Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Condivisione di documenti SSM
Puoi condividere documenti AWS Systems Manager (SSM) privatamente o pubblicamente con account nello stesso. Regione AWS Per condividere privatamente un documento, si modificano le autorizzazioni del documento e si consente a determinati individui di accedervi in base al proprio ID di Account AWS . Per condividere pubblicamente un documento SSM, si modificano le autorizzazioni del documento e si specifica All
. I documenti non possono essere condivisi contemporaneamente in modalità pubblica e privata.
avvertimento
Utilizzare documenti SSM condivisi solo se provengono da fonti attendibili. Quando utilizzi un documento condiviso, verificane attentamente i contenuti prima di utilizzarlo per comprendere come modificherà la configurazione dell'istanza. Per ulteriori informazioni sulle best practice per i documenti condivisi, consulta Best practice per documenti SSM condivisi.
Limitazioni
Quando si iniziano a utilizzare documenti SSM, tenere presente le seguenti restrizioni.
-
Soltanto il proprietario può condividere un documento.
-
Devi interrompere la condivisione di un documento prima di poterlo eliminare. Per ulteriori informazioni, consulta Modifica delle autorizzazioni per un documento condiviso.
-
Puoi condividere un documento con un massimo di 1000. Account AWSÈ possibile richiedere un aumento di questo limite nel AWS Support Center
. Per Limit type (Tipo di limite), scegliere EC2 Systems Manager e descrivere il motivo della richiesta. -
È possibile condividere pubblicamente un massimo di cinque documenti SSM. È possibile richiedere un aumento di questo limite nel AWS Support Center
. Per Limit type (Tipo di limite), scegliere EC2 Systems Manager e descrivere il motivo della richiesta. -
I documenti possono essere condivisi con altri account Regione AWS solo nello stesso account. La condivisione tra regioni non è supportata.
Per ulteriori informazioni sulle quote di servizio di Systems Manager, consultare AWS Systems Manager Service Quotas (Quote di servizio di ).
Indice
Best practice per documenti SSM condivisi
Consulta le seguenti linee guida prima di condividere o utilizzare un documento condiviso.
- Rimuovi le informazioni sensibili
-
Esamina attentamente il tuo documento AWS Systems Manager (SSM) e rimuovi tutte le informazioni sensibili. Ad esempio, verifica che il documento non includa AWS le tue credenziali. Se condividi un documento con utenti specifici, questi possono visualizzare le informazioni contenute nel documento. Se condividi un documento pubblicamente, tutti possono visualizzare le informazioni contenute nel documento.
- Bloccare la condivisione pubblica per i documenti
-
A meno che il caso d'uso non richieda l'attivazione della condivisione pubblica, si consiglia di attivare l'impostazione Blocca condivisione pubblica per i documenti di Systems Manager nella sezione Preferences (Preferenze) della console Documenti di Systems Manager.
- Limitazione delle operazioni Run Command utilizzando una policy di attendibilità IAM
-
Crea una politica restrittiva AWS Identity and Access Management (IAM) per gli utenti che avranno accesso al documento. La policy IAM determina quali documenti SSM un utente può vedere nella console Amazon Elastic Compute Cloud (Amazon EC2) o
ListDocuments
chiamando utilizzando () o. AWS Command Line Interface AWS CLI AWS Tools for Windows PowerShell La policy limita inoltre le operazioni che l'utente può eseguire con i documenti SSM. Puoi creare una policy restrittiva in modo che un utente possa utilizzare solo documenti specifici. Per ulteriori informazioni, consulta Esempi di policy gestite dal cliente. - Fare attenzione quando si utilizzano documenti SSM condivisi
-
È importante verificare i contenuti di ogni documento condiviso, soprattutto nel caso di documenti pubblici, per comprendere i comandi che verranno eseguiti sulle istanze. L'esecuzione di un documento potrebbe avere ripercussioni negative, anche in modo non intenzionale. Se il documento fa riferimento a una rete esterna, verifica quest'ultima prima di utilizzare il documento.
- Invia comandi utilizzando l'hash del documento
-
Quando condividi un documento, il sistema crea un hash Sha-256 e lo assegna al documento. Il sistema salva inoltre uno snapshot del contenuto del documento. Quando invii un comando utilizzando un documento condiviso, puoi specificare l'hash nel comando per garantire che si verifichino le seguenti condizioni:
-
Si sta eseguendo un comando dal documento di Systems Manager corretto
-
Il contenuto del documento non è stato modificato da quando è stato condiviso con l'utente.
Se l'hash non corrisponde al documento specificato o se il contenuto del documento condiviso è stato modificato, il comando restituisce un'eccezione
InvalidDocument
(Documento non valido). L'hash non è in grado di verificare il contenuto di un documento da percorsi esterni. -
Bloccare la condivisione pubblica per i documenti SSM
A meno che il tuo caso d'uso non richieda l'attivazione della condivisione pubblica, ti consigliamo di attivare l'impostazione di blocco della condivisione pubblica per i tuoi documenti AWS Systems Manager (SSM). L'attivazione di questa impostazione impedisce l'accesso indesiderato ai documenti SSM. L'impostazione di blocco della condivisione pubblica è un'impostazione a livello di account che può differire per ciascuno Regione AWS. Completare le seguenti attività per bloccare la condivisione pubblica dei documenti SSM.
Blocca condivisione pubblica (console)
Bloccare la condivisione pubblica dei documenti SSM
Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/
. Nel riquadro di navigazione, scegli Documenti.
-
SceglierePreferences (Preferenze), quindi scegliere Edit (Modifica) nella sezione Block public sharing (Blocca condivisione pubblica).
-
Selezionare la casella Block public sharing (Blocca condivisione pubblica) quindi scegliere Save (Salva).
Blocca condivisione pubblica (riga di comando)
Apri AWS Command Line Interface (AWS CLI) o AWS Tools for Windows PowerShell sul tuo computer locale ed esegui il seguente comando per bloccare la condivisione pubblica dei tuoi documenti SSM.
Confermare che il valore dell'impostazione sia stato aggiornato utilizzando il seguente comando.
Limitazione dell'accesso per bloccare la condivisione pubblica con IAM
Puoi creare policy AWS Identity and Access Management (IAM) che impediscano agli utenti di modificare l'impostazione di condivisione pubblica a blocchi. Ciò impedisce agli utenti di consentire l'accesso indesiderato ai documenti SSM.
Di seguito è riportato un esempio di policy IAM che impedisce agli utenti di aggiornare l'impostazione di blocco della condivisione pubblica. Per utilizzare questo esempio, è necessario sostituire l'ID dell'account Amazon Web Services di esempio con il proprio ID dell'account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:UpdateServiceSetting", "Resource": "arn:aws:ssm:*:
987654321098
:servicesetting/ssm/documents/console/public-sharing-permission" } ] }
Condividere un documento SSM
È possibile condividere documenti AWS Systems Manager (SSM) utilizzando la console Systems Manager. Quando si condividono documenti dalla console, è possibile condividere solo la versione predefinita del documento. È inoltre possibile condividere documenti SSM a livello di codice chiamando l'operazione ModifyDocumentPermission
API utilizzando AWS Command Line Interface
(AWS CLI) o l'SDK AWS Tools for Windows PowerShell. AWS Prima di condividere un documento, procurarsi gli ID degli Account AWS degli utenti con cui si desidera effettuare la condivisione. Puoi specificare questi ID account quando condividi il documento.
Condivisione di un documento (console)
Apri la console all'indirizzo https://console.aws.amazon.com/systems-manager/ AWS Systems Manager .
Nel riquadro di navigazione, scegli Documenti.
-
Nell'elenco dei documenti, scegliere il documento che si desidera condividere, quindi selezionare View details (Visualizza dettagli). Nella scheda Permissions (Autorizzazioni), verificare di essere il proprietario del documento. Soltanto il proprietario di un documento può condividerlo.
-
Scegli Modifica.
-
Per condividere il comando pubblicamente, scegliere Public (Pubblico), quindi selezionare Save (Salva). Per condividere il comando privatamente, scegliere Private (Privato), inserire l'ID dell' Account AWS , selezionare Add permission (Aggiungi autorizzazione) e scegliere Save (Salva).
Condivisione di un documento (riga di comando)
La procedura seguente richiede che venga specificata una Regione AWS per la sessione della riga di comando.
-
Apri AWS CLI o AWS Tools for Windows PowerShell sul tuo computer locale ed esegui il comando seguente per specificare le tue credenziali.
Nel comando seguente, sostituisci
region
con le tue informazioni. Per un elenco dei valoriregione
supportati, consulta la colonna Regione in Endpoint del servizio Systems Manager nella Riferimenti generali di Amazon Web Services. -
Utilizzare il comando seguente per elencare tutti i documenti SSM disponibili per l'utente. L'elenco include i documenti creati e i documenti condivisi.
-
Utilizzare il comando seguente per ottenere un documento specifico.
-
Utilizzare il comando seguente per ottenere una descrizione del documento.
-
Utilizzare il comando seguente per visualizzare le autorizzazioni per il documento.
-
Utilizzare il comando seguente per modificare le autorizzazioni per il documento e condividerlo. È necessario essere il proprietario del documento per modificare le autorizzazioni. Facoltativamente, puoi specificare una versione del documento che desideri condividere utilizzando il parametro
--shared-document-version
. Se non specifichi una versione, il sistema condivide la versioneDefault
del documento. Questo comando di esempio consente di condividere privatamente il documento con un determinato utente, in base all'ID dell' Account AWS di quella persona. -
Utilizzare il comando seguente per condividere un documento pubblicamente.
Modifica delle autorizzazioni per un documento condiviso
Se condividi un comando, gli utenti possono visualizzare e utilizzare quel comando fino a quando non rimuovi l'accesso al documento AWS Systems Manager (SSM) o elimini il documento SSM. Tuttavia, non è possibile eliminare un documento finché è condiviso. Devi interrompere la condivisione prima di poterlo eliminare.
Interruzione della condivisione di un documento (console)
Interrompere la condivisione di un documento
Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.
Nel riquadro di navigazione, scegli Documenti.
-
Nell'elenco dei documenti, scegli il documento che desideri interrompere la condivisione, quindi scegli Dettagli. Nella sezione Autorizzazioni, verifica di essere il proprietario del documento. Soltanto il proprietario del documento può interromperne la condivisione.
-
Scegli Modifica.
-
Scegli X per eliminare l' Account AWS ID che non dovrebbe più avere accesso al comando, quindi scegli Salva.
Interruzione della condivisione di un documento (riga di comando)
Apri AWS CLI o AWS Tools for Windows PowerShell sul tuo computer locale ed esegui il comando seguente per interrompere la condivisione di un comando.
Utilizzo di documenti SSM condivisi
Quando condividi un documento AWS Systems Manager (SSM), il sistema genera un Amazon Resource Name (ARN) e lo assegna al comando. Se si seleziona e si esegue un documento condiviso dalla console di Systems Manager, non si visualizza l'ARN. Tuttavia, se si desidera eseguire un documento SSM condiviso utilizzando un metodo diverso dalla console di Systems Manager, è necessario specificare l'ARN completo del documento per il parametro di richiesta DocumentName
. L'ARN completo per un documento SSM viene mostrato quando si esegue il comando per elencare i documenti.
Nota
Non è necessario specificare gli ARN per i documenti AWS pubblici (documenti che iniziano conAWS-*
) o per i documenti di tua proprietà.
Utilizzare un documento SSM condiviso (riga di comando)
Per elencare tutti i documenti SSM pubblici
Per elencare i documenti SSM privati che sono stati condivisi con l'utente
Per elencare tutti i documenti SSM disponibili per l'utente
Per ottenere informazioni su un documento SSM che è stato condiviso con l'utente
Per eseguire un documento SSM condiviso