• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板，就像現在一樣。如需詳細資訊，請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Systems Manager 搭配 IAM 的運作方式
<a name="security_iam_service-with-iam"></a>

在您使用 AWS Identity and Access Management (IAM) 來管理對 的存取之前 AWS Systems Manager，您應該了解哪些 IAM 功能可與 搭配使用Systems Manager。若要深入了解 Systems Manager和其他 如何與 IAM AWS 服務 搭配使用，請參閱《[AWS 服務 IAM 使用者指南》中的 與 IAM 搭配使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **

**Topics**
+ [Systems Manager 身分型政策](#security_iam_service-with-iam-id-based-policies)
+ [Systems Manager 資源型政策](#security_iam_service-with-iam-resource-based-policies)
+ [以 Systems Manager 標籤為基礎的授權](#security_iam_service-with-iam-tags)
+ [Systems Manager IAM 角色](#security_iam_service-with-iam-roles)

## Systems Manager 身分型政策
<a name="security_iam_service-with-iam-id-based-policies"></a>

使用 IAM 身分型政策，您可以指定允許或拒絕的動作和資源，以及在何種條件下允許或拒絕動作。Systems Manager 支援特定動作、資源及條件金鑰。若要了解您在 JSON 政策中使用的所有元素，請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

### 動作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。

Systems Manager 中的政策動作會在動作之前使用以下字首：`ssm:`。例如，若要授予某人使用 Systems Manager `PutParameter` API 操作建立 Systems Manager 參數 (SSM 參數) 的許可，請在其政策中加入 `ssm:PutParameter` 動作。政策陳述式必須包含 `Action` 或 `NotAction` 元素。Systems Manager 會定義一組自己的動作，來描述您可以使用此服務執行的任務。

若要在單一陳述式中指定多個動作，請用逗號分隔，如下所示：

```
"Action": [
      "ssm:action1",
      "ssm:action2"
]
```

**注意**  
中的下列工具在動作之前 AWS Systems Manager 使用不同的字首。  
AWS AppConfig 在動作`appconfig:`之前使用 字首。
Incident Manager 會在動作之前使用 `ssm-incidents:` 或 `ssm-contacts:` 字首。
Systems Manager GUI Connect 會在動作之前使用 `ssm-guiconnect:` 字首。
Quick Setup 會在動作之前使用 `ssm-quicksetup:` 字首。

您也可以使用萬用字元 (\*) 來指定多個動作。例如，若要指定開頭是 `Describe` 文字的所有動作，請包含以下動作：

```
"Action": "ssm:Describe*"
```



如要查看 Systems Manager 動作的清單，請參閱《*服務授權參考*》中的 [AWS Systems Manager 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)。

### Resources
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可，使用萬用字元 (\*) 表示該陳述式適用於所有資源。

```
"Resource": "*"
```



例如，Systems Manager 維護時段資源具有下列 ARN 格式。

```
arn:aws:ssm:{{region}}:{{account-id}}:maintenancewindow/{{window-id}}
```

若要在您美國東部 (俄亥俄) 區域的陳述式中指定 mw-0c50858d01EXAMPLE 維護時段，請使用類似於下列的 ARN。

```
"Resource": "arn:aws:ssm:us-east-2:{{123456789012}}:maintenancewindow/mw-0c50858d01EXAMPLE"
```

若要指定所有屬於特定帳戶的維護時段，請使用萬用字元 (\*)。

```
"Resource": "arn:aws:ssm:{{region}}:{{123456789012}}:maintenancewindow/*"
```

對於 `Parameter Store` API 操作，您可以使用階層名稱和 AWS Identity and Access Management (IAM) 政策，提供或限制對階層某個層級中所有參數的存取，如下所示。

```
"Resource": "arn:aws:ssm:{{region}}:123456789012:parameter/Dev/ERP/Oracle/*"
```

有些 Systems Manager 動作 (例如用來建立資源的動作) 無法在特定資源上執行。在這些情況下，您必須使用萬用字元 (\*)。

```
"Resource": "*"
```

一些 Systems Manager API 作業都接受多個資源。若要在單一陳述式中指定多項資源，請用逗號分隔其 ARN，如下所示。

```
"Resource": [
      "resource1",
      "resource2"
```

**注意**  
大多數 AWS 服務 會將冒號 (：) 或正斜線 (/) 視為 ARNs中的相同字元。不過，Systems Manager 在資源模式和規則中請求完全相符。在建立事件模式時，請務必使用正確的 ARN 字元，使這些字元符合資源的 ARN。

下表說明 Systems Manager 支援的資源類型 ARN 格式。

**注意**  
請注意 ARN 格式的下列例外狀況。  
中的下列工具在動作之前 AWS Systems Manager 使用不同的字首。  
AWS AppConfig 在動作`appconfig:`之前使用 字首。
Incident Manager 會在動作之前使用 `ssm-incidents:` 或 `ssm-contacts:` 字首。
Systems Manager GUI Connect 會在動作之前使用 `ssm-guiconnect` 字首。
Amazon 擁有的文件和自動化定義資源，以及 Amazon 和第三方來源提供的公有參數，都不會在 ARN 格式中包含帳戶 ID。例如：  
SSM 文件 `AWS-RunPatchBaseline`：  
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline` 
Automation 執行手冊 `AWS-ConfigureMaintenanceWindows`：  
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
公有參數 `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`：  
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
如需有關這三個資源類型的詳細資訊，請參閱下列主題：  
[使用文件](documents-using.md)
[執行由 Systems Manager Automation 提供支援的自動化操作](running-simple-automations.md)
[在 Parameter Store 中使用公有參數](parameter-store-public-parameters.md)
Quick Setup 會在動作之前使用 `ssm-quicksetup:` 字首。


| Resource Type (資源類型) | ARN 格式 | 
| --- | --- | 
| 應用程式 (AWS AppConfig) | arn:aws:appconfig:{{region}}:{{account-id}}:application/{{application-id}} | 
| 關聯 | arn:aws:ssm:{{region}}:{{account-id}}:association/{{association-id}} | 
| 自動化執行 | arn:aws:ssm:{{region}}:{{account-id}}:automation-execution/{{automation-execution-id}} | 
| 自動化定義 (包含版本子資源) | arn:aws:ssm:{{region}}:{{account-id}}:automation-definition/{{automation-definition-id}}:{{version-id}} **1** | 
| 組態描述檔 (AWS AppConfig) | arn:aws:appconfig:{{region}}:{{account-id}}:application/{{application-id}}/configurationprofile/{{configurationprofile-id}} | 
| 聯絡 (Incident Manager) | arn:aws:ssm-contacts:{{region}}:{{account-id}}:contact/{{contact-alias}} | 
| 部署策略 (AWS AppConfig) | arn:aws:appconfig:{{region}}:{{account-id}}:deploymentstrategy/{{deploymentstrategy-id}} | 
| 文件 | arn:aws:ssm:{{region}}:{{account-id}}:document/{{document-name}} | 
| 環境 (AWS AppConfig) | arn:aws:appconfig:{{region}}:{{account-id}}:application/{{application-id}}/environment/{{environment-id}} | 
| 事件 | arn:aws:ssm-incidents:{{region}}:{{account-id}}:incident-record/{{response-plan-name}}/{{incident-id}} | 
| Maintenance window (維護時段) | arn:aws:ssm:{{region}}:{{account-id}}:maintenancewindow/{{window-id}} | 
| 受管節點 | arn:aws:ssm:{{region}}:{{account-id}}:managed-instance/{{managed-node-id}} | 
| 受管節點庫存 | arn:aws:ssm:{{region}}:{{account-id}}:managed-instance-inventory/{{managed-node-id}} | 
| OpsItem | arn:aws:ssm:{{region}}:{{account-id}}:opsitem/{{OpsItem-id}} | 
| 參數 | 單層級參數：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/security_iam_service-with-iam.html)<br />使用階層結構命名的參數：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/security_iam_service-with-iam.html) | 
| 修補基準 | arn:aws:ssm:{{region}}:{{account-id}}:patchbaseline/{{patch-baseline-id}}  | 
| 反應計劃 | arn:aws:ssm-incidents:{{region}}:{{account-id}}:response-plan/{{response-plan-name}} | 
| Session (工作階段) | arn:aws:ssm:{{region}}:{{account-id}}:session/{{session-id}} **3** | 
| 所有 Systems Manager 資源 | arn:aws:ssm:\* | 
| 指定 AWS 帳戶 中指定 擁有的所有Systems Manager資源 AWS 區域 | arn:aws:ssm:{{region}}:{{account-id}}:\* | 

**注意**  
自動化定義資源已棄用。請更新您的 IAM 政策，以包含允許 `ssm:StartAutomationExecution`或 `ssm:StartChangeRequestExecution` 上的 `document`和 `automation-execution` 資源。若要檢視設定 IAM 許可的最佳實務和範例，請參閱我們的[設定身分型政策範例](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html)使用者指南。

**1** 針對自動化定義，Systems Manager 支援第二層級的資源，*版本 ID*。在 中 AWS，這些第二層資源稱為*子資源*。指定自動化定義資源的版本子資源，允許您提供特定版本之自動化定義的存取。例如，您可能想要確保您的節點管理僅使用最新版本的自動化定義。

**2** 若要整理和管理參數，您可以建立具有階層結構的參數名稱。擁有階層結構的參數名稱可以包含您使用斜線定義的路徑。您最多可以命名包含十五個層級的參數資源。建議您建立階層以反映環境中現有的階層架構。如需詳細資訊，請參閱[在 Systems Manager 中建立 Parameter Store 參數](sysman-paramstore-su-create.md)。

**3** 在大多數情況下，工作階段 ID 是使用開始工作階段的帳戶使用者 ID，加上英數尾碼。例如：

```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```

不過，如果使用者 ID 無法使用，則會以下列方式建構 ARN：

```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```

如需有關 ARN 格式的詳細資訊，請參閱《Amazon Web Services 一般參考》**中的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。

如需 Systems Manager 資源類型及其 ARN 的清單，請參閱《*服務授權參考*》中的 [AWS Systems Manager 定義的資源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN，請參閱 [AWS Systems Manager 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)。<a name="policy-conditions"></a>

### Systems Manager 的條件索引鍵
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說，哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。

`Condition` 元素會根據定義的條件，指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於)，來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵，請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。



如要查看 Systems Manager 條件索引鍵的清單，請參閱《*服務授權參考*》中的 [AWS Systems Manager 的條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys)。若要了解您可以針對何種動作及資源使用條件索引鍵，請參閱 [AWS Systems Manager 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions)。

如需使用 `ssm:resourceTag/*` 條件金鑰的相關資訊，請參閱以下主題：
+ [限制透過 SSM Agent 存取根層級命令](ssm-agent-restrict-root-level-commands.md)
+ [根據標籤限制 Run Command 存取](run-command-setting-up.md#tag-based-access) 
+ [根據執行個體標籤限制工作階段存取](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)

如需使用 `ssm:Recursive`、`ssm:Policies` 和 `ssm:Overwrite` 條件索引鍵的相關資訊，請參閱[防止存取 Parameter Store API 操作](parameter-store-policy-conditions.md)。

### 範例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



若要檢視 Systems Manager 身分型政策範例，請參閱 [AWS Systems Manager 身分型政策範例](security_iam_id-based-policy-examples.md)。

## Systems Manager 資源型政策
<a name="security_iam_service-with-iam-resource-based-policies"></a>

其他 AWS 服務，例如 Amazon Simple Storage Service (Amazon S3)，支援以資源為基礎的許可政策。例如，您可以將許可政策連接至 S3 儲存貯體，以管理該儲存貯體的存取許可。

Systems Manager 不支援資源型政策。

## 以 Systems Manager 標籤為基礎的授權
<a name="security_iam_service-with-iam-tags"></a>

您可以將標籤連接到 Systems Manager 資源，或是在請求中將標籤傳遞給 Systems Manager。若要根據標籤控制存取，請使用 `ssm:resourceTag/{{key-name}}`、`aws:ResourceTag/{{key-name}}`、`aws:RequestTag/{{key-name}}` 或 `aws:TagKeys` 條件索引鍵，在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中，提供標籤資訊。您可以在建立或更新下列資源類型時，將標籤新增至下列資源類型：
+ 文件
+ 受管節點
+ Maintenance window (維護時段)
+ 參數
+ 修補基準
+ OpsItem

若要檢視身分型政策範例，以根據該資源上的標籤來限制存取資源，請參閱 [根據標籤來檢視 Systems Manager 文件](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags)。

## Systems Manager IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是 中具有特定許可 AWS 帳戶 的實體。

### 將臨時憑證與 Systems Manager 搭配使用
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

您可以搭配聯合使用暫時憑證、擔任 IAM 角色，或是擔任跨帳戶角色。您可以透過呼叫 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 等 AWS Security Token Service AWS STS API 操作來取得臨時安全登入資料。

Systems Manager 支援使用臨時憑證。

### 服務連結角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允許 AWS 服務 存取其他服務中的資源，以代表您完成 動作。服務連結角色會列於您的 IAM 帳戶中，並由該服務所擁有。 管理員可以檢視，但不能編輯服務連結角色的許可。

Systems Manager 支援服務連結角色。如需建立或管理 Systems Manager 服務連結角色的詳細資訊，請參閱[使用 Systems Manager 的服務連結角色](using-service-linked-roles.md)。

### 服務角色
<a name="security_iam_service-with-iam-roles-service"></a>

此功能可讓服務代表您擔任[服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色可讓服務存取其他服務中的資源，以代表您完成動作。服務角色會顯示在您的 IAM 帳戶中，且由該帳戶所擁有。這表示 管理員可以變更此角色的許可。不過，這樣可能會破壞此服務的功能。

Systems Manager 支援服務角色。

### 在 Systems Manager 中選擇 IAM 角色
<a name="security_iam_service-with-iam-roles-choose"></a>

若要讓 Systems Manager 與您的受管節點互動，您必須選擇角色以允許 Systems Manager 代表您存取節點。如果您之前已建立服務角色或服務連結角色，Systems Manager 會提供您角色清單讓您選擇。請務必選擇允許存取啟動和停止受管節點的角色。

若要存取 EC2 執行個體，您必須設定執行個體許可。如需相關資訊，請參閱[設定 Systems Manager 所需的執行個體許可](setup-instance-permissions.md)。

若要存取[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的非 EC2 節點，您的 AWS 帳戶 需要的角色是 IAM 服務角色。如需相關資訊，請參閱[在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)。

自動化工作流程可在服務角色 (或擔任角色) 的內容下啟動。這可讓服務代表您執行動作。如果您未指定擔任角色，Automation 會使用呼叫執行的使用者內容。然而，某些情況仍需要您為自動化指定服務角色。如需詳細資訊，請參閱[設定自動化的服務角色 (擔任角色) 存取權](automation-setup.md#automation-setup-configure-role)。

### AWS Systems Manager 受管政策
<a name="managed-policies"></a>

AWS 透過提供由 建立和管理的獨立 IAM 政策，解決許多常見的使用案例 AWS。這些 AWS *管理的政策*會授予常用案例所需的許可，讓您不需調查需要哪些許可。(您也可以建立自己的自訂 IAM 政策，以允許 Systems Manager 動作與資源的許可。) 

如需有關 Systems Manager 受管政策的詳細資訊，請參閱 [AWS 的 受管政策 AWS Systems Manager](security-iam-awsmanpol.md)

如需受管政策的一般資訊，請參閱《IAM 使用者指南》**中的 [AWS managed policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。