• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 Amazon CloudWatch Dashboard 文件。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
透過 IAM 使用關聯
State Manager是 中的工具 AWS Systems Manager,使用目標來選擇您設定關聯的執行個體。最初,關聯是透過指定文件名稱 (Name) 和執行個體 ID (InstanceId) 來建立的。這會在文件和執行個體或受管節點之間建立關聯。關聯通常由這些參數識別。這些參數現在已被取代,但仍支援它們。資源 instance 和 managed-instance 作為資源新增到具有 Name 和 InstanceId 的動作。
AWS Identity and Access Management (IAM) 政策強制執行行為取決於指定的資源類型。僅根據傳入的請求強制執行 State Manager 的資源操作。State Manager 不會對帳戶中資源的屬性執行深入檢查。只有在請求參數包含指定的政策資源時,才會針對政策資源驗證請求。例如,如果您在資源區塊中指定執行個體,若請求使用 InstanceId 參數,則會強制執行政策。不會針對該 InstanceId 來檢查帳戶中每個資源的 Targets 參數。
以下是具有迷惑行為的一些案例:
-
DescribeAssociation、DeleteAssociation 和 UpdateAssociation 使用
instance、managed-instance以及document資源來指定參考關聯的已取代方式。這包括使用已取代的InstanceId參數建立的所有關聯。 -
CreateAssociation、CreateAssociationBatch 以及 UpdateAssociation 使用
instance和managed-instance資源來指定參考關聯的已取代方式。這包括使用已取代的InstanceId參數建立的所有關聯。document資源類型是參考關聯的已取代方式的一部分,並且是關聯的實際屬性。這表示您可以根據文件名稱,使用Create和Update動作的Allow或Deny許可來構建 IAM 政策。
如需有關搭配使用 IAM 政策與 Systems Manager 的詳細資訊,請參閱《服務授權參考》中的 適用於 AWS Systems Manager 的 Identity and Access Management 或適用於 AWS Systems Manager的動作、資源及條件金鑰。
