View a markdown version of this page

Exemplos de configuração de políticas baseadas em identidade - AWS Systems Manager
Exemplo 1: Permitir que um usuário execute um documento de automação e visualize a execução da automaçãoExemplo 2: Permitir que um usuário execute uma versão específica de um documento de automaçãoExemplo 3: Permitir que um usuário execute documentos de automação com uma tag específicaExemplo 4: Permitir que um usuário execute um documento de automação quando uma tag específica for fornecida para a execução da automação

Exemplos de configuração de políticas baseadas em identidade

As seções a seguir fornecem exemplos de políticas baseadas em identidade do IAM para o serviço de Automação do AWS Systems Manager. Para obter mais informações sobre como criar uma política baseada em identidade do IAM usando esses documentos de política JSON de exemplo, consulte Criar políticas do IAM, no Guia do usuário do IAM.

nota

Todos os exemplos contêm IDs de contas fictícias. A ID da conta não deve ser especificada no nome do recurso da Amazon (ARN) para documentos públicos de propriedade da AWS.

Exemplos

Exemplo 1: Permitir que um usuário execute um documento de automação e visualize a execução da automação

A seguinte política do IAM de exemplo permite que um usuário faça o seguinte:

  • Execute o documento de automação especificado na política. O nome do documento é determinado pela entrada a seguir.

    arn:aws:ssm:*:111122223333:document/{{DocumentName}}

  • Interrompa e envie sinais para uma execução de automação.

  • Veja detalhes sobre a execução da automação após ela ter sido iniciada.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": "ssm:StartAutomationExecution",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*:111122223333:document/{{DocumentName}}",
                "arn:aws:ssm:*:111122223333:automation-execution/*"
            ]
        },
        {
            "Action": [
                "ssm:StopAutomationExecution",
                "ssm:GetAutomationExecution",
                "ssm:DescribeAutomationExecutions",
                "ssm:DescribeAutomationStepExecutions",
                "ssm:SendAutomationSignal"
            ],
            "Resource": [
                "arn:aws:ssm:*:111122223333:automation-execution/*"
            ],
            "Effect": "Allow"
        }
    ]
}

Exemplo 2: Permitir que um usuário execute uma versão específica de um documento de automação

A seguinte política do IAM permite que um usuário do IAM execute uma versão específica de um documento de automação:

  • O nome do documento de automação é determinado pela entrada a seguir.

    arn:aws:ssm:*:111122223333:document/{{DocumentName}}

  • A versão do documento de automação é determinada pela entrada a seguir.

    "ssm:DocumentVersion": "5"
JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": "ssm:StartAutomationExecution",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*:111122223333:document/{{DocumentName}}"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                   "ssm:DocumentVersion": ["5"]
                }
            }
        },
        {
            "Action": [
                "ssm:StartAutomationExecution"
            ],
            "Resource": [
                "arn:aws:ssm:*:111122223333:automation-execution/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:StopAutomationExecution",
                "ssm:GetAutomationExecution",
                "ssm:DescribeAutomationExecutions",
                "ssm:DescribeAutomationStepExecutions",
                "ssm:SendAutomationSignal"
            ],
            "Resource": [
                "arn:aws:ssm:*:111122223333:automation-execution/*"
            ],
            "Effect": "Allow"
        }
    ]
}

Exemplo 3: Permitir que um usuário execute documentos de automação com uma tag específica

A seguinte política do IAM permite que um usuário execute qualquer documento de automação que tenha uma tag específica:

  • O nome do documento de automação é determinado pela entrada a seguir.

    arn:aws:ssm:*:111122223333:document/{{DocumentName}}

  • A tag do documento de automação é determinada pela entrada a seguir.

    "ssm:DocumentVersion": "5"
JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": "ssm:StartAutomationExecution",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*:111122223333:document/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": "production"
                }
            }
        },
        {
            "Action": [
                "ssm:StartAutomationExecution"
            ],
            "Resource": [
                "arn:aws:ssm:*:111122223333:automation-execution/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ssm:StopAutomationExecution",
                "ssm:GetAutomationExecution",
                "ssm:DescribeAutomationExecutions",
                "ssm:DescribeAutomationStepExecutions",
                "ssm:SendAutomationSignal"
            ],
            "Resource": [
                "arn:aws:ssm:*:111122223333:automation-execution/*"
            ],
            "Effect": "Allow"
        }
    ]
}

Exemplo 4: Permitir que um usuário execute um documento de automação quando uma tag específica for fornecida para a execução da automação

A seguinte política do IAM concede permissões a um usuário para executar documentos de automação quando uma etiqueta específica é fornecida para a execução da automação:

  • Execute o documento de automação especificado na política. O nome do documento é determinado pela entrada a seguir.

    arn:aws:ssm:*:111122223333:document/{{DocumentName}}

  • É necessário fornecer um parâmetro de tag específico para a execução da automação. O parâmetro de tag para o recurso de execução da automação é determinado pela seguinte entrada.

    "aws:ResourceTag/stage": "production"

  • Interrompa e envie sinais para execuções de automação que tenham a tag especificada.

  • Veja detalhes sobre as execuções de automação que possuem a tag especificada.

  • Adicione a tag especificada aos recursos do SSM.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Action": "ssm:StartAutomationExecution",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*:111122223333:document/{{DocumentName}}"
            ]
        },
        {
            "Action": [
                "ssm:StartAutomationExecution",
                "ssm:StopAutomationExecution",
                "ssm:GetAutomationExecution",
                "ssm:DescribeAutomationExecutions",
                "ssm:DescribeAutomationStepExecutions",
                "ssm:SendAutomationSignal"
            ],
            "Resource": [
                "arn:aws:ssm:*:111122223333:automation-execution/*"
            ],
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/environment": "beta"
                }
            }
        },
        {
            "Action": "ssm:AddTagsToResource",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:*:111122223333:automation-execution/*"
            ]
        }
    ]
}