メニュー
Amazon EC2 Systems Manager
ユーザーガイド

共有 Systems Manager ドキュメントの共有および使用のガイドライン

共有ドキュメントを共有したり使用したりする前に、次のガイドラインを確認してください。

機密情報を削除する

Systems Manager ドキュメントを慎重に確認して、機密情報があればそれを削除します。たとえば、ドキュメントに AWS 認証情報が含まれていないことを確認します。特定のユーザーとドキュメントを共有する場合、そのユーザーはドキュメント内の情報を表示することができます。パブリックにドキュメントを共有する場合、誰でもドキュメント内の情報を表示することができます。

IAM ユーザー信頼ポリシーを使用して Run Command アクションを制限する

ドキュメントにアクセスできるユーザー用の、AWS Identity and Access Management (IAM) 制限付きユーザーポリシーを作成します。IAM ポリシーにより、ユーザーが Amazon EC2 コンソールで表示できるか、AWS CLI または AWS Tools for Windows PowerShell で ListDocuments を呼び出して表示できる Systems Manager ドキュメントが決まります。このポリシーでは、Systems Manager ドキュメントに対してユーザーが実行できるアクションも制限されます。制限付きポリシーを作成し、ユーザーが特定のドキュメントのみを表示するようにできます。詳細については、「Systems Manager のセキュリティロールを設定する」を参照してください。

使用する前に共有ドキュメントのコンテンツを確認する

インスタンスで実行するコマンドを理解するために、共有されている各ドキュメント (特にパブリックドキュメント) のコンテンツを確認します。ドキュメントは、実行後に意図的または非意図的に悪影響を及ぼすことがあります。ドキュメントが外部ネットワークを参照している場合、ドキュメントを使用する前に外部ソースを確認してください。

ドキュメントハッシュを使用してコマンドを送信する

ドキュメントを共有する場合、システムは Sha-256 ハッシュを作成し、それをドキュメントに割り当てます。また、システムはドキュメントコンテンツのスナップショットを保存します。共有ドキュメントを使用してコマンドを送信するときは、コマンドでハッシュを指定して、次の条件が確実に該当するようにできます。

  • 正しい Systems Manager ドキュメントからコマンドを実行している

  • ドキュメントが自分と共有されてからコンテンツが変更されていない。

ハッシュが、指定されたドキュメントと一致しない場合、または共有ドキュメントのコンテンツが変更されている場合、コマンドは InvalidDocument 例外を返します。注意: ハッシュは、外部の場所からドキュメントのコンテンツを確認することはできません。