Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 5: (Optional) Beschränken des Zugriffs auf Befehle in einer Sitzung
Sie können die Befehle einschränken, die ein Benutzer in einem AWS Systems Manager Session Manager Sitzung mithilfe eines benutzerdefinierten Dokuments Session
vom Typ AWS Systems Manager (SSM). In dem Dokument definieren Sie den Befehl, der ausgeführt wird, wenn der Benutzer eine Sitzung startet, und die Parameter, die der Benutzer dem Befehl übergeben kann. Die Session
des schemaVersion
-Dokuments muss 1.0 und der sessionType
des Dokuments muss InteractiveCommands
lauten. Anschließend können Sie Richtlinien AWS Identity and Access Management
(IAM) erstellen, die es Benutzern ermöglichen, nur auf die von Ihnen definierten Session
Dokumente zuzugreifen. Weitere Informationen zur Verwendung von IAM Richtlinien zur Beschränkung des Zugriffs auf Befehle in einer Sitzung finden Sie unterIAM-Richtlinienbeispiele für interaktive Befehle.
Dokumente mit dem Zeichen sessionType
von InteractiveCommands
werden nur für Sitzungen unterstützt, die mit AWS Command Line Interface (AWS CLI) gestartet wurden. Der Benutzer gibt den Namen des benutzerdefinierten Dokuments als --document-name
-Parameterwert an und gibt alle Befehlsparameterwerte über die Option --parameters
an. Weitere Informationen zur Ausführung interaktiver Befehle finden Sie unter Starten einer Sitzung (interaktive und nicht interaktive Befehle).
Gehen Sie wie folgt vor, um ein benutzerdefiniertes Session
SSM Dokument zu erstellen, das den Befehl definiert, den ein Benutzer ausführen darf.
Beschränken des Zugriffs auf Befehle in einer Sitzung (Konsole)
Um die Befehle einzuschränken, die ein Benutzer ausführen kann Session Manager Sitzung (Konsole)
Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/
. -
Wählen Sie im Navigationsbereich die Option Documents (Dokumente) aus.
-
Wählen Sie Create command or session (Befehl oder Sitzung erstellen) aus.
-
Geben Sie unter Name einen aussagekräftigen Namen für das Dokument ein.
-
Wählen Sie für Document type (Dokumenttyp) die Option Session document (Sitzungsdokument) aus.
-
Geben Sie den Inhalt Ihres Dokuments ein, der den Befehl definiert, den ein Benutzer in einem Session Manager Sitzung mit JSON oderYAML, wie im folgenden Beispiel gezeigt.
-
Wählen Sie Create document (Dokument erstellen) aus.
Beschränken des Zugriffs auf Befehle in einer Sitzung (Befehlszeile)
Bevor Sie beginnen
Falls Sie es noch nicht getan haben, installieren und konfigurieren Sie die AWS Command Line Interface (AWS CLI) oder die AWS Tools for PowerShell. Weitere Informationen finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI und Installieren des AWS Tools for PowerShell.
Um die Befehle einzuschränken, kann ein Benutzer in einem Session Manager Sitzung (Befehlszeile)
-
Erstellen Sie eine JSON YAML OR-Datei für den Inhalt Ihres Dokuments, die den Befehl definiert, den ein Benutzer in einem Session Manager Sitzung, wie im folgenden Beispiel gezeigt.
-
Führen Sie die folgenden Befehle aus, um anhand Ihres Inhalts ein SSM Dokument zu erstellen, das den Befehl definiert, den ein Benutzer in einem Session Manager Sitzung.
Interaktive Befehlsparameter und AWS CLI
Sie können interaktive Befehlsparameter bereitstellen, wenn Sie die AWS CLI verwenden. Je nach Betriebssystem (OS) Ihres Client-Computers, mit dem Sie eine Verbindung zu verwalteten Knoten herstellen, kann die Syntax AWS CLI, die Sie für Befehle angeben, die Sonder- oder Escape-Zeichen enthalten, unterschiedlich sein. Die folgenden Beispiele zeigen einige der verschiedenen Möglichkeiten, wie Sie Befehlsparameter angeben können, wenn Sie die verwenden AWS CLI, und wie mit Sonder- oder Escape-Zeichen umgegangen wird.
Parameter sind gespeichert in Parameter Store kann in den Befehlsparametern AWS CLI für Ihre Befehle referenziert werden, wie im folgenden Beispiel gezeigt.
Das folgende Beispiel zeigt, wie Sie mit der AWS CLI eine Kurzschriftsyntax verwenden, um Parameter zu übergeben.
Sie können auch Parameter angeben, JSON wie im folgenden Beispiel gezeigt.
Parameter können auch in einer JSON Datei gespeichert und für die bereitgestellt werden, AWS CLI wie im folgenden Beispiel gezeigt. Weitere Informationen zur Verwendung von AWS CLI -Parametern aus einer Datei finden Sie unter Laden von AWS CLI -Parametern aus einer Datei im AWS Command Line Interface -Benutzerhandbuch.
{ "command": [ "
my command
" ] }
Sie können auch ein AWS CLI Skelett aus einer JSON Eingabedatei generieren, wie im folgenden Beispiel gezeigt. Weitere Informationen zum Generieren von AWS CLI Skeletten aus JSON Eingabedateien finden Sie im AWS Command Line Interface Benutzerhandbuch unter Generieren von AWS CLI Skeletten und Eingabeparametern aus einer JSON YAML Oder-Eingabedatei.
{ "Target": "
instance-id
", "DocumentName": "MyInteractiveCommandDocument
", "Parameters": { "command": [ "my command
" ] } }
Um Zeichen in Anführungszeichen zu maskieren, müssen Sie den Escapezeichen zusätzliche umgekehrte Schrägstriche hinzufügen, wie im folgenden Beispiel gezeigt.
Informationen zum Verwenden von Anführungszeichen bei Befehlsparametern in AWS CLI finden Sie unter Verwenden von Anführungszeichen mit Zeichenfolgen in der AWS CLI im AWS Command Line Interface -Benutzerhandbuch.
IAM-Richtlinienbeispiele für interaktive Befehle
Sie können IAM Richtlinien erstellen, die es Benutzern ermöglichen, nur auf die von Ihnen definierten Session
Dokumente zuzugreifen. Dies schränkt die Befehle ein, die ein Benutzer in einem ausführen kann Session Manager Sitzung nur auf die Befehle, die in Ihren benutzerdefinierten SSM Dokumenten definiert Session
sind.
- Einem Benutzer erlauben, einen interaktiven Befehl auf einem einzelnen verwalteten Knoten auszuführen
-
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ssm:StartSession", "Resource":[ "arn:aws:ec2:
region
:987654321098
:instance/i-02573cafcfEXAMPLE
", "arn:aws:ssm:region
:987654321098
:document/exampleAllowedSessionDocument
" ] } ] } - Einem Benutzer erlauben, einen interaktiven Befehl auf allen verwalteten Knoten auszuführen
-
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ssm:StartSession", "Resource":[ "arn:aws:ec2:
us-west-2
:987654321098
:instance/*", "arn:aws:ssm:us-west-2
:987654321098
:document/exampleAllowedSessionDocument
" ] } ] } - Einem Benutzer erlauben, mehrere interaktive Befehle auf allen verwalteten Knoten auszuführen
-
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ssm:StartSession", "Resource":[ "arn:aws:ec2:
us-west-2
:987654321098
:instance/*", "arn:aws:ssm:us-west-2
:987654321098
:document/exampleAllowedSessionDocument
", "arn:aws:ssm:us-west-2
:987654321098
:document/exampleAllowedSessionDocument2
" ] } ] }