授與或拒絕使用者許可來更新Session Manager偏好設定 - AWS Systems Manager

授與或拒絕使用者許可來更新Session Manager偏好設定

替每個 AWS 區域 的帳戶偏好設定儲存為 AWS Systems Manager (SSM) 文件。在使用者可以更新帳戶裡工作階段偏好之前,他們必須授與必要的權限來存取這些偏好設定所存放的 SSM 文件。權限係依據 AWS Identity and Access Management (IAM) 政策給予。

管理員政策允許建立和更新偏好設定

管理員可以有以下政策在任何時候建立和更新偏好設定。以下政策允許許可存取和更新 SSM-SessionManagerRunShell 文件在 us-east-2 123456789012 帳戶。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:CreateDocument", "ssm:GetDocument", "ssm:UpdateDocument", "ssm:DeleteDocument" ], "Effect": "Allow", "Resource": [ "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell" ] } ] }

使用者政策防止更新偏好設定

使用以下政策防止最終使用者更新或覆寫在您的帳戶中的任何 Session Manager 偏好設定。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:CreateDocument", "ssm:GetDocument", "ssm:UpdateDocument", "ssm:DeleteDocument" ], "Effect": "Deny", "Resource": [ "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell" ] } ] }