Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Starten Sie eine Sitzung mit einem Dokument, indem Sie die Sitzungsdokumente in IAM-Richtlinien angeben
Wenn Sie den AWS CLI-Befehl start-session mit dem Standard-Sitzungsdokument verwenden, können Sie den Dokumentnamen auslassen. Das System ruft automatisch das SSM-SessionManagerRunShell-Sitzungsdokument auf.
In allen anderen Fällen müssen Sie einen Wert für den document-name-Parameter angeben. Wenn ein Benutzer den Namen eines Sitzungsdokuments in einem Befehl angibt, überprüft das System seine IAM-Richtlinie, um sicherzustellen, dass er berechtigt ist, auf das Dokument zuzugreifen. Wenn sie nicht berechtigt sind, schlägt die Verbindungsanforderung fehl. In den folgenden Beispielen ist der document-name-Parameter im AWS-StartPortForwardingSession-Sitzungsdokument enthalten.
aws ssm start-session \ --target i-02573cafcfEXAMPLE \ --document-name AWS-StartPortForwardingSession \ --parameters '{"portNumber":["80"], "localPortNumber":["56789"]}'
Erzwingen Sie beim Starten einer Sitzung eine Berechtigungsprüfung für das Sitzungsdokument
Um den Zugriff auf das AWS-StartPortForwardingSession-Sitzungsdokument zu beschränken, können Sie der IAM-Richtlinie des Benutzers ein Bedingungselement hinzufügen, das überprüft, ob der Benutzer expliziten Zugriff auf ein Sitzungsdokument hat. Wenn diese Bedingung angewendet wird, muss der Benutzer einen Wert für die Option document-name des start-session-Befehls angeben. Das folgende Bedingungselement führt, wenn es der Aktion ssm:StartSession in der IAM-Richtlinie hinzugefügt wird, eine Prüfung des Sitzungsdokumentzugriffs durch.
"Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" } }
Wenn dieses Bedingungselement auf true festgelegt ist, muss expliziter Zugriff auf ein Sitzungsdokument in der IAM-Richtlinie gewährt werden, damit der Benutzer eine Sitzung starten kann. Um sicherzustellen, dass das Bedingungselement durchgesetzt wird, muss es in allen Richtlinienanweisungen enthalten sein, die die ssm:StartSession-Aktion erlauben. Ein Beispiel.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableSSMSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:us-west-2:123456789012:instance/i-02573cafcfEXAMPLE", "arn:aws:ssm:us-west-2::document/AWS-StartPortForwardingSession" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" } } } ] }
Wenn diese IAM-Richtlinie vorhanden ist und das SessionDocumentAccessCheck-Bedingungselement auf true gesetzt ist, müssen Benutzer den document-name-Parameter in ihren Befehl eingeben, wenn sie eine Sitzung mit der AWS CLI starten. Der Wert von document-name muss dem Dokument entsprechen, das im Resource-Abschnitt der IAM-Richtlinie angegeben ist. Wenn der Benutzer einen anderen Dokumentnamen eingibt oder den document-name-Parameter nicht angibt, schlägt die Anfrage fehl.
Wenn das SessionDocumentAccessCheck-Bedingungselement auf false eingestellt ist, hat dies keinen Einfluss auf die Evaluierung der IAM-Richtlinie.
Ein Beispiel für die Angabe eines Session Manager-Sitzungsdokuments in einer IAM-Richtlinie finden Sie unter Kurzeinführung in Endbenutzerrichtlinien für Session Manager.
Andere Szenarien
Zum Starten einer Sitzung mit SSH müssen sowohl auf dem anvisierten verwalteten Knoten als auch auf der lokalen Maschine des Benutzers bestimmte Konfigurationsschritte vorgenommen werden. Weitere Informationen finden Sie unter (Optional) Erlauben und Steuern von Berechtigungen für SSH-Verbindungen über Session Manager.
