共有 SSM ドキュメントのベストプラクティス - AWS Systems Manager

共有 SSM ドキュメントのベストプラクティス

共有ドキュメントを共有したり使用したりする前に、次のガイドラインを確認してください。

機密情報を削除する

AWS Systems Manager (SSM) ドキュメントを慎重に確認して、機密情報があればそれを削除します。例えば、ドキュメントに AWS 認証情報が含まれていないことを確認します。特定のユーザーとドキュメントを共有する場合、そのユーザーはドキュメント内の情報を表示することができます。パブリックにドキュメントを共有する場合、誰でもドキュメント内の情報を表示することができます。

ドキュメントのパブリック共有をブロックする

ユースケースでパブリック共有を有効にする必要がある場合を除き、Systems Manager ドキュメントコンソールの [Preferences] (詳細設定) セクションで、Systems Manager ドキュメントのパブリック共有のブロックの設定をオンにすることをお勧めします。

ユーザー信頼ポリシーを使用して Run Command アクションを制限する

ドキュメントにアクセスできるユーザー用に、AWS Identity and Access Management (IAM) の制限付きユーザーポリシーを作成します。IAM ポリシーにより、ユーザーが Amazon Elastic Compute Cloud (Amazon EC2) コンソールで表示できるか、AWS Command Line Interface (AWS CLI) または AWS Tools for Windows PowerShell で ListDocuments を呼び出して表示できる SSM ドキュメントが決まります。このポリシーでは、SSM ドキュメントに対してユーザーが実行できるアクションも制限されます。制限付きポリシーを作成し、ユーザーが特定のドキュメントのみを表示するようにできます。詳細については、「Systems Manager の管理者以外の IAM ユーザーとグループを作成する」および「カスタマーマネージドポリシーの例」を参照してください。

共有 SSM ドキュメントを使用する際の注意事項

インスタンスで実行されるコマンドを理解するために、共有されている各ドキュメント (特にパブリックドキュメント) のコンテンツを確認します。ドキュメントは、実行後に意図的または非意図的に悪影響を及ぼすことがあります。ドキュメントが外部ネットワークを参照している場合、ドキュメントを使用する前に外部ソースを確認してください。

ドキュメントハッシュを使用してコマンドを送信する

ドキュメントを共有する場合、システムは Sha-256 ハッシュを作成し、それをドキュメントに割り当てます。また、システムはドキュメントコンテンツのスナップショットを保存します。共有ドキュメントを使用してコマンドを送信するときは、コマンドでハッシュを指定して、次の条件が確実に該当するようにできます。

  • 正しい Systems Manager ドキュメントからコマンドを実行している

  • ドキュメントが自分と共有されてからコンテンツが変更されていない

ハッシュが、指定されたドキュメントと一致しない場合、または共有ドキュメントのコンテンツが変更されている場合、コマンドは InvalidDocument 例外を返します。ハッシュは、外部の場所からドキュメントのコンテンツを確認することはできません。