Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyiapkan Run Command
Sebelum Anda dapat mengelola node dengan menggunakanRun Command, suatu kemampuanAWS Systems Manager, konfigurasikan kebijakanAWS Identity and Access Management (IAM) untuk setiap pengguna yang akan menjalankan perintah.
Anda juga harus mengkonfigurasi node Anda untuk Systems Manager. Untuk informasi selengkapnya, lihat Menyiapkan AWS Systems Manager.
Kami merekomendasikan untuk melengkapi tugas penyiapan opsional berikut untuk membantu meminimalkan postur keamanan danday-to-day pengelolaan Node terkelola Anda.
- Memantau eksekusi perintah menggunakan AmazonEventBridge
-
Anda dapat menggunakanEventBridge untuk membuat log perubahan status eksekusi perintah. Anda dapat membuat aturan yang berjalan setiap kali terjadi status transisi, atau saat ada transisi ke satu atau beberapa status yang penting. Anda juga dapat menentukanRun Command sebagai tindakan target ketika suatuEventBridge peristiwa terjadi. Untuk informasi selengkapnya, lihat EventBridge Pengonfigurasan peristiwa Systems Manager.
- Memantau eksekusi perintah menggunakan AmazonCloudWatch Logs
-
Anda dapat mengkonfigurasiRun Command untuk secara berkala mengirim semua output perintah dan log kesalahan ke grup AmazonCloudWatch. Anda dapat memantau log output ini secara hampir waktu nyata, mencari frasa, nilai, atau pola tertentu, dan membuat alarm berdasarkan pencarian. Untuk informasi selengkapnya, lihat Mengkonfigurasi CloudWatch Log Amazon untuk Run Command.
- MembatasiRun Command akses ke node terkelola tertentu
-
Anda dapat membatasi kemampuan pengguna untuk menjalankan perintah pada node yang dikelola dengan menggunakanAWS Identity and Access Management (IAM). Secara khusus, Anda dapat membuat kebijakan IAM dengan syarat bahwa pengguna hanya dapat menjalankan perintah pada node terkelola yang ditandai dengan tag tertentu. Untuk informasi selengkapnya, lihat MembatasiRun Command akses akses berdasarkan tag.
MembatasiRun Command akses akses berdasarkan tag
Bagian ini menjelaskan cara membatasi kemampuan pengguna untuk menjalankan perintah pada node yang dikelola dengan menentukan kondisi tag dalam kebijakan IAM. Node yang dikelola menyertakan instans Amazon EC2 dan node non-EC2 dalam lingkungan hybrid dan multicloud yang dikonfigurasi untuk Systems Manager. Meskipun informasi tersebut tidak disajikan secara eksplisit, Anda juga dapat membatasi akses ke perangkatAWS IoT Greengrass inti terkelola. Untuk memulai, Anda harus menandaiAWS IoT Greengrass perangkat Anda. Untuk informasi selengkapnya, lihat MenandaiAWS IoT Greengrass Version 2 sumber daya Anda di PanduanAWS IoT Greengrass Version 2 Developer.
Anda dapat membatasi eksekusi perintah ke node terkelola tertentu dengan membuat kebijakan IAM yang mencakup syarat bahwa pengguna hanya dapat menjalankan perintah pada node dengan tag tertentu. Pada contoh berikut, pengguna diperbolehkan untuk menggunakanRun Command (Effect: Allow, Action: ssm:SendCommand) dengan menggunakan dokumen SSM (Resource: arn:aws:ssm:*:*:document/*) pada setiap node (Resource: arn:aws:ec2:*:*:instance/*) dengan kondisi bahwa node adalah FinanceWebServer (ssm:resourceTag/Finance: WebServer). Jika pengguna mengirimkan perintah ke node yang tidak ditandai atau yang memiliki tag selainFinance: WebServer, hasil eksekusi menunjukkanAccessDenied.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:*:*:document/*" ] }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ec2:*:*:instance/*" ], "Condition":{ "StringLike":{ "ssm:resourceTag/Finance":[ "WebServers" ] } } } ] }
Anda dapat membuat kebijakan IAM yang mengizinkan pengguna untuk menjalankan perintah pada node terkelola yang ditandai beberapa tanda. Kebijakan berikut ini mengizinkan pengguna untuk menjalankan perintah pada node terkelola yang memiliki dua tag. Jika pengguna mengirimkan perintah ke node yang tidak ditandai dengan kedua tag tersebut, hasil eksekusi menunjukkanAccessDenied.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1" ], "ssm:resourceTag/tag_key2":[ "tag_value2" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:us-west-1::document/AWS-*", "arn:aws:ssm:us-east-2::document/AWS-*" ] }, { "Effect":"Allow", "Action":[ "ssm:UpdateInstanceInformation", "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetDocument" ], "Resource":"*" } ] }
Anda juga dapat membuat kebijakan IAM yang mengizinkan pengguna untuk menjalankan perintah pada beberapa grup Node terkelola yang ditandai. Kebijakan contoh berikut ini mengizinkan pengguna untuk menjalankan perintah pada salah satu grup yang ditandai, atau kedua grup.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key2":[ "tag_value2" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:us-west-1::document/AWS-*", "arn:aws:ssm:us-east-2::document/AWS-*" ] }, { "Effect":"Allow", "Action":[ "ssm:UpdateInstanceInformation", "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetDocument" ], "Resource":"*" } ] }
Untuk informasi selengkapnya tentang membuat kebijakan IAM, lihat Kebijakan Terkelola dan kebijakan inline dalam Panduan Pengguna IAM. Untuk informasi selengkapnya tentang menandai node yang dikelola, lihat Editor Tag di PanduanAWS Resource Groups Pengguna.
