授與或拒絕使用者許可來更新Session Manager偏好設定 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授與或拒絕使用者許可來更新Session Manager偏好設定

替每個 AWS 區域 的帳戶偏好設定儲存為 AWS Systems Manager (SSM) 文件。在使用者可以更新帳戶裡工作階段偏好之前,他們必須授與必要的權限來存取這些偏好設定所存放的 SSM 文件。權限係依據 AWS Identity and Access Management (IAM) 政策給予。

管理員政策允許建立和更新偏好設定

管理員可以有以下政策在任何時候建立和更新偏好設定。以下政策允許許可存取和更新 SSM-SessionManagerRunShell 文件在 us-east-2 123456789012 帳戶。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ssm:CreateDocument",
                "ssm:GetDocument",
                "ssm:UpdateDocument",
                "ssm:DeleteDocument"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}
使用者政策防止更新偏好設定

使用以下政策防止最終使用者更新或覆寫在您的帳戶中的任何 Session Manager 偏好設定。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ssm:CreateDocument",
                "ssm:GetDocument",
                "ssm:UpdateDocument",
                "ssm:DeleteDocument"
            ],
            "Effect": "Deny",
            "Resource": [
                "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}