Gewähren oder Verweigern von Benutzerberechtigungen zum Aktualisieren von Session Manager-Einstellungen

Kontoeinstellungen werden als AWS Systems Manager (SSM)-Dokumente für jede AWS-Region gespeichert. Bevor Benutzer die Kontoeinstellungen für Sitzungen in Ihrem Konto aktualisieren können, müssen ihnen die notwendigen Berechtigungen für den Zugriff auf die Art des SSM-Dokuments gewährt werden, in denen diese Einstellungen gespeichert werden. Diese Berechtigungen werden über eine AWS Identity and Access Management (IAM)-Richtlinie erteilt.

Administratorrichtlinie, die das Erstellen und Aktualisieren von Richtlinien zulässt

Ein Administrator kann die folgende Richtlinie zum jederzeitigen Erstellen und Aktualisieren von Einstellungen besitzen. Die folgende Richtlinie gewährt die Berechtigung für Zugriff und Aktualisierung des Dokuments SSM-SessionManagerRunShell im Konto 123456789012 in der Region us-east-2.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ssm:CreateDocument",
                "ssm:GetDocument",
                "ssm:UpdateDocument",
                "ssm:DeleteDocument"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}

Benutzerrichtlinie, die das Aktualisieren von Einstellungen verhindert

Mittels der folgenden Richtlinie verhindern Sie das Aktualisieren oder Überschreiben von Session Manager-Einstellungen durch Endbenutzer in Ihrem Konto.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ssm:CreateDocument",
                "ssm:GetDocument",
                "ssm:UpdateDocument",
                "ssm:DeleteDocument"
            ],
            "Effect": "Deny",
            "Resource": [
                "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}