Partage de documents SSM - AWS Systems Manager
Bonnes pratiques pour les documents SSM partagésBloquer le partage public de documents SSMPartager un document SSMModification des autorisations d'un document SSM partagéUtilisation de documents SSM partagés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partage de documents SSM

Vous pouvez partager AWS Systems Manager (SSM) des documents en privé ou en public avec les comptes correspondants. Région AWS Pour partager un document de façon privée, modifiez les autorisations du document et autorisez des personnes spécifiques à y accéder en fonction de leur ID Compte AWS . Pour partager un document SSM publiquement, modifiez les autorisations du document et spécifiez All. Les documents ne peuvent pas être partagés simultanément publiquement et en privé.

Avertissement

N'utilisez que des documents SSM partagés provenant de sources fiables. Lorsque vous utilisez un document partagé, étudiez soigneusement son contenu avant de l'utiliser afin de comprendre comment il va modifier la configuration de votre instance. Pour plus d'informations sur les bonnes pratiques en matière de documents partagés, consultez Bonnes pratiques pour les documents SSM partagés.

Limites

Lorsque vous commencez à utiliser les documents SSM, vous devez connaître les limitations suivantes.

  • Seul le propriétaire peut partager un document.

  • Vous devez arrêter le partage d'un document pour pouvoir le supprimer. Pour de plus amples informations, veuillez consulter Modification des autorisations d'un document SSM partagé.

  • Vous pouvez partager un document avec un maximum de 1 000 Comptes AWS. Vous pouvez demander que cette limite soit augmentée dans le Centre Support. Pour le type de limite, choisissez EC2 Systems Manager et décrivez le motif de votre demande.

  • Vous pouvez partager publiquement cinq documents SSM au maximum. Vous pouvez demander que cette limite soit augmentée dans le Centre Support. Pour le type de limite, choisissez EC2 Systems Manager et décrivez le motif de votre demande.

  • Les documents ne peuvent être partagés avec d'autres comptes Région AWS que dans le même compte. Le partage inter-régions n'est pas pris en charge.

Important

Dans Systems Manager, un document SSM appartenant à Amazon est un document créé et géré par Amazon Web Services lui-même. Les documents appartenant à Amazon comprennent un préfixe tel que AWS-* dans le nom du document. Le propriétaire du document est considéré comme Amazon, et non comme un compte utilisateur spécifique au sein de celui-ci AWS. Ces documents sont accessibles à tous.

Pour plus d'informations sur les quotas de service Systems Manager, consultez Service Quotas AWS Systems Manager.

Bonnes pratiques pour les documents SSM partagés

Passez en revue les consignes suivantes avant de partager un document ou d'utiliser un document partagé.

Supprimer les informations sensibles

Vérifiez attentivement votre document AWS Systems Manager (SSM) et supprimez toutes les informations sensibles. Par exemple, vérifiez que le document ne contient pas vos AWS informations d'identification. Si vous partagez un document avec des personnes spécifiques, ces personnes peuvent voir les informations contenues dans le document. Si vous partagez un document publiquement, tout le monde peut voir les informations contenues dans le document.

Bloquer le partage public de documents

Examinez tous les documents SSM partagés publiquement dans votre compte et confirmez si vous voulez continuer à les partager. Pour arrêter de partager un document avec le public, vous devez modifier le paramètre d’autorisation du document comme décrit dans la section Modification des autorisations d'un document SSM partagé de cette rubrique. L’activation du paramètre de blocage du partage public n’affecte pas les documents que vous partagez actuellement avec le public. À moins que votre cas d’utilisation n’exige que vous partagiez des documents avec le public, nous vous recommandons d’activer le paramètre de blocage du partage public pour vos documents SSM dans la section Préférences de la console Documents Systems Manager. L'activation de ce paramètre empêche l'accès non souhaité à vos documents SSM. Le paramètre de blocage du partage public est un paramètre de niveau compte qui peut varier selon la Région AWS.

Restrict Run Command actions utilisant une politique de confiance IAM

Créez une politique restrictive AWS Identity and Access Management (IAM) pour les utilisateurs qui auront accès au document. La politique IAM détermine les documents SSM qu'un utilisateur peut voir dans la console Amazon Elastic Compute Cloud (Amazon EC2) ou en appelant à ListDocuments l'aide du AWS Command Line Interface (AWS CLI) ou. AWS Tools for Windows PowerShell La politique limite également les actions que l'utilisateur peut effectuer avec un document SSM. Vous pouvez créer une politique restrictive pour qu'un utilisateur ne puisse utiliser que des documents spécifiques. Pour de plus amples informations, veuillez consulter Exemples de politiques gérées par le client.

Faites preuve de prudence lors de l'utilisation de documents SSM partagés

Étudiez le contenu de chaque document partagé avec vous, notamment des documents publics, afin de comprendre les commandes qui seront exécutées sur vos instances. Un document pourrait avoir, volontairement ou non, des répercussions négatives après son exécution. Si le document fait référence à un réseau externe, étudiez la source externe avant d'utiliser ce document.

Envoyer les commandes en utilisant le hachage de document

Lorsque vous partagez un document, le système crée un hachage Sha-256 et l'affecte au document. Le système enregistre également un instantané du contenu du document. Lorsque vous envoyez une commande à l'aide d'un document partagé, vous pouvez spécifier le hachage dans votre commande afin de garantir le respect des conditions suivantes :

  • Vous exécutez la commande à partir du document Systems Manager approprié

  • Le contenu du document n'a pas changé depuis qu'il a été partagé avec vous.

Si le hachage ne correspond pas au document spécifié ou si le contenu du document partagé a changé, la commande renvoie une exception InvalidDocument. Le hachage ne peut pas vérifier le contenu du document à partir d'emplacements externes.

Bloquer le partage public de documents SSM

Avant de commencer, examinez tous les documents SSM partagés publiquement dans votre Compte AWS et confirmez si vous voulez continuer à les partager. Pour arrêter de partager un document SSM avec le public, vous devez modifier le paramètre d’autorisation du document comme décrit dans la section Modification des autorisations d'un document SSM partagé de cette rubrique. L’activation du paramètre de blocage du partage public n’affecte pas les documents SSM que vous partagez actuellement avec le public. Lorsque le paramètre de blocage du partage public est activé, vous ne pouvez plus partager de documents SSM avec le public.

À moins que votre cas d’utilisation n’exige que vous partagiez des documents avec le public, nous vous recommandons d’activer le paramètre de blocage du partage public pour vos documents SSM. L'activation de ce paramètre empêche l'accès non souhaité à vos documents SSM. Le paramètre de blocage du partage public est un paramètre au niveau du compte qui peut varier d'un compte à l'autre Région AWS. Effectuez les tâches suivantes pour bloquer le partage public de tous les documents SSM que vous ne partagez pas actuellement.

Bloquer le partage public (console)

Pour bloquer le partage public de vos documents SSM

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, cliquez sur Documents.

  3. Sélectionnez Preferences (Préférences), puis Edit (Modifier) dans la section Block public sharing (Bloquer le partage public).

  4. Cochez la case Block public sharing (Bloquer le partage public), puis sélectionnez Save (Enregistrer).

Bloquer le partage public (ligne de commande)

Ouvrez le AWS Command Line Interface (AWS CLI) ou AWS Tools for Windows PowerShell sur votre ordinateur local et exécutez la commande suivante pour bloquer le partage public de vos documents SSM.

Linux & macOS
aws ssm update-service-setting  \
    --setting-id /ssm/documents/console/public-sharing-permission \
    --setting-value Disable \
    --region 'The Région AWS you want to block public sharing in'
Windows
aws ssm update-service-setting ^
    --setting-id /ssm/documents/console/public-sharing-permission ^
    --setting-value Disable ^
    --region "The Région AWS you want to block public sharing in"
PowerShell
Update-SSMServiceSetting `
    -SettingId /ssm/documents/console/public-sharing-permission `
    -SettingValue Disable `
    –Region The Région AWS you want to block public sharing in

Confirmez que la valeur du paramètre a été mise à jour en utilisant la commande suivante.

Linux & macOS
aws ssm get-service-setting   \
    --setting-id /ssm/documents/console/public-sharing-permission \
    --region The Région AWS you blocked public sharing in
Windows
aws ssm get-service-setting  ^
    --setting-id /ssm/documents/console/public-sharing-permission ^
    --region "The Région AWS you blocked public sharing in"
PowerShell
Get-SSMServiceSetting `
    -SettingId /ssm/documents/console/public-sharing-permission `
    -Region The Région AWS you blocked public sharing in

Restreindre l'accès pour bloquer le partage public avec IAM

Vous pouvez créer des politiques AWS Identity and Access Management (IAM) qui empêchent les utilisateurs de modifier le paramètre de blocage du partage public. Cela empêche les utilisateurs d'autoriser l'accès non souhaité à vos documents SSM.

Voici un exemple de politique IAM qui empêche les utilisateurs de mettre à jour le paramètre de blocage du partage public. Pour utiliser cet exemple, vous devez remplacer l'exemple d'ID de compte Amazon Web Services par votre propre ID de compte.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ssm:UpdateServiceSetting",
            "Resource": "arn:aws:ssm:*:987654321098:servicesetting/ssm/documents/console/public-sharing-permission"
        }
    ]
}

Partager un document SSM

Vous pouvez partager des documents AWS Systems Manager (SSM) à l'aide de la console Systems Manager. Lors du partage de documents depuis la console, seule la version par défaut du document peut être partagée. Vous pouvez également partager des documents SSM par programmation en appelant l'opération d'ModifyDocumentPermissionAPI à l'aide du AWS Command Line Interface (AWS CLI) ou du AWS Tools for Windows PowerShell SDK. AWS Avant de partager un document, identifiez Compte AWS IDs les personnes avec lesquelles vous souhaitez le partager. Vous spécifierez ces comptes IDs lorsque vous partagerez le document.

Partager un document (console)

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, cliquez sur Documents.

  3. Dans la liste des documents, sélectionnez le document que vous souhaitez partager, puis sélectionnez Afficher les détails. Sur l'onglet Permissions (Autorisations), vérifiez que vous êtes le propriétaire du document. Seul le propriétaire d'un document peut le partager.

  4. Sélectionnez Edit (Modifier).

  5. Pour partager la commande publiquement, sélectionnez Public, puis Save. Pour partager la commande de façon privée, sélectionnez Private (Privé), saisissez l'ID de compte Compte AWS , puis sélectionnez Add permission (Ajouter une autorisation et Save (Enregistrer).

Partager un document (ligne de commande)

La procédure suivante nécessite que vous spécifiiez un Région AWS pour votre session de ligne de commande.

  1. Ouvrez le AWS CLI ou AWS Tools for Windows PowerShell sur votre ordinateur local et exécutez la commande suivante pour spécifier vos informations d'identification.

    Dans la commande suivante, remplacez region par vos propres informations. Pour obtenir la liste des region valeurs prises en charge, consultez la colonne Région dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

    Linux & macOS
    aws config

AWS Access Key ID: [your key]
AWS Secret Access Key: [your key]
Default region name: region
Default output format [None]:
    Windows
    aws config

AWS Access Key ID: [your key]
AWS Secret Access Key: [your key]
Default region name: region
Default output format [None]:
    PowerShell
    Set-AWSCredentials –AccessKey your key –SecretKey your key
Set-DefaultAWSRegion -Region region

  2. Utilisez la commande suivante pour répertorier tous les documents SSM qui sont disponibles. La liste inclut les documents que vous avez créés et ceux qui ont été partagés avec vous.

    Linux & macOS
    aws ssm list-documents
    Windows
    aws ssm list-documents
    PowerShell
    Get-SSMDocumentList

  3. Utilisez la commande suivante pour obtenir un document spécifique.

    Linux & macOS
    aws ssm get-document \
    --name document name
    Windows
    aws ssm get-document ^
    --name document name
    PowerShell
    Get-SSMDocument `
    –Name document name

  4. Utilisez la commande suivante pour obtenir la description du document.

    Linux & macOS
    aws ssm describe-document \
    --name document name
    Windows
    aws ssm describe-document ^
    --name document name
    PowerShell
    Get-SSMDocumentDescription `
    –Name document name

  5. Utilisez la commande suivante pour afficher les autorisations définies pour le document.

    Linux & macOS
    aws ssm describe-document-permission \
    --name document name \
    --permission-type Share
    Windows
    aws ssm describe-document-permission ^
    --name document name ^
    --permission-type Share
    PowerShell
    Get-SSMDocumentPermission `
    –Name document name `
    -PermissionType Share

  6. Utilisez la commande suivante pour modifier les autorisations définies pour le document et partager celui-ci. Vous devez être le propriétaire du document pour modifier les autorisations. Facultativement, pour les documents partagés avec des personnes spécifiques Compte AWS IDs, vous pouvez spécifier une version du document que vous souhaitez partager à l'aide du --shared-document-version paramètre. Si vous ne spécifiez pas de version, le système partage la version Default du document. Si vous partagez un document publiquement (avec all), toutes les versions du document spécifié sont partagées par défaut. L'exemple de commande suivant partage le document en privé avec une personne spécifique, en fonction de son Compte AWS identifiant.

    Linux & macOS
    aws ssm modify-document-permission \
    --name document name \
    --permission-type Share \
    --account-ids-to-add Compte AWS ID
    Windows
    aws ssm modify-document-permission ^
    --name document name ^
    --permission-type Share ^
    --account-ids-to-add Compte AWS ID
    PowerShell
    Edit-SSMDocumentPermission `
    –Name document name `
    -PermissionType Share `
    -AccountIdsToAdd Compte AWS ID

  7. Utilisez la commande suivante pour partager un document publiquement.

    Note

    Si vous partagez un document publiquement (avec all), toutes les versions du document spécifié sont partagées par défaut.

    Linux & macOS
    aws ssm modify-document-permission \
    --name document name \
    --permission-type Share \
    --account-ids-to-add 'all'
    Windows
    aws ssm modify-document-permission ^
    --name document name ^
    --permission-type Share ^
    --account-ids-to-add "all"
    PowerShell
    Edit-SSMDocumentPermission `
    -Name document name `
    -PermissionType Share `
    -AccountIdsToAdd ('all')

Modification des autorisations d'un document SSM partagé

Si vous partagez une commande, les utilisateurs peuvent afficher et utiliser cette commande jusqu'à ce que vous supprimiez l'accès au document AWS Systems Manager (SSM) ou que vous supprimiez le document SSM. Cependant, vous ne pouvez pas supprimer un document tant qu'il est partagé. Vous devez d'abord arrêter le partage, puis supprimer le document.

Arrêt du partage d'un document (console)

Arrêt du partage d'un document

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, cliquez sur Documents.

  3. Dans la liste des documents, sélectionnez le document que vous souhaitez arrêter de partager, puis sélectionnez Détails. Dans la section Autorisations, vérifiez que vous êtes le propriétaire du document. Seul le propriétaire d'un document peut arrêter le partage de celui-ci.

  4. Sélectionnez Edit (Modifier).

  5. Choisissez X pour supprimer l' Compte AWS identifiant qui ne devrait plus avoir accès à la commande, puis cliquez sur Enregistrer.

Arrêter le partage d'un document (ligne de commande)

Ouvrez le AWS CLI ou AWS Tools for Windows PowerShell sur votre ordinateur local et exécutez la commande suivante pour arrêter de partager une commande.

Linux & macOS
aws ssm modify-document-permission \
    --name document name \
    --permission-type Share \
    --account-ids-to-remove 'Compte AWS ID'
Windows
aws ssm modify-document-permission ^
    --name document name ^
    --permission-type Share ^
    --account-ids-to-remove "Compte AWS ID"
PowerShell
Edit-SSMDocumentPermission `
    -Name document name `
    -PermissionType Share `
    –AccountIdsToRemove Compte AWS ID

Utilisation de documents SSM partagés

Lorsque vous partagez un document AWS Systems Manager (SSM), le système génère un Amazon Resource Name (ARN) et l'attribue à la commande. Si vous sélectionnez et exécutez un document partagé à partir de la console Systems Manager, vous ne voyez pas l'ARN. Toutefois, si vous voulez exécuter un document SSM partagé à l'aide d'une méthode autre que la console Systems Manager, vous devez spécifier l'ARN complet du document pour le DocumentName paramètre de la requête. L'ARN complet d'un document SSM s'affiche lorsque vous exécutez la commande permettant de répertorier les documents.

Note

Vous n'êtes pas obligé de spécifier ARNs les documents AWS publics (documents commençant parAWS-*) ou les documents dont vous êtes le propriétaire.

Utiliser un document SSM partagé (ligne de commande)

Pour répertorier tous les documents SSM publics

Linux & macOS
aws ssm list-documents \
    --filters Key=Owner,Values=Public
Windows
aws ssm list-documents ^
    --filters Key=Owner,Values=Public
PowerShell
$filter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
$filter.Key = "Owner"
$filter.Values = "Public"

Get-SSMDocumentList `
    -Filters @($filter)

Pour répertorier les documents SSM privés qui ont été partagés avec vous

Linux & macOS
aws ssm list-documents \
    --filters Key=Owner,Values=Private
Windows
aws ssm list-documents ^
    --filters Key=Owner,Values=Private
PowerShell
$filter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
$filter.Key = "Owner"
$filter.Values = "Private"

Get-SSMDocumentList `
    -Filters @($filter)

Pour répertorier tous les documents SSM disponibles

Linux & macOS
aws ssm list-documents
Windows
aws ssm list-documents
PowerShell
Get-SSMDocumentList

Pour obtenir des informations sur un document SSM qui a été partagé avec vous

Linux & macOS
aws ssm describe-document \
    --name arn:aws:ssm:us-east-2:12345678912:document/documentName
Windows
aws ssm describe-document ^
    --name arn:aws:ssm:us-east-2:12345678912:document/documentName
PowerShell
Get-SSMDocumentDescription `
    –Name arn:aws:ssm:us-east-2:12345678912:document/documentName

Pour exécuter un document SSM partagé

Linux & macOS
aws ssm send-command \
    --document-name arn:aws:ssm:us-east-2:12345678912:document/documentName \
    --instance-ids ID
Windows
aws ssm send-command ^
    --document-name arn:aws:ssm:us-east-2:12345678912:document/documentName ^
    --instance-ids ID
PowerShell
Send-SSMCommand `
    –DocumentName arn:aws:ssm:us-east-2:12345678912:document/documentName `
    –InstanceIds ID