Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Partage de documents SSM
Vous pouvez partager AWS Systems Manager (SSM) des documents en privé ou en public avec les comptes correspondants. Région AWS Pour partager un document de façon privée, modifiez les autorisations du document et autorisez des personnes spécifiques à y accéder en fonction de leur ID Compte AWS . Pour partager un document SSM publiquement, modifiez les autorisations du document et spécifiez All
. Les documents ne peuvent pas être partagés simultanément publiquement et en privé.
Avertissement
N'utilisez que des documents SSM partagés provenant de sources fiables. Lorsque vous utilisez un document partagé, étudiez soigneusement son contenu avant de l'utiliser afin de comprendre comment il va modifier la configuration de votre instance. Pour plus d'informations sur les bonnes pratiques en matière de documents partagés, consultez Bonnes pratiques pour les documents SSM partagés.
Limites
Lorsque vous commencez à utiliser les documents SSM, vous devez connaître les limitations suivantes.
-
Seul le propriétaire peut partager un document.
-
Vous devez arrêter le partage d'un document pour pouvoir le supprimer. Pour plus d’informations, consultez Modification des autorisations d'un document SSM partagé.
-
Vous pouvez partager un document avec un maximum de 1 000 Comptes AWS. Vous pouvez demander que cette limite soit augmentée dans le Centre AWS Support
. Pour Limit type (Type de limite), sélectionnez EC2 Systems Manager et décrivez le motif de votre demande. -
Vous pouvez partager publiquement cinq documents SSM au maximum. Vous pouvez demander que cette limite soit augmentée dans le Centre AWS Support
. Pour Limit type (Type de limite), sélectionnez EC2 Systems Manager et décrivez le motif de votre demande. -
Les documents ne peuvent être partagés avec d'autres comptes Région AWS que dans le même compte. Le partage inter-régions n'est pas pris en charge.
Pour plus d'informations sur les quotas de service Systems Manager, consultez Service Quotas AWS Systems Manager.
Table des matières
Bonnes pratiques pour les documents SSM partagés
Passez en revue les consignes suivantes avant de partager un document ou d'utiliser un document partagé.
- Supprimer les informations sensibles
-
Vérifiez attentivement votre document AWS Systems Manager (SSM) et supprimez toutes les informations sensibles. Par exemple, vérifiez que le document ne contient pas vos AWS informations d'identification. Si vous partagez un document avec des personnes spécifiques, ces personnes peuvent voir les informations contenues dans le document. Si vous partagez un document publiquement, tout le monde peut voir les informations contenues dans le document.
- Bloquer le partage public de documents
-
À moins que votre cas d'utilisation exige que le partage public soit autorisé, nous vous recommandons d'activer le paramètre de blocage du partage public pour vos documents SSM dans la section Preferences (Préférences) de la console Systems Manager Documents.
- Limiter les actions Run Command à l'aide d'une politique d'approbation IAM
-
Créez une politique restrictive AWS Identity and Access Management (IAM) pour les utilisateurs qui auront accès au document. La politique IAM détermine les documents SSM qu'un utilisateur peut voir dans la console Amazon Elastic Compute Cloud (Amazon EC2) ou en
ListDocuments
appelant à l'aide du () ou. AWS Command Line Interface AWS CLI AWS Tools for Windows PowerShell La politique limite également les actions que l'utilisateur peut effectuer avec un document SSM. Vous pouvez créer une politique restrictive pour qu'un utilisateur ne puisse utiliser que des documents spécifiques. Pour plus d’informations, consultez Exemples de politiques gérées par le client. - Faites preuve de prudence lors de l'utilisation de documents SSM partagés
-
Étudiez le contenu de chaque document partagé avec vous, notamment des documents publics, afin de comprendre les commandes qui seront exécutées sur vos instances. Un document pourrait avoir, volontairement ou non, des répercussions négatives après son exécution. Si le document fait référence à un réseau externe, étudiez la source externe avant d'utiliser ce document.
- Envoyer les commandes en utilisant le hachage de document
-
Lorsque vous partagez un document, le système crée un hachage Sha-256 et l'affecte au document. Le système enregistre également un instantané du contenu du document. Lorsque vous envoyez une commande à l'aide d'un document partagé, vous pouvez spécifier le hachage dans votre commande afin de garantir le respect des conditions suivantes :
-
Vous exécutez la commande à partir du document Systems Manager approprié
-
Le contenu du document n'a pas changé depuis qu'il a été partagé avec vous.
Si le hachage ne correspond pas au document spécifié ou si le contenu du document partagé a changé, la commande renvoie une exception
InvalidDocument
. Le hachage ne peut pas vérifier le contenu du document à partir d'emplacements externes. -
Bloquer le partage public de documents SSM
À moins que votre cas d'utilisation ne nécessite l'activation du partage public, nous vous recommandons d'activer le paramètre de blocage du partage public pour vos documents AWS Systems Manager (SSM). L'activation de ce paramètre empêche l'accès non souhaité à vos documents SSM. Le paramètre de blocage du partage public est un paramètre au niveau du compte qui peut varier d'un compte à l'autre Région AWS. Exécutez les tâches suivantes pour bloquer le partage public de vos documents SSM.
Bloquer le partage public (console)
Pour bloquer le partage public de vos documents SSM
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, cliquez sur Documents.
-ou-
Si la page d' AWS Systems Manager accueil s'ouvre en premier, choisissez l'icône de menu ( ) pour ouvrir le volet de navigation, puis choisissez Documents dans le volet de navigation.
-
Sélectionnez Preferences (Préférences), puis Edit (Modifier) dans la section Block public sharing (Bloquer le partage public).
-
Cochez la case Block public sharing (Bloquer le partage public), puis sélectionnez Save (Enregistrer).
Bloquer le partage public (ligne de commande)
Ouvrez le AWS Command Line Interface (AWS CLI) ou AWS Tools for Windows PowerShell sur votre ordinateur local et exécutez la commande suivante pour bloquer le partage public de vos documents SSM.
Confirmez que la valeur du paramètre a été mise à jour en utilisant la commande suivante.
Restreindre l'accès pour bloquer le partage public avec IAM
Vous pouvez créer des politiques AWS Identity and Access Management (IAM) qui empêchent les utilisateurs de modifier le paramètre de blocage du partage public. Cela empêche les utilisateurs d'autoriser l'accès non souhaité à vos documents SSM.
Voici un exemple de politique IAM qui empêche les utilisateurs de mettre à jour le paramètre de blocage du partage public. Pour utiliser cet exemple, vous devez remplacer l'exemple d'ID de compte Amazon Web Services par votre propre ID de compte.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:UpdateServiceSetting", "Resource": "arn:aws:ssm:*:
987654321098
:servicesetting/ssm/documents/console/public-sharing-permission" } ] }
Partager un document SSM
Vous pouvez partager des documents AWS Systems Manager (SSM) à l'aide de la console Systems Manager. Lors du partage de documents depuis la console, seule la version par défaut du document peut être partagée. Vous pouvez également partager des documents SSM par programmation en appelant l'opération d'ModifyDocumentPermission
API à l'aide du AWS Command Line Interface
(AWS CLI) ou du AWS Tools for Windows PowerShell SDK. AWS Avant de partager un document, obtenez les ID de Compte AWS des personnes avec lesquelles vous voulez le partager. Vous devez spécifier ces ID de compte lorsque vous partagez le document.
Partager un document (console)
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, cliquez sur Documents.
-ou-
Si la page d' AWS Systems Manager accueil s'ouvre en premier, choisissez l'icône de menu ( ) pour ouvrir le volet de navigation, puis choisissez Documents dans le volet de navigation.
-
Dans la liste des documents, sélectionnez le document que vous souhaitez partager, puis sélectionnez Afficher les détails. Sur l'onglet Permissions (Autorisations), vérifiez que vous êtes le propriétaire du document. Seul le propriétaire d'un document peut le partager.
-
Sélectionnez Edit (Modifier).
-
Pour partager la commande publiquement, sélectionnez Public, puis Save. Pour partager la commande de façon privée, sélectionnez Private (Privé), saisissez l'ID de compte Compte AWS , puis sélectionnez Add permission (Ajouter une autorisation et Save (Enregistrer).
Partager un document (ligne de commande)
La procédure suivante nécessite que vous spécifiiez un Région AWS pour votre session de ligne de commande.
-
Ouvrez le AWS CLI ou AWS Tools for Windows PowerShell sur votre ordinateur local et exécutez la commande suivante pour spécifier vos informations d'identification.
Dans la commande ci-après, remplacez
region
(région) par vos propres informations. Pour obtenir une liste des valeursregion
prises en charge, consultez la colonne Région dans la rubrique Points de terminaison de service Systems Manager de la Référence générale d'Amazon Web Services. -
Utilisez la commande suivante pour répertorier tous les documents SSM qui sont disponibles. La liste inclut les documents que vous avez créés et ceux qui ont été partagés avec vous.
-
Utilisez la commande suivante pour obtenir un document spécifique.
-
Utilisez la commande suivante pour obtenir la description du document.
-
Utilisez la commande suivante pour afficher les autorisations définies pour le document.
-
Utilisez la commande suivante pour modifier les autorisations définies pour le document et partager celui-ci. Vous devez être le propriétaire du document pour modifier les autorisations. Vous pouvez éventuellement spécifier la version du document que vous souhaitez partager à l'aide du paramètre
--shared-document-version
. Si vous ne spécifiez pas de version, le système partage la versionDefault
du document. Cet exemple de commande partage le document de façon privée avec la personne spécifiée, en fonction de son ID d' Compte AWS . -
Utilisez la commande suivante pour partager un document publiquement.
Modification des autorisations d'un document SSM partagé
Si vous partagez une commande, les utilisateurs peuvent afficher et utiliser cette commande jusqu'à ce que vous supprimiez l'accès au document AWS Systems Manager (SSM) ou que vous supprimiez le document SSM. Cependant, vous ne pouvez pas supprimer un document tant qu'il est partagé. Vous devez d'abord arrêter le partage, puis supprimer le document.
Arrêt du partage d'un document (console)
Arrêt du partage d'un document
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. Dans le panneau de navigation, cliquez sur Documents.
-ou-
Si la page d' AWS Systems Manager accueil s'ouvre en premier, choisissez l'icône de menu ( ) pour ouvrir le volet de navigation, puis choisissez Documents dans le volet de navigation.
-
Dans la liste des documents, choisissez le document que vous souhaitez arrêter de partager, puis sélectionnez Détails. Dans la section Autorisations, vérifiez que vous êtes le propriétaire du document. Seul le propriétaire d'un document peut arrêter le partage de celui-ci.
-
Sélectionnez Edit (Modifier).
-
Choisissez X pour supprimer l' Compte AWS identifiant qui ne devrait plus avoir accès à la commande, puis cliquez sur Enregistrer.
Arrêter le partage d'un document (ligne de commande)
Ouvrez le AWS CLI ou AWS Tools for Windows PowerShell sur votre ordinateur local et exécutez la commande suivante pour arrêter de partager une commande.
Utilisation de documents SSM partagés
Lorsque vous partagez un document AWS Systems Manager (SSM), le système génère un Amazon Resource Name (ARN) et l'attribue à la commande. Si vous sélectionnez et exécutez un document partagé à partir de la console Systems Manager, vous ne voyez pas l'ARN. Toutefois, si vous voulez exécuter un document SSM partagé à l'aide d'une méthode autre que la console Systems Manager, vous devez spécifier l'ARN complet du document pour le DocumentName
paramètre de la requête. L'ARN complet d'un document SSM s'affiche lorsque vous exécutez la commande permettant de répertorier les documents.
Note
Vous n'êtes pas obligé de spécifier des ARN pour les documents AWS publics (documents commençant parAWS-*
) ou les documents dont vous êtes le propriétaire.
Utiliser un document SSM partagé (ligne de commande)
Pour répertorier tous les documents SSM publics
Pour répertorier les documents SSM privés qui ont été partagés avec vous
Pour répertorier tous les documents SSM disponibles
Pour obtenir des informations sur un document SSM qui a été partagé avec vous
Pour exécuter un document SSM partagé