Freigeben von SSM-Dokumenten - AWS Systems Manager
Bewährte Methoden für freigegebene SSM-DokumenteSperren Sie das öffentliche Teilen von SSM DokumentenFreigeben eines SSM-DokumentsÄndern Sie die Berechtigungen für ein geteiltes SSM DokumentVerwenden von freigegebenen SSM-Dokumenten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Freigeben von SSM-Dokumenten

Sie können Dokumente privat oder öffentlich mit Konten in demselben Bereich teilen AWS Systems Manager (SSM) AWS-Region. Um ein Dokument privat freizugeben, ändern Sie die Dokumentberechtigungen und erlauben bestimmten Personen entsprechend ihrer AWS-Konto -ID den Zugriff darauf. Um ein SSM Dokument öffentlich zu teilen, ändern Sie die Dokumentberechtigungen und geben Folgendes anAll. Dokumente können nicht gleichzeitig öffentlich und privat freigegeben werden.

Warnung

Verwenden Sie gemeinsam genutzte SSM Dokumente nur aus vertrauenswürdigen Quellen. Wenn Sie ein freigegebenes Dokument verwenden, überprüfen Sie den Inhalt des Dokuments sorgfältig, bevor Sie es verwenden, damit Sie verstehen, wie es die Konfiguration der Instance ändert. Weitere Informationen zu bewährten Methoden für freigegebene Dokumente finden Sie unter Bewährte Methoden für freigegebene SSM-Dokumente.

Einschränkungen

Beachten Sie die folgenden Einschränkungen, wenn Sie mit der Arbeit mit SSM Dokumenten beginnen.

  • Nur der Eigentümer eines Dokuments kann ein Dokument freigeben.

  • Sie müssen die Freigabe eines Dokuments aufheben, bevor Sie ein Dokument löschen können. Weitere Informationen finden Sie unter Ändern Sie die Berechtigungen für ein geteiltes SSM Dokument.

  • Sie können ein Dokument mit maximal 1000 Personen teilen AWS-Konten. Sie können über das AWS Support Center eine Erhöhung dieses Limits anfordern. Wählen Sie als Limittyp EC2 Systems Manager und beschreiben Sie den Grund für die Anfrage.

  • Sie können maximal fünf SSM Dokumente öffentlich teilen. Sie können über das AWS Support Center eine Erhöhung dieses Limits anfordern. Wählen Sie als Limittyp EC2 Systems Manager und beschreiben Sie den Grund für die Anfrage.

  • Dokumente können AWS-Region nur in demselben Konto mit anderen Konten geteilt werden. Die Freigabe über Regionsgrenzen hinweg wird nicht unterstützt.

Weitere Informationen zu Service Quotas für Systems Manager finden Sie unter AWS Systems Manager Service Quotas.

Bewährte Methoden für freigegebene SSM-Dokumente

Überprüfen Sie die folgenden Richtlinien, bevor Sie ein Dokument freigeben oder ein gemeinsam genutztes Dokument verwenden.

Entfernen sensibler Daten

Überprüfen Sie Ihr AWS Systems Manager (SSM) Dokument sorgfältig und entfernen Sie alle vertraulichen Informationen. Stellen Sie beispielsweise sicher, dass das Dokument Ihre AWS Anmeldeinformationen nicht enthält. Wenn Sie ein Dokument für bestimmten Personen freigeben, können die Informationen in dem Dokument anzeigen. Wenn Sie ein Dokument öffentlich freigeben, können beliebige Personen die Informationen in dem Dokument anzeigen.

Öffentliche Freigabe für Dokumente blockieren

Überprüfe alle öffentlich geteilten SSM Dokumente in deinem Konto und bestätige, ob du sie weiterhin teilen möchtest. Um die gemeinsame Nutzung eines Dokuments für die Öffentlichkeit zu beenden, müssen Sie die Einstellung für die Dokumentberechtigungen wie im Ändern Sie die Berechtigungen für ein geteiltes SSM Dokument Abschnitt dieses Themas beschrieben ändern. Das Aktivieren der Einstellung „Öffentliches Teilen blockieren“ hat keine Auswirkungen auf Dokumente, die Sie derzeit für die Öffentlichkeit freigeben. Sofern Ihr Anwendungsfall nicht erfordert, dass Sie Dokumente für die Öffentlichkeit freigeben, empfehlen wir, die Einstellung Öffentliche Freigabe blockieren für Ihre SSM Dokumente im Bereich Einstellungen der Systems Manager Manager-Dokumentenkonsole zu aktivieren. Wenn Sie diese Einstellung aktivieren, wird unerwünschter Zugriff auf Ihre SSM Dokumente verhindert. Bei der Einstellung „Öffentliches Teilen blockieren“ handelt es sich um eine Einstellung auf Kontoebene, die für jedes Konto unterschiedlich sein kann AWS-Region.

Beschränken Sie Run Command Aktionen mithilfe einer IAM Vertrauensrichtlinie

Erstellen Sie eine restriktive AWS Identity and Access Management (IAM) Richtlinie für Benutzer, die Zugriff auf das Dokument haben werden. Die IAM Richtlinie legt fest, welche SSM Dokumente ein Benutzer entweder in der Amazon Elastic Compute Cloud (AmazonEC2) -Konsole oder durch Aufrufen ListDocuments mit AWS Command Line Interface (AWS CLI) oder sehen kann AWS Tools for Windows PowerShell. Die Richtlinie schränkt auch die Aktionen ein, die der Benutzer mit SSM Dokumenten ausführen kann. Sie können eine restriktive Richtlinie erstellen, damit Benutzer nur bestimmte Dokumente verwenden können. Weitere Informationen finden Sie unter Beispiele für vom Kunden verwaltete Richtlinien.

Seien Sie vorsichtig, wenn Sie gemeinsam genutzte SSM Dokumente verwenden

Überprüfen Sie den Inhalt jedes Dokuments, das für Sie freigegeben ist, insbesondere öffentliche Dokumente, um die Befehle zu verstehen, die über Ihre Instances ausgeführt werden. Ein Dokument kann absichtlich oder unbeabsichtigterweise negative Auswirkungen haben, wenn es ausgeführt wird. Wenn das Dokument auf ein externes Netzwerk verweist, überprüfen Sie die externe Quelle, bevor Sie das Dokument verwenden.

Versenden von Befehlen mit dem Dokument-Hash

Wenn Sie ein Dokument freigeben, erstellt das System einen SHA-256-Hash und weist diesen dem Dokument zu. Das System speichert außerdem einen Snapshot des Dokumentinhalts. Wenn Sie mit einem freigegebenen Dokument einen Befehl senden, können Sie für den Befehl diesen Hash angeben, um sicherzustellen, dass die folgenden Bedingungen erfüllt sind:

  • Sie führen den Befehl über das richtige Systems Manager-Dokument aus.

  • Der Inhalt des Dokuments wurde nicht geändert, seit es für Sie freigegeben wurde.

Wenn der Hash nicht mit dem angegebenen Dokument übereinstimmt oder der Inhalt des freigegebenen Dokuments geändert wurde, löst der Befehl eine InvalidDocument-Ausnahmebedingung aus. Mit dem Hash können keine Dokumentinhalte von externen Standorten überprüft werden.

Sperren Sie das öffentliche Teilen von SSM Dokumenten

Bevor Sie beginnen, überprüfen Sie alle öffentlich geteilten SSM Dokumente in Ihrem AWS-Konto und bestätigen Sie, ob Sie sie weiterhin teilen möchten. Um die gemeinsame Nutzung eines SSM Dokuments für die Öffentlichkeit zu beenden, müssen Sie die Einstellung für Dokumentberechtigungen wie im Ändern Sie die Berechtigungen für ein geteiltes SSM Dokument Abschnitt dieses Themas beschrieben ändern. Das Aktivieren der Einstellung „Öffentliches Teilen blockieren“ hat keine Auswirkungen auf SSM Dokumente, die Sie derzeit für die Öffentlichkeit freigeben. Wenn die Einstellung „Öffentliches Teilen blockieren“ aktiviert ist, können Sie keine weiteren SSM Dokumente mit der Öffentlichkeit teilen.

Sofern Ihr Anwendungsfall nicht erfordert, dass Sie Dokumente mit der Öffentlichkeit teilen, empfehlen wir, die Einstellung „Öffentliches Teilen blockieren“ für Ihre SSM Dokumente zu aktivieren. Wenn Sie diese Einstellung aktivieren, wird unerwünschter Zugriff auf Ihre SSM Dokumente verhindert. Bei der Einstellung „Öffentliches Teilen blockieren“ handelt es sich um eine Einstellung auf Kontoebene, die für jedes Konto unterschiedlich sein kann AWS-Region. Gehen Sie wie folgt vor, um das öffentliche Teilen von SSM Dokumenten zu blockieren, die Sie derzeit nicht teilen.

Öffentliche Freigabe blockieren (Konsole)

So blockieren Sie das öffentliche Teilen Ihrer SSM Dokumente

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

  3. Wählen Sie Preferences (Präferenzen) und dann Edit (Bearbeiten) im Abschnitt Block public sharing (Öffentliche Freigabe blockieren) .

  4. Wählen Sie das Kontrollkästchen Block public sharing (Öffentliche Freigabe blockieren) und wählen Sie aus Save (speichern).

Öffentliche Freigabe blockieren (Befehlszeile)

Öffnen Sie AWS Command Line Interface (AWS CLI) oder AWS Tools for Windows PowerShell auf Ihrem lokalen Computer und führen Sie den folgenden Befehl aus, um das öffentliche Teilen Ihrer SSM Dokumente zu blockieren.

Linux & macOS
aws ssm update-service-setting  \
    --setting-id /ssm/documents/console/public-sharing-permission \
    --setting-value Disable \
    --region 'The AWS-Region you want to block public sharing in'
Windows
aws ssm update-service-setting ^
    --setting-id /ssm/documents/console/public-sharing-permission ^
    --setting-value Disable ^
    --region "The AWS-Region you want to block public sharing in"
PowerShell
Update-SSMServiceSetting `
    -SettingId /ssm/documents/console/public-sharing-permission `
    -SettingValue Disable `
    –Region The AWS-Region you want to block public sharing in

Überprüfen Sie, ob der Einstellungswert aktualisiert wurde, indem Sie den folgenden Befehl verwenden.

Linux & macOS
aws ssm get-service-setting   \
    --setting-id /ssm/documents/console/public-sharing-permission \
    --region The AWS-Region you blocked public sharing in
Windows
aws ssm get-service-setting  ^
    --setting-id /ssm/documents/console/public-sharing-permission ^
    --region "The AWS-Region you blocked public sharing in"
PowerShell
Get-SSMServiceSetting `
    -SettingId /ssm/documents/console/public-sharing-permission `
    -Region The AWS-Region you blocked public sharing in

Beschränken Sie den Zugriff, um das öffentliche Teilen mit zu blockieren IAM

Sie können Richtlinien AWS Identity and Access Management (IAM) erstellen, die Benutzer daran hindern, die Einstellung „Öffentliches Teilen blockieren“ zu ändern. Dadurch wird verhindert, dass Benutzer unerwünschten Zugriff auf Ihre SSM Dokumente gewähren.

Im Folgenden finden Sie ein Beispiel IAM für eine Richtlinie, die verhindert, dass Benutzer die Einstellung „Öffentliches Teilen blockieren“ aktualisieren. Um dieses Beispiel zu verwenden, müssen Sie die Beispiel-Konto-ID für Amazon Web Services durch Ihre eigene Konto-ID ersetzen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ssm:UpdateServiceSetting",
            "Resource": "arn:aws:ssm:*:987654321098:servicesetting/ssm/documents/console/public-sharing-permission"
        }
    ]
}

Freigeben eines SSM-Dokuments

Sie können Dokumente mit der Systems Manager Manager-Konsole teilen AWS Systems Manager (SSM). Beim Teilen von Dokumenten über die Konsole kann nur die Standardversion des Dokuments geteilt werden. Sie können SSM Dokumente auch programmgesteuert teilen, indem Sie den ModifyDocumentPermission API Vorgang mit AWS Command Line Interface (AWS CLI) AWS Tools for Windows PowerShell, oder dem aufrufen. AWS SDK Bevor Sie ein Dokument teilen, sollten Sie die Personen AWS-Konto IDs ermitteln, mit denen Sie es teilen möchten. Sie geben diese Konten anIDs, wenn Sie das Dokument teilen.

Freigeben eines Dokuments (Konsole)

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

  3. Wählen Sie in der Dokumentenliste das Dokument aus, das Sie freigeben möchten, und klicken Sie dann auf View details (Details anzeigen). Überprüfen Sie dann auf der Registerkarte Permissions, ob Sie der Besitzer des Dokuments sind. Nur der Eigentümer eines Dokuments kann ein Dokument freigeben.

  4. Wählen Sie Edit (Bearbeiten) aus.

  5. Um den Befehl öffentlich freizugeben, wählen Sie Public und dann die Option Save. Wählen Sie zur privaten Freigabe des Befehls die Option Private aus, geben Sie die AWS-Konto -ID ein und wählen Sie Add permission sowie anschließend die Option Save aus.

Freigeben eines Dokuments (Befehlszeile)

Das folgende Verfahren erfordert, dass Sie eine AWS-Region für Ihre Befehlszeilensitzung angeben.

  1. Öffnen Sie AWS CLI oder AWS Tools for Windows PowerShell auf Ihrem lokalen Computer und führen Sie den folgenden Befehl aus, um Ihre Anmeldeinformationen anzugeben.

    Ersetzen Sie im folgenden Befehl region mit Ihren eigenen Informationen. Für eine Liste der unterstützten region Werte finden Sie in der Spalte Region in Systems Manager Manager-Dienstendpunkten in der Allgemeine Amazon Web Services-Referenz.

    Linux & macOS
    aws config

AWS Access Key ID: [your key]
AWS Secret Access Key: [your key]
Default region name: region
Default output format [None]:
    Windows
    aws config

AWS Access Key ID: [your key]
AWS Secret Access Key: [your key]
Default region name: region
Default output format [None]:
    PowerShell
    Set-AWSCredentials –AccessKey your key –SecretKey your key
Set-DefaultAWSRegion -Region region

  2. Verwenden Sie den folgenden Befehl, um alle SSM Dokumente aufzulisten, die für Sie verfügbar sind. Die Liste enthält Dokumente, die Sie erstellt haben, und Dokumente, die für Sie freigegeben wurden.

    Linux & macOS
    aws ssm list-documents
    Windows
    aws ssm list-documents
    PowerShell
    Get-SSMDocumentList

  3. Verwenden Sie den folgenden Befehl, um ein bestimmtes Dokument abzurufen.

    Linux & macOS
    aws ssm get-document \
    --name document name
    Windows
    aws ssm get-document ^
    --name document name
    PowerShell
    Get-SSMDocument `
    –Name document name

  4. Verwenden Sie den folgenden Befehl, um eine Beschreibung des Dokuments abzurufen.

    Linux & macOS
    aws ssm describe-document \
    --name document name
    Windows
    aws ssm describe-document ^
    --name document name
    PowerShell
    Get-SSMDocumentDescription `
    –Name document name

  5. Verwenden Sie den folgenden Befehl, um die Zugriffsberechtigungen für das Dokument anzuzeigen.

    Linux & macOS
    aws ssm describe-document-permission \
    --name document name \
    --permission-type Share
    Windows
    aws ssm describe-document-permission ^
    --name document name ^
    --permission-type Share
    PowerShell
    Get-SSMDocumentPermission `
    –Name document name `
    -PermissionType Share

  6. Verwenden Sie den folgenden Befehl, um die Zugriffsberechtigungen für das Dokument zu ändern und das Dokument freizugeben. Sie müssen der Eigentümer des Dokuments sein, um die Berechtigungen bearbeiten zu können. Optional können Sie mithilfe des --shared-document-version-Parameters eine Version des Dokuments angeben, die Sie teilen möchten. Wenn Sie keine Version angeben, gibt das System die Default-Version des Dokuments frei. Mit diesem Beispielbefehl wird das Dokument privat für eine bestimmte Person freigegeben, auf der Grundlage der AWS-Konto -ID der Person.

    Linux & macOS
    aws ssm modify-document-permission \
    --name document name \
    --permission-type Share \
    --account-ids-to-add AWS-Konto ID
    Windows
    aws ssm modify-document-permission ^
    --name document name ^
    --permission-type Share ^
    --account-ids-to-add AWS-Konto ID
    PowerShell
    Edit-SSMDocumentPermission `
    –Name document name `
    -PermissionType Share `
    -AccountIdsToAdd AWS-Konto ID

  7. Verwenden Sie den folgenden Befehl, um ein Dokument öffentlich freizugeben.

    Linux & macOS
    aws ssm modify-document-permission \
    --name document name \
    --permission-type Share \
    --account-ids-to-add 'all'
    Windows
    aws ssm modify-document-permission ^
    --name document name ^
    --permission-type Share ^
    --account-ids-to-add "all"
    PowerShell
    Edit-SSMDocumentPermission `
    -Name document name `
    -PermissionType Share `
    -AccountIdsToAdd ('all')

Ändern Sie die Berechtigungen für ein geteiltes SSM Dokument

Wenn Sie einen Befehl gemeinsam nutzen, können Benutzer diesen Befehl anzeigen und verwenden, bis Sie entweder den Zugriff auf das Dokument AWS Systems Manager (SSM) aufheben oder das SSM Dokument löschen. Sie können ein Dokument jedoch erst löschen, wenn es nicht mehr freigegeben ist. Sie müssen also zuerst die Freigabe beenden und können erst anschließend die Datei löschen.

Beenden der Freigabe eines Dokuments (Konsole)

Beenden der Freigabe eines Dokuments

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.

  3. Wählen Sie in der Dokumentenliste das Dokument aus, das Sie nicht mehr teilen möchten, und klicken Sie dann auf Details. Vergewissern Sie sich im Abschnitt Berechtigungen, dass Sie der Eigentümer des Dokuments sind. Nur der Eigentümer eines Dokuments kann die Freigabe eines Dokuments beenden.

  4. Wählen Sie Edit (Bearbeiten) aus.

  5. Wählen Sie X aus, um die AWS-Konto ID zu löschen, die keinen Zugriff mehr auf den Befehl haben sollte, und wählen Sie dann Speichern.

Beenden der Freigabe eines Dokuments (Befehlszeile)

Öffnen Sie AWS CLI oder AWS Tools for Windows PowerShell auf Ihrem lokalen Computer und führen Sie den folgenden Befehl aus, um die gemeinsame Nutzung eines Befehls zu beenden.

Linux & macOS
aws ssm modify-document-permission \
    --name document name \
    --permission-type Share \
    --account-ids-to-remove 'AWS-Konto ID'
Windows
aws ssm modify-document-permission ^
    --name document name ^
    --permission-type Share ^
    --account-ids-to-remove "AWS-Konto ID"
PowerShell
Edit-SSMDocumentPermission `
    -Name document name `
    -PermissionType Share `
    –AccountIdsToRemove AWS-Konto ID

Verwenden von freigegebenen SSM-Dokumenten

Wenn Sie ein AWS Systems Manager (SSM) -Dokument teilen, generiert das System einen Amazon-Ressourcennamen (ARN) und weist ihn dem Befehl zu. Wenn Sie in der Systems Manager Manager-Konsole ein geteiltes Dokument auswählen und ausführen, wird das nicht angezeigtARN. Wenn Sie jedoch ein gemeinsam genutztes SSM Dokument mit einer anderen Methode als der Systems Manager Manager-Konsole ausführen möchten, müssen Sie das gesamte ARN Dokument für den DocumentName Anforderungsparameter angeben. Wenn Sie den Befehl ARN zum Auflisten von SSM Dokumenten ausführen, wird Ihnen das vollständige Dokument angezeigt.

Anmerkung

Sie müssen nicht angeben, ob es sich ARNs um AWS öffentliche Dokumente (Dokumente, die mit 1 beginnenAWS-*) oder um Dokumente handelt, deren Eigentümer Sie sind.

Verwenden Sie ein gemeinsam SSM verwendetes Dokument (Befehlszeile)

So listen Sie alle öffentlichen SSM-Dokumente auf

Linux & macOS
aws ssm list-documents \
    --filters Key=Owner,Values=Public
Windows
aws ssm list-documents ^
    --filters Key=Owner,Values=Public
PowerShell
$filter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
$filter.Key = "Owner"
$filter.Values = "Public"

Get-SSMDocumentList `
    -Filters @($filter)

Um private SSM Dokumente aufzulisten, die mit Ihnen geteilt wurden

Linux & macOS
aws ssm list-documents \
    --filters Key=Owner,Values=Private
Windows
aws ssm list-documents ^
    --filters Key=Owner,Values=Private
PowerShell
$filter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
$filter.Key = "Owner"
$filter.Values = "Private"

Get-SSMDocumentList `
    -Filters @($filter)

Um alle SSM Dokumente aufzulisten, die Ihnen zur Verfügung stehen

Linux & macOS
aws ssm list-documents
Windows
aws ssm list-documents
PowerShell
Get-SSMDocumentList

Um Informationen über ein SSM Dokument zu erhalten, das mit Ihnen geteilt wurde

Linux & macOS
aws ssm describe-document \
    --name arn:aws:ssm:us-east-2:12345678912:document/documentName
Windows
aws ssm describe-document ^
    --name arn:aws:ssm:us-east-2:12345678912:document/documentName
PowerShell
Get-SSMDocumentDescription `
    –Name arn:aws:ssm:us-east-2:12345678912:document/documentName

So führen Sie ein freigegebenes SSM-Dokument aus

Linux & macOS
aws ssm send-command \
    --document-name arn:aws:ssm:us-east-2:12345678912:document/documentName \
    --instance-ids ID
Windows
aws ssm send-command ^
    --document-name arn:aws:ssm:us-east-2:12345678912:document/documentName ^
    --instance-ids ID
PowerShell
Send-SSMCommand `
    –DocumentName arn:aws:ssm:us-east-2:12345678912:document/documentName `
    –InstanceIds ID