Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 5: (Optional) Beschränken des Zugriffs auf Befehle in einer Sitzung
Sie können die Befehle einschränken, die ein Benutzer in einer AWS Systems Manager Session Manager Sitzung ausführen kann, indem Sie ein benutzerdefiniertes Session
AWS Systems Manager Dokument (SSM) verwenden. In dem Dokument definieren Sie den Befehl, der ausgeführt wird, wenn der Benutzer eine Sitzung startet, und die Parameter, die der Benutzer dem Befehl übergeben kann. Die Session
des schemaVersion
-Dokuments muss 1.0 und der sessionType
des Dokuments muss InteractiveCommands
lauten. Anschließend können Sie AWS Identity and Access Management (IAM)-Richtlinien erstellen, die es den Benutzern ermöglichen, nur auf die von Ihnen definierten Session
-Dokumente zuzugreifen. Weitere Informationen zur Verwendung von IAM-Richtlinien zum Beschränken des Zugriffs auf Befehle in einer Sitzung finden Sie unter IAM-Richtlinienbeispiele für interaktive Befehle.
Dokumente mit dem sessionType
von InteractiveCommands
werden nur für Sitzungen unterstützt, die mit AWS Command Line Interface (AWS CLI) gestartet wurden. Der Benutzer gibt den Namen des benutzerdefinierten Dokuments als --document-name
-Parameterwert an und gibt alle Befehlsparameterwerte über die Option --parameters
an. Weitere Informationen zur Ausführung interaktiver Befehle finden Sie unter Starten einer Sitzung (interaktive und nicht interaktive Befehle).
Gehen Sie wie folgt vor, um ein SSM-Dokument vom benutzerdefinierten Typ Session
zu erstellen, das den Befehl definiert, den ein Benutzer ausführen darf.
Beschränken des Zugriffs auf Befehle in einer Sitzung (Konsole)
So beschränken Sie die Befehle, die ein Benutzer in einer Session Manager-Sitzung ausführen kann (Konsole)
Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/
. -
Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.
-
Wählen Sie Create command or session (Befehl oder Sitzung erstellen) aus.
-
Geben Sie unter Name einen aussagekräftigen Namen für das Dokument ein.
-
Wählen Sie für Document type (Dokumenttyp) die Option Session document (Sitzungsdokument) aus.
-
Geben Sie mithilfe von JSON oder YAML Ihren Dokumentinhalt ein, der den Befehl definiert, den ein Benutzer in einer Session Manager-Sitzung ausführen kann, wie im folgenden Beispiel gezeigt.
-
Wählen Sie Create document (Dokument erstellen) aus.
Beschränken des Zugriffs auf Befehle in einer Sitzung (Befehlszeile)
Bevor Sie beginnen
Falls noch nicht erfolgt, installieren und konfigurieren Sie die AWS Command Line Interface (AWS CLI) oder AWS Tools for PowerShell. Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI und Installieren des AWS Tools for PowerShell.
So beschränken Sie die Befehle, die ein Benutzer in einer Session Manager-Sitzung ausführen kann (Befehlszeile)
-
Erstellen Sie eine JSON- oder YAML-Datei für Ihren Dokumentinhalt, der den Befehl definiert, den ein Benutzer in einer Session Manager-Sitzung ausführen kann, wie im folgenden Beispiel gezeigt.
-
Führen Sie die folgenden Befehle aus, um ein SSM-Dokument unter Verwendung Ihres Inhalts zu erstellen, der den Befehl definiert, den ein Benutzer in einer Session Manager-Sitzung ausführen kann.
Interaktive Befehlsparameter und die AWS CLI
Sie können interaktive Befehlsparameter bereitstellen, wenn Sie die AWS CLI verwenden. Abhängig vom Betriebssystem (OS) Ihrer Client-Maschine, die Sie verwenden, um eine Verbindung zu verwalteten Knoten mit der AWS CLI herzustellen, kann die Syntax, die Sie für Befehle mit Sonder- oder Escape-Zeichen angeben, unterschiedlich sein. Die folgenden Beispiele zeigen einige der verschiedenen Möglichkeiten, wie Sie Befehlsparameter bereitstellen können, wenn Sie die AWS CLI verwenden und wie Sie Sonder- oder Escape-Zeichen behandeln.
Parameter, die in Parameter Store gespeichert sind, können wie im folgenden Beispiel gezeigt in der AWS CLI referenziert werden.
Das folgende Beispiel zeigt, wie Sie mit der AWS CLI eine Kurzschriftsyntax verwenden, um Parameter zu übergeben.
Sie können auch optionale Parameter in JSON angeben, wie im folgenden Beispiel dargestellt.
Parameter können auch in einer JSON-Datei gespeichert und der AWS CLI wie im folgenden Beispiel gezeigt bereitgestellt werden. Weitere Informationen zur Verwendung von AWS CLI-Parametern aus einer Datei finden Sie unter Laden von AWS CLI-Parametern aus einer Datei im AWS Command Line Interface-Benutzerhandbuch.
{ "command": [ "
my command
" ] }
Sie können auch ein AWS CLI-Skeleton aus einer JSON-Eingabedatei erstellen, wie im folgenden Beispiel gezeigt. Weitere Informationen zum Generieren von AWS CLI-Skeletons aus JSON-Eingabedateien finden Sie unter Generieren der AWS CLI-Skeleton- und -Eingabeparameter aus einer JSON- oder YAML-Eingabedatei im AWS Command Line Interface-Benutzerhandbuch.
{ "Target": "
instance-id
", "DocumentName": "MyInteractiveCommandDocument
", "Parameters": { "command": [ "my command
" ] } }
Um Zeichen in Anführungszeichen zu maskieren, müssen Sie den Escapezeichen zusätzliche umgekehrte Schrägstriche hinzufügen, wie im folgenden Beispiel gezeigt.
Informationen zum Verwenden von Anführungszeichen bei Befehlsparametern in AWS CLI finden Sie unter Verwenden von Anführungszeichen mit Zeichenfolgen in der AWS CLI im AWS Command Line Interface-Benutzerhandbuch.
IAM-Richtlinienbeispiele für interaktive Befehle
Sie können IAM-Richtlinien erstellen, mit denen Benutzer nur auf die von Ihnen definierten Session
-Dokumente zugreifen können. Dadurch werden die Befehle, die ein Benutzer in einer Session Manager-Sitzung ausführen kann, nur auf die Befehle beschränkt, die in Ihren benutzerdefinierten SSM-Dokumenten vom Typ Session
definiert sind.
- Einem Benutzer erlauben, einen interaktiven Befehl auf einem einzelnen verwalteten Knoten auszuführen
-
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ssm:StartSession", "Resource":[ "arn:aws:ec2:
region
:987654321098
:instance/i-02573cafcfEXAMPLE
", "arn:aws:ssm:region
:987654321098
:document/exampleAllowedSessionDocument
" ] } ] } - Einem Benutzer erlauben, einen interaktiven Befehl auf allen verwalteten Knoten auszuführen
-
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ssm:StartSession", "Resource":[ "arn:aws:ec2:
us-west-2
:987654321098
:instance/*", "arn:aws:ssm:us-west-2
:987654321098
:document/exampleAllowedSessionDocument
" ] } ] } - Einem Benutzer erlauben, mehrere interaktive Befehle auf allen verwalteten Knoten auszuführen
-
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ssm:StartSession", "Resource":[ "arn:aws:ec2:
us-west-2
:987654321098
:instance/*", "arn:aws:ssm:us-west-2
:987654321098
:document/exampleAllowedSessionDocument
", "arn:aws:ssm:us-west-2
:987654321098
:document/exampleAllowedSessionDocument2
" ] } ] }