封鎖 SSM 文件的公有共用 - AWS Systems Manager

封鎖 SSM 文件的公有共用

除非您的使用案例需要開啟公有共用,否則建議為您的 AWS Systems Manager (SSM) 文件開啟封鎖公有共用設定。開啟此設定可避免 SSM 文件遭到不必要的存取。封鎖公有共用設定是帳戶層級設定,每個 AWS 區域 各有不同。完成下列任務以封鎖 SSM 文件的公有共用。

封鎖公有共用 (主控台)

若要封鎖 SSM 文件的公有共用

  1. 開啟位於 AWS Systems Managerhttps://console.aws.amazon.com/systems-manager/ 的 主控台。https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Documents (文件)

    -或-

    如果 AWS Systems Manager 首頁先開啟,選擇選單圖示 ( ) 以開啟導覽窗格,然後在導覽窗格中,選擇 Documents (文件)。

  3. 選擇 Preferences (偏好設定),然後在 Block public sharing (封鎖公有共用) 區段中選擇 Edit (編輯)。

  4. 選取 Block public sharing (封鎖公有共用) 核取方塊,再選擇 Save (儲存)。

封鎖公有共用 (命令列)

在本機電腦上開啟 AWS Command Line Interface (AWS CLI) 或 AWS Tools for Windows PowerShell,然後執行下列命令來封鎖 SSM 文件的公有共用。

Linux & macOS
aws ssm update-service-setting \ --setting-id /ssm/documents/console/public-sharing-permission \ --setting-value Disable \ --region 'The AWS Region you want to block public sharing in'
Windows
aws ssm update-service-setting ^ --setting-id /ssm/documents/console/public-sharing-permission ^ --setting-value Disable ^ --region "The AWS Region you want to block public sharing in"
PowerShell
Update-SSMServiceSetting ` -SettingId /ssm/documents/console/public-sharing-permission ` -SettingValue Disable ` –Region The AWS Region you want to block public sharing in

使用以下命令來確認設定值已更新。

Linux & macOS
aws ssm get-service-setting \ --setting-id /ssm/documents/console/public-sharing-permission \ --region The AWS Region you blocked public sharing in
Windows
aws ssm get-service-setting ^ --setting-id /ssm/documents/console/public-sharing-permission ^ --region "The AWS Region you blocked public sharing in"
PowerShell
Get-SSMServiceSetting ` -SettingId /ssm/documents/console/public-sharing-permission ` -Region The AWS Region you blocked public sharing in

限制存取以封鎖與 IAM 的公有共用

您可以建立 AWS Identity and Access Management (IAM) 政策,限制使用者修改封鎖公有共用設定。這可防止使用者允許 SSM 文件的不必要存取。

以下是防止使用者更新封鎖公有共用設定的 IAM 政策範例。若要使用此範例,您必須用您自己的帳戶 ID 取代範例 Amazon Web Services 帳戶 ID。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:UpdateServiceSetting", "Resource": "arn:aws:ssm:*:987654321098:servicesetting/ssm/documents/console/public-sharing-permission" } ] }