Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einrichtung Run Command
Bevor Sie Knoten verwalten können, indem Sie Run Command, ein Tool in AWS Systems Manager, das eine AWS Identity and Access Management (IAM-) Richtlinie für jeden Benutzer konfiguriert, der Befehle ausführt. Wenn Sie in Ihren IAM-Richtlinien globale Bedingungsschlüssel für die SendCommand-Aktion verwenden, müssen Sie den aws:ViaAWSService-Bedingungsschlüssel angeben und den booleschen Wert auf true setzen. Im Folgenden wird ein Beispiel gezeigt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["ssm:SendCommand"], "Resource": ["arn:aws:ssm:region:account:document/YourDocument"], "Condition": { "StringEquals": { "aws:SourceVpce": ["vpce-example1234"] } } }, { "Effect": "Allow", "Action": ["ssm:Sendcommand"], "Resource": ["arn:aws:ssm:region:account:document/YourDocument"], "Condition": { "Bool": {"aws:ViaAWSService": "true"} } } ] }
Sie müssen Ihre Knoten auch für Systems Manager konfigurieren. Weitere Informationen finden Sie unter Einrichten von verwalteten Knoten für AWS Systems Manager.
Wir empfehlen, die folgenden optionalen Einrichtungsaufgaben durchzuführen, um den Sicherheitsstatus und die day-to-day Verwaltung Ihrer verwalteten Knoten zu minimieren.
- Überwachen Sie Befehlsausführungen mit Amazon EventBridge
-
Sie können es verwenden EventBridge , um Statusänderungen der Befehlsausführung zu protokollieren. Sie können eine Regel erstellen, die ausgeführt wird, sobald ein Statusübergang oder ein Übergang zu einem oder mehreren Status stattfindet, die für sie von Interesse sind. Sie können auch Folgendes angeben Run Command als Zielaktion, wenn ein EventBridge Ereignis eintritt. Weitere Informationen finden Sie unter Konfiguration EventBridge für Systems Manager Manager-Ereignisse.
- Überwachen Sie Befehlsausführungen mithilfe von Amazon Logs CloudWatch
-
Sie können konfigurieren Run Command um regelmäßig alle Befehlsausgaben und Fehlerprotokolle an eine CloudWatch Amazon-Protokollgruppe zu senden. Sie können diese Ausgabeprotokolle nahezu in Echtzeit überwachen, nach bestimmten Phrasen, Werten oder Mustern suchen und auf der Grundlage der Suche Warnungen erstellen. Weitere Informationen finden Sie unter Konfiguration von Amazon CloudWatch Logs für Run Command.
- Restrict Run Command Zugriff auf bestimmte verwaltete Knoten
-
Sie können die Fähigkeit eines Benutzers einschränken, Befehle auf verwalteten Knoten auszuführen, indem Sie AWS Identity and Access Management (IAM) verwenden. Insbesondere können Sie eine IAM-Richtlinie mit der Bedingung erstellen, dass der Benutzer nur Befehle auf verwalteten Knoten ausführen kann, die mit bestimmten Tags gekennzeichnet sind. Weitere Informationen finden Sie unter Einschränken Run Command Zugriff auf der Grundlage von Tags.
Einschränken Run Command Zugriff auf der Grundlage von Tags
In diesem Abschnitt wird beschrieben, wie die Fähigkeit eines Benutzers eingeschränkt werden kann, Befehle für verwaltete Knoten auszuführen, indem eine Tag-Bedingung in einer IAM-Richtlinie angegeben wird. Zu den verwalteten Knoten gehören EC2 Amazon-Instances und EC2 Nicht-Knoten in einer Hybrid- und Multi-Cloud-Umgebung, die für Systems Manager konfiguriert sind. Die Informationen werden zwar nicht explizit dargestellt, Sie können aber auch den Zugriff auf verwaltete AWS IoT Greengrass Kerngeräte einschränken. Zuerst müssen Sie Ihre AWS IoT Greengrass -Geräte markieren. Weitere Informationen finden Sie unter Markieren Ihrer AWS IoT Greengrass Version 2 -Ressourcen im AWS IoT Greengrass Version 2 -Entwicklerhandbuch.
Sie können die Befehlsausführung auf bestimmte verwaltete Knoten beschränken, indem Sie eine IAM-Richtlinie erstellen, die eine Bedingung enthält, dass der Benutzer Befehle nur auf Knoten mit bestimmten Tags ausführen kann. Im folgenden Beispiel darf der Benutzer Folgendes verwenden Run Command (Effect: Allow, Action: ssm:SendCommand) durch die Verwendung eines beliebigen SSM-Dokuments (Resource: arn:aws:ssm:*:*:document/*) auf einem beliebigen Knoten (Resource: arn:aws:ec2:*:*:instance/*) mit der Bedingung, dass es sich bei dem Knoten um einen Finanzknoten WebServer (ssm:resourceTag/Finance: WebServer) handelt. Wenn der Benutzer einen Befehl an einen Knoten sendet, der nicht markiert ist oder ein anderes Tag als Finance: WebServer hat, zeigen die Ausführungsergebnisse AccessDenied.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:*:*:document/*" ] }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ec2:*:*:instance/*" ], "Condition":{ "StringLike":{ "ssm:resourceTag/Finance":[ "WebServers" ] } } } ] }
Sie können IAM-Richtlinien erstellen, die es einem Benutzer erlauben, Befehle auf verwalteten Knoten auszuführen, die mit mehreren Tags markiert sind. Mit der folgenden Richtlinie hat der Benutzer die Möglichkeit, Befehle auf verwalteten Knoten auszuführen, die über zwei Tags verfügen. Wenn ein Benutzer einen Befehl an einen verwalteten Knoten sendet, der nicht mit beiden dieser Tags markiert ist, zeigen die Ausführungsergebnisse AccessDenied.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1" ], "ssm:resourceTag/tag_key2":[ "tag_value2" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:us-west-1::document/AWS-*", "arn:aws:ssm:us-east-2::document/AWS-*" ] }, { "Effect":"Allow", "Action":[ "ssm:UpdateInstanceInformation", "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetDocument" ], "Resource":"*" } ] }
Sie können auch IAM-Richtlinien erstellen, die es einem Benutzer erlauben, Befehle auf mehreren Gruppen von markierten verwalteten Knoten auszuführen. Die folgende Beispiel-Richtlinie erlaubt dem Benutzer die Ausführung von Befehlen entweder für eine der Gruppen von markierten Knoten oder für beide Gruppen.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key1":[ "tag_value1" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":"*", "Condition":{ "StringLike":{ "ssm:resourceTag/tag_key2":[ "tag_value2" ] } } }, { "Effect":"Allow", "Action":[ "ssm:SendCommand" ], "Resource":[ "arn:aws:ssm:us-west-1::document/AWS-*", "arn:aws:ssm:us-east-2::document/AWS-*" ] }, { "Effect":"Allow", "Action":[ "ssm:UpdateInstanceInformation", "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetDocument" ], "Resource":"*" } ] }
Weitere Informationen zum Erstellen von IAM-Richtlinien finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien im IAM-Benutzerhandbuch. Weitere Informationen über das Markieren verwalteter Knoten finden Sie unter Tag-Editor im AWS Resource Groups -Benutzerhandbuch.
