자격 증명 기반 정책 설정 예제
다음 섹션에서는 AWS Systems Manager 자동화 서비스에 대한 IAM 자격 증명 기반 정책의 예를 제공합니다. 이러한 예제 JSON 정책 문서를 사용하여 IAM 자격 증명 기반 정책을 생성하는 방법에 대한 자세한 내용은 IAM 사용 설명서에서 IAM 정책 생성을 참조하세요.
모든 예제는 가상의 계정 ID를 포함합니다. AWS 소유 퍼블릭 문서의 경우 Amazon 리소스 이름(ARN)에 계정 ID를 지정해서는 안 됩니다.
예제
예제 1: 사용자가 자동화 문서를 실행하고 자동화 실행을 확인할 수 있도록 허용
다음 예제 IAM 정책에서는 사용자가 다음을 할 수 있도록 허용합니다.
-
정책에 지정된 자동화 문서를 실행합니다. 문서 이름은 다음 항목에 의해 결정됩니다.
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
-
자동화 실행을 중지하고 신호를 보냅니다.
-
자동화 실행이 시작된 후 자동화 실행에 대한 세부 정보를 봅니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/{{DocumentName}}",
"arn:aws:ssm:*:111122223333:automation-execution/*"
]
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
}
]
}
예제 2: 사용자가 자동화 문서의 특정 버전을 실행하도록 허용
다음 예제 IAM 정책에서는 사용자가 자동화 문서의 특정 버전을 실행하도록 허용합니다.
-
자동화 문서 이름은 다음 항목에 의해 결정됩니다.
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
-
자동화 문서 버전은 다음 항목에 의해 결정됩니다.
"ssm:DocumentVersion": "5"
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/{{DocumentName}}"
],
"Condition": {
"ForAnyValue:StringEquals": {
"ssm:DocumentVersion": ["5"]
}
}
},
{
"Action": [
"ssm:StartAutomationExecution"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
}
]
}
예제 3: 사용자가 특정 태그를 포함하는 자동화 문서를 실행하도록 허용
다음 예제 IAM 정책에서는 사용자가 특정 태그가 있는 자동화 문서를 실행하도록 허용합니다.
-
자동화 문서 이름은 다음 항목에 의해 결정됩니다.
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
-
자동화 문서 태그는 다음 항목에 의해 결정됩니다.
"ssm:DocumentVersion": "5"
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "production"
}
}
},
{
"Action": [
"ssm:StartAutomationExecution"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow"
}
]
}
예제 4: 자동화 실행에 특정 태그 파라미터가 제공된 경우 사용자가 자동화 문서를 실행하도록 허용
다음 예제 IAM 정책에서는 자동화 실행에 특정 태그 파라미터가 제공된 경우 사용자에게 자동화 문서를 실행할 수 있는 권한을 부여합니다.
-
정책에 지정된 자동화 문서를 실행합니다. 문서 이름은 다음 항목에 의해 결정됩니다.
arn:aws:ssm:*:111122223333:document/{{DocumentName}}
-
자동화 실행에 특정 태그 파라미터를 제공해야 합니다. 자동화 실행 리소스의 태그 파라미터는 다음 항목에 의해 결정됩니다.
"aws:ResourceTag/stage": "production"
-
지정된 태그가 있는 자동화 실행을 중지하고 신호를 보냅니다.
-
지정된 태그가 있는 자동화 실행에 대한 세부 정보를 확인합니다.
-
SSM 리소스에 지정된 태그를 추가합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:document/{{DocumentName}}"
]
},
{
"Action": [
"ssm:StartAutomationExecution",
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution",
"ssm:DescribeAutomationExecutions",
"ssm:DescribeAutomationStepExecutions",
"ssm:SendAutomationSignal"
],
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
],
"Effect": "Allow",
"Condition": {
"StringEquals": {
"aws:ResourceTag/environment": "beta"
}
}
},
{
"Action": "ssm:AddTagsToResource",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:111122223333:automation-execution/*"
]
}
]
}
