Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione di Run Command
Prima di poter gestire i nodi utilizzando Run Command, una funzionalità di AWS Systems Manager, è necessario configurare una policy AWS Identity and Access Management (IAM) per qualsiasi utente che eseguirà comandi.
È necessario anche configurare i nodi per Systems Manager. Per ulteriori informazioni, consulta Configurazione AWS Systems Manager.
Si consiglia inoltre di completare le seguenti attività di configurazione facoltative per ridurre al minimo la posizione di sicurezza e la gestione quotidiana dei nodi gestiti.
- Monitorare le esecuzioni dei comandi usando Amazon EventBridge
-
Puoi utilizzare il comando EventBridge per registrare le modifiche dello stato di esecuzione del comando. Puoi scegliere di creare una regola che venga eseguita ogni volta che si verifica una transizione di stato o quando si verifica una transizione verso uno o più stati di interesse. Puoi anche specificare Run Command come azione target quando si verifica un evento EventBridge. Per ulteriori informazioni, consulta Configurazione degli eventi EventBridge per Systems Manager.
- Monitorare le esecuzioni dei comandi usando Amazon CloudWatch Logs
-
È possibile configurare Run Command per inviare periodicamente di tutti i registri di output dei comandi e degli errori a un gruppo di log Amazon CloudWatch. Puoi monitorare i log di output in tempo quasi reale, cercare locuzioni, valori o modelli specifici e creare allarmi in base alla ricerca. Per ulteriori informazioni, consulta Configurazione di Amazon CloudWatch Logs per Run Command.
- Restrict Run Command accesso a nodi gestiti specifici
-
È possibile limitare la capacità di un utente di eseguire comandi sui nodi gestiti utilizzando AWS Identity and Access Management (IAM). In particolare, è possibile creare una policy IAM con una condizione in base alla quale l'utente può eseguire i comandi solo sui nodi gestiti contrassegnati con tag specifici. Per ulteriori informazioni, consulta Limitazione dell'accesso Run Command in base ai tag.
Limitazione dell'accesso Run Command in base ai tag
Questa sezione descrive come limitare la capacità di un utente di eseguire comandi sui nodi gestiti specificando una condizione di tag in una policy IAM. I nodi gestiti includono istanze Amazon EC2 e nodi non EC2 in un ambiente ibrido e multicloud configurato per Systems Manager. Sebbene le informazioni non siano presentate in modo esplicito, è anche possibile limitare l'accesso a dispositivi core gestiti AWS IoT Greengrass. Per iniziare, devi tagging dei dispositivi AWS IoT Greengrass. Per ulteriori informazioni, consulta Applicazione di tag alle risorse di AWS IoT Greengrass Version 2 nella Guida per gli sviluppatori di AWS IoT Greengrass Version 2.
È possibile limitare l'esecuzione dei comandi a nodi gestiti specifici creando una policy IAM che include una condizione in base alla quale l'utente può eseguire i comandi solo sui nodi a cui sono applicati tag specifici. Nell'esempio seguente, l'utente è abilitato a utilizzare Run Command (Effect: Allow, Action: ssm:SendCommand) mediante un qualsiasi documento SSM (Resource: arn:aws:ssm:*:*:document/*) su qualsiasi nodo (Resource: arn:aws:ec2:*:*:instance/*) a condizione che il nodo sia un Finance WebServer (ssm:resourceTag/Finance: WebServer). Se l'utente invia un comando a un nodo privo di tag o con un tag diverso da Finance: WebServer, i risultati dell'esecuzione mostrano AccessDenied.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:*:*:document/*" ] }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ec2:*:*:instance/*" ], "Condition":{ "StringLike":{ "ssm:resourceTag/Finance":[ "WebServers" ] } } } ] }
È possibile creare policy IAM che permettono a un utente di eseguire comandi su nodi gestiti contrassegnati con più tag. La policy seguente consente all'utente di eseguire comandi su nodi gestiti che dispongono di due tag. Se l'utente invia un comando a un nodo non contrassegnato con questi due tag, i risultati dell'esecuzione mostrano AccessDenied.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1" ], "ssm:resourceTag/tag_key2":[ "tag_value2" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:us-west-1::document/AWS-*", "arn:aws:ssm:us-east-2::document/AWS-*" ] }, { "Effect":"Allow", "Action":[ "ssm:UpdateInstanceInformation", "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetDocument" ], "Resource":"*" } ] }
È anche possibile creare policy IAM che consentono a un utente di eseguire comandi su più gruppi di nodi gestiti con tag. La policy di esempio seguente consente all'utente di eseguire comandi su uno o su entrambi i gruppi di nodi con tag.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key2":[ "tag_value2" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:us-west-1::document/AWS-*", "arn:aws:ssm:us-east-2::document/AWS-*" ] }, { "Effect":"Allow", "Action":[ "ssm:UpdateInstanceInformation", "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetDocument" ], "Resource":"*" } ] }
Per ulteriori informazioni sulla creazione di policy IAM, consulta la pagina Policy gestite e policy inline nella Guida per l'utente di IAM. Per ulteriori informazioni sull'aggiunta di tag ai nodi gestiti, consulta Editor di tag nella AWS Resource GroupsGuida per l'utente di.
