow | 准許刪除指定的維護時段 | 寫入 | |||
| DeleteOpsItem | 准許刪除 OpsItem | 寫入 | |||
| DeleteOpsMetadata | 准許刪除 OpsMetadata 物件 | 寫入 | |||
| DeleteParameter | 准許刪除指定的 SSM 參數 | 寫入 | |||
| DeleteParameters | 准許刪除多個指定的 SSM 參數 | 寫入 | |||
| DeletePatchBaseline | 准許刪除指定的修補程式基準 | 寫入 | |||
| DeleteResourceDataSync | 准許刪除指定的資源資料同步 | 寫入 | |||
| DeleteResourcePolicy | 准許刪除 Systems Manager 資源政策 | 許可管理 | |||
| DeregisterManagedInstance | 准許從 Systems Manager 取消登錄指定的內部部署伺服器或虛擬機器 (VM) | 寫入 | |||
| DeregisterPatchBaselineForPatchGroup | 准許取消登錄指定的修補程式基準,不使其成為指定修補程式群組的預設修補程式基準 | 寫入 | |||
| DeregisterTargetFromMaintenanceWindow | 准許取消登錄維護時段中的指定目標 | 寫入 | |||
| DeregisterTaskFromMaintenanceWindow | 准許取消登錄維護時段中的指定作業 | 寫入 | |||
| DescribeActivations | 准許檢視指定受管執行個體啟動作業的詳細資訊,例如建立的時間以及使用啟動作業登錄的執行個體數目 | 讀取 | |||
| DescribeAssociation | 准許檢視指定執行個體或目標之指定關聯性的詳細資訊 | 讀取 | |||
| DescribeAssociationExecutionTargets | 准許檢視指定的相關聯執行資訊 | 讀取 | |||
| DescribeAssociationExecutions | 准許檢視所有指定關聯性的執行作業 | 讀取 | |||
| DescribeAutomationExecutions | 准許檢視所有作用中和已終止自動化執行的詳細資訊 | 讀取 | |||
| DescribeAutomationStepExecutions | 准許檢視自動化工作流程中所有啟用中及已終止步驟的執行相關資訊 | 讀取 | |||
| DescribeAvailablePatches | 准許檢視符合修補程式基準收容資格的所有修補程式 | 讀取 | |||
| DescribeDocument | 准許檢視指定 SSM 文件的詳細資料 | 讀取 | |||
| DescribeDocumentParameters | 准許在 Systems Manager 主控台中顯示 SSM 文件參數的資訊 (內部 Systems Manager 動作) | 讀取 | |||
| DescribeDocumentPermission | 准許檢視指定 SSM 文件的許可 | 讀取 | |||
| DescribeEffectiveInstanceAssociations | 准許檢視指定執行個體的所有目前關聯性 | 讀取 | |||
| DescribeEffectivePatchesForPatchBaseline | 准許檢視目前與指定修補程式基準相關聯的修補程式詳細資訊 (僅限 Windows) | 讀取 | |||
| DescribeInstanceAssociationsStatus | 准許檢視指定執行個體的關聯性狀態 | 讀取 | |||
| DescribeInstanceInformation | 准許檢視指定執行個體的詳細資訊 | 讀取 | |||
| DescribeInstancePatchStates | 准許檢視指定執行個體的修補程式狀態詳細資訊 | 讀取 | |||
| DescribeInstancePatchStatesForPatchGroup | 准許描述指定修補群組中執行個體高層級修補程式狀態 | 讀取 | |||
| DescribeInstancePatches | 准許檢視指定執行個體的修補程式一般詳細資訊 | 讀取 | |||
| DescribeInstanceProperties | 准許使用者的 Amazon EC2 主控台呈現受管執行個體節點 | 讀取 | |||
| DescribeInventoryDeletions | 准許檢視指定清查刪除作業的詳細資訊 | 讀取 | |||
| DescribeMaintenanceWindowExecutionTaskInvocations | 准許檢視在維護時段期間執行的指定任務詳細資訊 | 列出 | |||
| DescribeMaintenanceWindowExecutionTasks | 准許檢視曾在指定維護時段執行期間執行的任務詳細資訊 | 列出 | |||
| DescribeMaintenanceWindowExecutions | 准許檢視執行的指定維護時段 | 列出 | |||
| DescribeMaintenanceWindowSchedule | 准許檢視即將執行之指定維護時段的詳細資訊 | 列出 | |||
| DescribeMaintenanceWindowTargets | 准許檢視與指定維護時段相關聯目標的清單 | 列出 | |||
| DescribeMaintenanceWindowTasks | 准許檢視與指定維護時段相關聯任務的清單 | 列出 | |||
| DescribeMaintenanceWindows | 准許檢視所有或指定的維護時段資訊 | 列出 | |||
| DescribeMaintenanceWindowsForTarget | 准許檢視維護時段目標的資訊以及與指定執行個體相關聯任務的資訊 | 列出 | |||
| DescribeOpsItems | 准許檢視指定的 OpsItems 詳細資訊 | 讀取 | |||
| DescribeParameters | 准許檢視指定 SSM 參數的詳細資訊 | 列出 | |||
| DescribePatchBaselines | 准許檢視符合指定條件之修補程式基準的資訊 | 列出 | |||
| DescribePatchGroupState | 准許檢視指定修補程式群組之修補程式的彙總狀態詳細資訊 | 列出 | |||
| DescribePatchGroups | 准許檢視指定修正程式群組的修補程式基準資訊 | 列出 | |||
| DescribePatchProperties | 准許檢視指定作業系統之可用修補程式和修補程式屬性的詳細資訊 | 列出 | |||
| DescribeSessions | 准許檢視符合指定搜尋條件之最近工作階段管理員工作階段的清單 | 列出 | |||
| DisassociateOpsItemRelatedItem | 准許從 OpsItem 取消 RelatedItem 關聯 | 寫入 | |||
| ExecuteAPI | 准許 Systems Manager 委派管理員檢視 中多個 AWS 帳戶間 OpsItems 的相關資源詳細資訊 AWS Management Console | 閱讀 | |||
| GetAccessToken | 准許傳回要與just-in-time節點存取搭配使用的登入資料集 | 閱讀 | |||
| GetAutomationExecution | 准許檢視指定自動化執行作業的詳細資訊 | 閱讀 | |||
| GetCalendar [僅限許可] | 准許檢視特定行事曆詳細資訊 | 閱讀 | |||
| GetCalendarState | 授與檢視變更行事曆或變更行事曆清單之行事曆狀態的權限 | 讀取 | |||
| GetCommandInvocation | 准許檢視指定呼叫或外掛程式之命令執行的詳細資訊 | 讀取 | |||
| GetConnectionStatus | 准許檢視指定受管執行個體的工作階段管理員連線狀態 | 讀取 | |||
| GetDefaultPatchBaseline | 准許檢視指定作業系統類型目前的預設修補程式基準 | 讀取 | |||
| GetDeployablePatchSnapshotForInstance | 准許擷取指定執行個體目前的修補程式基準快照 | 讀取 | |||
| GetDocument | 准許檢視指定 SSM 文件的內容 | 閱讀 | |||
| GetExecutionPreview | 准許擷取現有的預覽,顯示執行指定的 Automation Runbook 對目標資源的影響 | 閱讀 | |||
| GetInventory | 准許檢視依指定條件列出的執行個體清查詳細資訊 | 讀取 | |||
| GetInventorySchema | 准許檢視指定清查項目類型之清查類型或屬性名稱的清單 | 讀取 | |||
| GetMaintenanceWindow | 准許檢視指定維護時段的詳細資訊 | 讀取 | |||
| GetMaintenanceWindowExecution | 准許檢視指定維護時段執行作業的詳細資訊 | 讀取 | |||
| GetMaintenanceWindowExecutionTask | 准許檢視指定之維護時段執行任務的詳細資訊 | 讀取 | |||
| GetMaintenanceWindowExecutionTaskInvocation | 准許檢視在特定目標上執行的特定維護時段任務詳細資訊 | 讀取 | |||
| GetMaintenanceWindowTask | 准許檢視已登錄指定維護時段的任務詳細資訊 | 閱讀 | |||
| GetManifest [僅限許可] | 准許 Systems Manager 和 SSM Agent 判斷執行個體的套裝服務安裝需求 (內部 Systems Manager 呼叫) | 閱讀 | |||
| GetOpsItem | 准許檢視指定的 OpsItem 資訊 | 讀取 | |||
| GetOpsMetadata | 准許擷取 OpsMetadata 物件 | 讀取 | |||
| GetOpsSummary | 准許根據指定的篩選條件和彙整工具檢視 OpsItems 的摘要資訊 | 讀取 | |||
| GetParameter | 准許檢視指定參數的資訊 | 讀取 | |||
| GetParameterHistory | 准許檢視指定參數的詳細資訊和變更 | 讀取 | |||
| GetParameters | 准許檢視多個指定參數的資訊 | 讀取 | |||
| GetParametersByPath | 准許檢視指定階層中參數的資訊 | 讀取 | |||
| GetPatchBaseline | 准許檢視指定修補程式基準的資訊 | 讀取 | |||
| GetPatchBaselineForPatchGroup | 准許檢視指定修補程式群組之目前修補程式基準的 ID | 閱讀 | |||
| GetResourcePolicies | 准許擷取 Systems Manager 資源政策的清單 | 清單 | |||
| GetServiceSetting | 准許檢視 AWS 服務的帳戶層級設定 | 閱讀 | |||
| LabelParameterVersion | 准許將識別標籤套用至參數的指定版本 | 寫入 | |||
| ListAssociationVersions | 准許列出指定關聯版本 | 列出 | |||
| ListAssociations | 准許列出指定 SSM 文件或受管執行個體的關聯性 | 列出 | |||
| ListCommandInvocations | 准許列出傳送至指定執行個體的命令呼叫資訊 | 清單 | |||
| ListCommands | 准許列出傳送至指定執行個體的命令 | 清單 | |||
| ListComplianceItems | 准許列出指定資源上的指定資源類型相容性狀態 | 列出 | |||
| ListComplianceSummaries | 准許列出指定相容性類型之相容和不相容資源的計數摘要 | 列出 | |||
| ListDocumentMetadataHistory | 准許檢視指定 SSM 文件的相關中繼資料歷史記錄 | 列出 | |||
| ListDocumentVersions | 准許列出指定文件的所有版本 | 列出 | |||
| ListDocuments | 准許檢視指定 SSM 文件的資訊 | 列出 | |||
| ListInstanceAssociations | 准許 SSM Agent 檢查新的狀態管理員關聯性 (內部 Systems Manager 呼叫) | 列出 | |||
| ListInventoryEntries | 准許檢視指定執行個體的指定清查類型清單 | 清單 | |||
| ListNodes | 准許根據指定的篩選條件檢視受管節點的詳細資訊 | 清單 | |||
| ListNodesSummary | 准許根據指定的篩選條件和彙總工具檢視受管節點的摘要資訊 | 清單 | |||
| ListOpsItemEvents | 准許檢視 OpsItemEvents 的相關詳細資訊 | 清單 | |||
| ListOpsItemRelatedItems | 准許檢視 OpsItem RelatedItems 的相關詳細資訊 | 清單 | |||
| ListOpsMetadata | 准許檢視 OpsMetadata 物件清單 | 列出 | |||
| ListResourceComplianceSummaries | 准許列出資源層次摘要計數 | 列出 | |||
| ListResourceDataSync | 准許列出帳號中資源資料同步組態的資訊 | 列出 | |||
| ListTagsForResource | 准許檢視指定資源的資源標籤清單 | 清單 | |||
| ModifyDocumentPermission | 准許公開或私下與指定的 AWS 帳戶共用自訂 SSM 文件 | 許可管理 | |||
| PutCalendar [僅限許可] | 准許建立/編輯特定行事曆 | 寫入 | |||
| PutComplianceItems | 准許在指定的資源上登錄合規類型及其他合規詳細資訊 | 寫入 | |||
| PutConfigurePackageResult [僅限許可] | 准許 SSM Agent 產生特定代理程式請求的結果報告 (內部 Systems Manager 呼叫) | 閱讀 | |||
| PutInventory | 准許在多個指定的受管執行個體上新增或更新清查項目 | 寫入 | |||
| PutParameter | 准許建立 SSM 參數 | 寫入 | |||
| PutResourcePolicy | 准許建立或更新 Systems Manager 資源政策 | 許可管理 | |||
| RegisterDefaultPatchBaseline | 准許指定作業系統類型的預設修補程式基準 | 寫入 | |||
| RegisterManagedInstance | 准許註冊 Systems Manager Agent | 寫入 | |||
| RegisterPatchBaselineForPatchGroup | 准許為指定的修補程式群組指定預設修補程式基準 | 寫入 | |||
| RegisterTargetWithMaintenanceWindow | 准許登錄具有指定維護時段的目標 | 寫入 | |||
| RegisterTaskWithMaintenanceWindow | 准許在指定的維護時段登錄任務 | 寫入 | |||
| RemoveTagsFromResource | 准許從指定的資源中移除指定的標籤金鑰 | 標記 | |||
| ResetServiceSetting | 准許將 的服務設定重設 AWS 帳戶 為預設值 | 寫入 | |||
| ResumeSession | 准許將工作階段管理員工作階段重新連線到受管執行個體 | 寫入 | |||
| SendAutomationSignal | 准許傳送訊號,以變更指定自動化執行目前的行為或狀態 | 寫入 | |||
| SendCommand | 准許對一或多個指定的受管執行個體執行命令 | 寫入 | |||
| StartAccessRequest | 准許啟動just-in-time節點存取工作階段的工作流程 | 寫入 | |||
| StartAssociationsOnce | 准許手動執行指定的關聯性 | 寫入 | |||
| StartAutomationExecution | 准許啟動自動化文件執行 | 寫入 | |||
| StartChangeRequestExecution | 准許啟動自動化變更範本文件執行 | 寫入 | |||
| StartExecutionPreview | 准許建立預覽,顯示執行指定的 Automation Runbook 對目標資源的影響 | 閱讀 | |||
| StartSession | 准許啟動工作階段管理員工作階段的指定目標連線 | 寫入 | |||
| StopAutomationExecution | 准許停止已在進行的指定自動化執行作業 | 寫入 | |||
| TerminateSession | 准許永久結束執行個體的工作階段管理員連線 | 寫入 | |||
| UnlabelParameterVersion | 准許從參數的指定版本移除識別標籤 | 寫入 | |||
| UpdateAssociation | 准許更新關聯性,並立即在指定的目標上執行關聯性 | 寫入 | |||
| UpdateAssociationStatus | 准許更新與指定執行個體相關聯的 SSM 文件狀態 | 寫入 | |||
| UpdateDocument | 准許更新 SSM 文件的一或多個值 | 寫入 | |||
| UpdateDocumentDefaultVersion | 准許變更 SSM 文件的預設版本 | 寫入 | |||
| UpdateDocumentMetadata | 准許更新 SSM 文件的中繼資料 | 寫入 | |||
| UpdateInstanceAssociationStatus [僅限許可] | 准許 SSM Agent 更新目前正在執行的關聯性狀態 (內部 Systems Manager 呼叫) | 寫入 | |||
| UpdateInstanceInformation | 准許 SSM Agent 將活動訊號傳送至雲端的 Systems Manager 服務 | 寫入 | |||
| UpdateMaintenanceWindow | 准許更新指定的維護時段 | 寫入 | |||
| UpdateMaintenanceWindowTarget | 准許更新指定的維護時段目標 | 寫入 | |||
| UpdateMaintenanceWindowTask | 准許更新指定的維護時段任務 | 寫入 | |||
| UpdateManagedInstanceRole | 准許指派或變更指派給指定受管執行個體的 IAM 角色 | 寫入 | |||
| UpdateOpsItem | 准許編輯或變更 OpsItem | 寫入 | |||
| UpdateOpsMetadata | 准許更新 OpsMetadata 物件 | 寫入 | |||
| UpdatePatchBaseline | 准許更新指定的修補程式基準 | 寫入 | |||
| UpdateResourceDataSync | 准許更新資源資料同步 | 寫入 | |||
| UpdateServiceSetting | 准許更新 的服務設定 AWS 帳戶 | 寫入 |
AWS Systems Manager 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型表。
注意
某些 State Manager API 參數已被取代。這可能會導致非預期行為。如需相關資訊,請參閱以 IAM 使用關聯。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| association |
arn:${Partition}:ssm:${Region}:${Account}:association/${AssociationId}
|
|
| automation-execution |
arn:${Partition}:ssm:${Region}:${Account}:automation-execution/${AutomationExecutionId}
|
|
| automation-definition |
arn:${Partition}:ssm:${Region}:${Account}:automation-definition/${AutomationDefinitionName}:${VersionId}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| document |
arn:${Partition}:ssm:${Region}:${Account}:document/${DocumentName}
|
|
| iam-role |
arn:${Partition}:iam::${Account}:role/${RoleName}
|
|
| instance |
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
|
|
| maintenancewindow |
arn:${Partition}:ssm:${Region}:${Account}:maintenancewindow/${ResourceId}
|
|
| managed-instance |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance/${InstanceId}
|
|
| managed-instance-inventory |
arn:${Partition}:ssm:${Region}:${Account}:managed-instance-inventory/${InstanceId}
|
|
| opsitem |
arn:${Partition}:ssm:${Region}:${Account}:opsitem/${ResourceId}
|
|
| opsitemgroup |
arn:${Partition}:ssm:${Region}:${Account}:opsitemgroup/default
|
|
| opsmetadata |
arn:${Partition}:ssm:${Region}:${Account}:opsmetadata/${ResourceId}
|
|
| parameter |
arn:${Partition}:ssm:${Region}:${Account}:parameter/${ParameterNameWithoutLeadingSlash}
|
|
| patchbaseline |
arn:${Partition}:ssm:${Region}:${Account}:patchbaseline/${PatchBaselineIdResourceId}
|
|
| session |
arn:${Partition}:ssm:${Region}:${Account}:session/${SessionId}
|
|
| resourcedatasync |
arn:${Partition}:ssm:${Region}:${Account}:resource-data-sync/${SyncName}
|
|
| servicesetting |
arn:${Partition}:ssm:${Region}:${Account}:servicesetting/${ResourceId}
|
|
| windowtarget |
arn:${Partition}:ssm:${Region}:${Account}:windowtarget/${WindowTargetId}
|
|
| windowtask |
arn:${Partition}:ssm:${Region}:${Account}:windowtask/${WindowTaskId}
|
|
| task |
arn:${Partition}:ecs:${Region}:${Account}:task/${TaskId}
|
AWS Systems Manager 的條件索引鍵
AWS Systems Manager 定義下列條件索引鍵,可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 根據指定標籤的允許值集,依「建立」請求篩選存取權 | String |
| aws:ResourceTag/${TagKey} | 根據指派給 AWS 資源的標籤鍵/值對篩選存取權 | String |
| aws:TagKeys | 根據請求是否包含強制性標籤,依「建立」請求篩選存取權 | ArrayOfString |
| ec2:SourceInstanceARN | 依請求源自其中之執行個體的 ARN 篩選存取 | ARN |
| ssm:AccessRequestId | 透過驗證使用者是否有權存取請求中指定的存取請求 ID 來篩選存取權 | String |
| ssm:AutoApprove | 透過驗證使用者是否具有無需檢閱步驟就能啟動 Change Manager 工作流程 (變更凍結事件除外) 的許可來篩選存取權 | Bool |
| ssm:DocumentCategories | 透過驗證使用者是否具有存取屬於特定類別列舉的文件來篩選存取 | ArrayOfString |
| ssm:DocumentType | 透過驗證使用者是否具有存取屬於特定文件類型的文件的許可來篩選存取權。僅適用於「aws」、「aws-cn」和「aws-us-gov」分割區 | String |
| ssm:InventoryTypeName | 透過驗證使用者是否也可以存取請求中指定的 InventoryType 來篩選存取權 | ArrayOfString |
| ssm:Overwrite | 依控制是否可以覆寫 Systems Manager 參數篩選存取權 | String |
| ssm:Policies | 透過控制 IAM 實體 (使用者或角色) 是否可以建立或更新包含參數政策的參數來篩選存取權 | String |
| ssm:Recursive | 依在階層結構中建立的 Systems Manager 參數篩選存取權 | String |
| ssm:SessionDocumentAccessCheck | 透過確認使用者是否具有存取請求中指定的預設 Session Manager 組態文件,或自訂組態文件的許可來篩選存取 | Bool |
| ssm:SourceInstanceARN | 透過驗證提出請求之 AWS Systems Manager 受管執行個體的 Amazon Resource Name (ARN) 來篩選存取權。當請求來自使用與 EC2 執行個體設定檔關聯之 IAM 角色驗證的受管執行個體時,不會顯示此索引鍵。 | ARN |
| ssm:SyncType | 藉由確認使用者是否具有存取要求中指定的 ResourceDataSync SyncType 篩選存取權 | String |
| ssm:resourceTag/${TagKey} | 依指派給 Systems Manager 資源的標籤鍵值對篩選存取權 | String |
| ssm:resourceTag/aws:ssmmessages:session-id | 根據指派給 Systems Manager 工作階段資源的標籤金鑰值對篩選存取權 | String |
| ssm:resourceTag/aws:ssmmessages:target-id | 根據指派給 Systems Manager 工作階段資源的標籤金鑰值對篩選存取權 | String |
| ssm:resourceTag/tag-key | 根據指派給 Systems Manager 資源的標籤鍵值對篩選存取權 | String |
