Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einschränken des Zugriffs auf Befehle auf Stammebene durch SSM Agent
AWS Systems Manager Agent (SSM Agent) wird auf Amazon Elastic Compute Cloud (AmazonEC2) -Instances und anderen Maschinentypen in Hybrid- und Multi-Cloud-Umgebungen mit Root-Rechten (Linux) oder SYSTEM Berechtigungen (Windows Server) ausgeführt. Da es sich um die höchste Stufe von Systemzugriffsberechtigungen handelt, verfügt jede vertrauenswürdige Entität, der die Berechtigung zum Senden von Befehlen erteilt wurde, SSM Agent über SYSTEM Root-Rechte oder Berechtigungen. (In AWS wird eine vertrauenswürdige Entität, die Aktionen ausführen und auf Ressourcen zugreifen kann, als Principal bezeichnet. AWS Ein Principal kann ein Root-Benutzer des AWS-Kontos Benutzer oder eine Rolle sein.)
Dieses Zugriffslevel ist erforderlich, damit ein Prinzipal autorisierte Systems Manager-Befehle an den SSM Agent senden kann, es ermöglicht einem Prinzipal aber auch, bösartigen Code auszuführen, indem potenzielle Schwachstellen in SSM Agent ausgenutzt werden.
Insbesondere sollten die Berechtigungen zum Ausführen der Befehle SendCommand und StartSession sorgfältig beschränkt werden. Eine guter erster Schritt ist es, Berechtigungen für jeden Befehl nur für bestimmte Prinzipale in Ihrer Organisation zu gewähren. Allerdings empfehlen wir, Ihren Sicherheitsstatus weiter zu verbessern, indem Sie einschränken, auf welchen verwalteten Knoten ein Prinzipal diese Befehle ausführen kann. Dies kann in der IAM Richtlinie geschehen, die dem Prinzipal zugewiesen ist. In die IAM Richtlinie können Sie eine Bedingung aufnehmen, die den Benutzer darauf beschränkt, Befehle nur auf verwalteten Knoten auszuführen, die mit bestimmten Tags oder einer Kombination von Tags gekennzeichnet sind.
Nehmen wir an, Sie haben zwei Serverflotten, eine für Tests und eine für die Produktion. In der IAM Richtlinie, die für Nachwuchsingenieure gilt, geben Sie an, dass diese Befehle nur auf Instanzen ausführen können, die mit gekennzeichnet sindssm:resourceTag/testServer. Aber für eine kleinere Gruppe von leitenden Ingenieuren, die alle Instances zugreifen können sollten, gewähren Sie Zugriff auf Instances, die mit ssm:resourceTag/testServer und ssm:resourceTag/productionServer gekennzeichnet sind.
Bei diesem Ansatz wird jungen Technikern, die versuchen, einen Befehl auf einer Produktionsinstanz auszuführen, der Zugriff verweigert, da die ihnen zugewiesene IAM Richtlinie keinen expliziten Zugriff auf Instanzen gewährt, die mit gekennzeichnet sindssm:resourceTag/productionServer.
Weitere Informationen und Beispiele finden Sie in den folgenden Themen:
