Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso compartido de documentos de SSM
Puede compartir documentos AWS Systems Manager (SSM) de forma privada o pública con las cuentas del mismo Región de AWS. Para compartir un documento de forma privada, modifique los permisos del documento y permita que personas específicas obtengan acceso a él conforme a sus ID de Cuenta de AWS . Para compartir un documento de SSM de forma pública, modifique los permisos del documento y especifique All
. Los documentos no se pueden compartir simultáneamente de forma pública y privada.
aviso
Utilice solo documentos de SSM compartidos procedentes de fuentes de confianza. Cuando utilice cualquier documento compartido, analice detenidamente el contenido del documento antes de utilizarlo para poder comprender la forma en que este cambiará la configuración de la instancia. Para obtener más información sobre las prácticas recomendadas para documentos compartidos, consulte Prácticas recomendadas para documentos de SSM compartidos.
Limitaciones
Cuando empiece a trabajar con documentos de SSM, debe tener en cuenta las siguientes limitaciones.
-
Solo el propietario puede compartir un documento.
-
Debe dejar de compartir un documento para poder eliminarlo. Para obtener más información, consulte Modificar los permisos para un documento de SSM compartido.
-
Puedes compartir un documento con un máximo de 1000 Cuentas de AWS. Puede solicitar un aumento de este límite en el Centro de AWS Support
. En Tipo de límite, elija EC2 Systems Manager y describa el motivo de la solicitud. -
Puede compartir públicamente un máximo de cinco documentos de SSM. Puede solicitar un aumento de este límite en el Centro de AWS Support
. En Tipo de límite, elija EC2 Systems Manager y describa el motivo de la solicitud. -
Los documentos Región de AWS solo se pueden compartir con otras cuentas en la misma cuenta. No se admite el uso compartido entre regiones.
Para obtener más información acerca de las Service Quotas de Systems Manager, consulte Service Quotas de AWS Systems Manager.
Contenido
Prácticas recomendadas para documentos de SSM compartidos
Revise las siguientes directrices antes de compartir o utilizar un documento compartido.
- Eliminar información confidencial
-
Revisa tu documento AWS Systems Manager (SSM) detenidamente y elimina cualquier información confidencial. Por ejemplo, comprueba que el documento no incluya tus AWS credenciales. Si comparte un documento con personas específicas, esos usuarios podrán ver la información del documento. Si comparte un documento públicamente, cualquiera podrá ver la información del documento.
- Bloquear el uso compartido público de documentos
-
A menos que su caso de uso requiera que active el uso compartido público, le recomendamos que active la configuración de bloqueo de uso compartido público para sus documentos de Systems Manager en la sección Preferencias en la consola de documentos de Systems Manager.
- Restringir las acciones de Run Command mediante una política de confianza de IAM
-
Cree una política restrictiva AWS Identity and Access Management (IAM) para los usuarios que tendrán acceso al documento. La política de IAM determina qué documentos SSM puede ver un usuario en la consola de Amazon Elastic Compute Cloud (Amazon EC2) o
ListDocuments
llamando mediante () o. AWS Command Line Interface AWS CLI AWS Tools for Windows PowerShell La política también restringe las acciones que puede realizar el usuario con el documento de SSM. Puede crear una política restrictiva, de modo que el usuario solo pueda utilizar documentos específicos. Para obtener más información, consulte Ejemplos de políticas administradas por el cliente. - Actuar con precaución a la hora de utilizar documentos de SSM compartidos
-
Revise el contenido de cada documento compartido, en particular los documentos públicos, para comprender los comandos que se ejecutarán en sus instancias. Un documento podría tener repercusiones negativas después de haberlo ejecutado, ya sea de forma intencionada o no. Si el documento hace referencia a una red externa, revise la fuente externa antes de utilizar el documento.
- Enviar comandos mediante el hash del documento
-
Al compartir un documento, el sistema crea el hash Sha-256 y lo asigna al documento. El sistema también guarda una instantánea del contenido del documento. Al enviar un comando utilizando un documento compartido, puede especificar el hash en el comando para asegurarse de que las siguientes condiciones sean verdaderas:
-
Está ejecutando un comando desde el documento de Systems Manager correcto
-
El contenido del documento no ha cambiado desde que se compartió con usted.
Si el hash no coincide con el documento especificado o si el contenido del documento compartido ha cambiado, el comando devuelve la excepción
InvalidDocument
. El hash no puede verificar el contenido de documentos de ubicaciones externas. -
Bloquear el uso compartido público de documentos de SSM
A menos que su caso de uso requiera que esté activada la compartición pública, le recomendamos activar la configuración de bloquear la compartición pública de sus documentos AWS Systems Manager (SSM). Si se activa esta configuración, se evita el acceso no deseado a los documentos de SSM. La configuración de bloquear el uso compartido en público es una configuración a nivel de cuenta que puede ser diferente para cada Región de AWS una de ellas. Complete las siguientes tareas para bloquear el uso compartido público de sus documentos de SSM.
Bloquear el uso compartido público (consola)
Para bloquear el uso compartido público de sus documentos de SSM
Abre la AWS Systems Manager consola en https://console.aws.amazon.com/systems-manager/
. En el panel de navegación, elija Documentos.
-o bien-
Si la página de AWS Systems Manager inicio se abre primero, seleccione el icono de menú ( ) para abrir el panel de navegación y, a continuación, elija Documentos en el panel de navegación.
-
Elija Preferencias, luego elija Edit (Editar) en la sección Bloquear el uso compartido público.
-
Seleccione la casilla de verificación Bloquear el uso compartido público y, a continuación, elija Guardar.
Bloquear el uso compartido público (línea de comandos)
Abre el AWS Command Line Interface (AWS CLI) o AWS Tools for Windows PowerShell en tu ordenador local y ejecuta el siguiente comando para impedir que se compartan públicamente tus documentos SSM.
Confirme que el valor de configuración se ha actualizado mediante el siguiente comando.
Restringir el acceso para bloquear el uso compartido público con IAM
Puede crear políticas AWS Identity and Access Management (IAM) que impidan a los usuarios modificar la configuración de bloquear el uso compartido público. Esto evita que los usuarios permitan el acceso no deseado a los documentos de SSM.
A continuación, se muestra un ejemplo de una política de IAM que impide que los usuarios actualicen la configuración de bloqueo de uso compartido público. Para utilizar este ejemplo, debe reemplazar el ejemplo ID de cuenta de Amazon Web Services por su propio ID de cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:UpdateServiceSetting", "Resource": "arn:aws:ssm:*:
987654321098
:servicesetting/ssm/documents/console/public-sharing-permission" } ] }
Compartir un documento de SSM
Puede compartir documentos AWS Systems Manager (SSM) mediante la consola de Systems Manager. Cuando se comparten documentos desde la consola, solo se puede compartir la versión predeterminada del documento. También puede compartir documentos SSM mediante programación llamando a la operación de la ModifyDocumentPermission
API mediante AWS Command Line Interface
(AWS CLI) o el SDK AWS Tools for Windows PowerShell. AWS Antes de compartir un documento, obtenga los ID de Cuenta de AWS de las personas con las que desea compartir. Especificará esos ID de cuentas cuando comparta el documento.
Compartir un documento (consola)
Abre la AWS Systems Manager consola en https://console.aws.amazon.com/systems-manager/.
En el panel de navegación, elija Documentos.
-o bien-
Si la página de AWS Systems Manager inicio se abre primero, seleccione el icono de menú ( ) para abrir el panel de navegación y, a continuación, elija Documentos en el panel de navegación.
-
En la lista de documentos, elija el documento que desea compartir y, a continuación, elija Ver detalles. En la pestaña Permisos, verifique que es usted el propietario del documento. Solo el propietario del documento puede compartirlo.
-
Elija Editar.
-
Para compartir el comando públicamente, seleccione Public y, a continuación, Guardar. Para compartir el comando de forma privada, elija Privado, ingrese el ID de Cuenta de AWS , elija Añadir permiso y, a continuación, elija Guardar.
Compartir un documento (línea de comandos)
El siguiente procedimiento requiere que especifique una Región de AWS para la sesión de línea de comandos.
-
Abra la AWS CLI o AWS Tools for Windows PowerShell en su equipo local y ejecute el siguiente comando para especificar sus credenciales.
En el siguiente comando, reemplace
region
con su propia información. Para ver una lista de los valores deregiones
admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services. -
Utilice el siguiente comando para enumerar todos los documentos de SSM que tiene disponibles. La lista incluye documentos que ha creado y documentos que han sido compartidos con usted.
-
Utilice el siguiente comando para obtener un documento específico.
-
Utilice el siguiente comando para obtener una descripción del documento.
-
Utilice el siguiente comando para ver los permisos para el documento.
-
Utilice el siguiente comando para modificar los permisos para el documento y compartirlo. Debe ser el propietario del documento para editar los permisos. Si lo desea, puede especificar la versión del documento que desea compartir con el parámetro
--shared-document-version
. Si no especifica una versión, el sistema comparte la versiónDefault
del documento. Este comando de ejemplo comparte el documento de forma privada con una persona específica en función de su ID de Cuenta de AWS . -
Utilice el siguiente comando para compartir un documento públicamente.
Modificar los permisos para un documento de SSM compartido
Si compartes un comando, los usuarios pueden verlo y usarlo hasta que elimines el acceso al documento AWS Systems Manager (SSM) o elimines el documento SSM. Sin embargo, no puede eliminar un documento mientras esté compartido. Primero debe dejar de compartirlo y, a continuación, eliminarlo.
Detener el uso compartido de un documento (consola)
Detener el uso compartido de un documento
Abra la AWS Systems Manager consola en https://console.aws.amazon.com/systems-manager/.
En el panel de navegación, elija Documentos.
-o bien-
Si la página de AWS Systems Manager inicio se abre primero, seleccione el icono de menú ( ) para abrir el panel de navegación y, a continuación, elija Documentos en el panel de navegación.
-
En la lista de documentos, elija el documento que desee dejar de compartir y, a continuación, seleccione Detalles. En la sección Permisos, comprueba que eres el propietario del documento. Solo el propietario del documento puede dejar de compartirlo.
-
Elija Editar.
-
Selecciona X para eliminar el Cuenta de AWS identificador que ya no debería tener acceso al comando y, a continuación, selecciona Guardar.
Dejar de compartir un documento (línea de comandos)
Abre AWS CLI o AWS Tools for Windows PowerShell en tu equipo local y ejecuta el siguiente comando para dejar de compartir un comando.
Uso de documentos de SSM compartidos
Al compartir un documento AWS Systems Manager (SSM), el sistema genera un nombre de recurso de Amazon (ARN) y lo asigna al comando. Si selecciona y ejecuta un documento compartido desde la consola de Systems Manager, no verá el ARN. Sin embargo, si desea ejecutar un documento de SSM compartido utilizando un método distinto de la consola de Systems Manager, debe especificar el ARN completo del documento para el parámetro de solicitud de DocumentName
. Cuando ejecuta el comando para enumerar los documentos verá el ARN completo de un documento de SSM.
nota
No es necesario que especifique los ARN de los documentos AWS públicos (documentos que comienzan por élAWS-*
) o de los documentos de su propiedad.
Uso de un documento de SSM compartido (línea de comandos)
Para enumerar todos los documentos de SSM públicos
Para enumerar los documentos de SSM privados que se han compartido con usted
Para enumerar todos los documentos de SSM que tiene disponibles
Para obtener información acerca de un documento de SSM que se ha compartido con usted
Para ejecutar un documento de SSM compartido