Berbagi SSM dokumen - AWS Systems Manager
Praktik terbaik untuk SSM dokumen bersamaMemblokir berbagi SSM dokumen untuk publikBagikan SSM dokumenMemodifikasi izin untuk dokumen bersama SSMMenggunakan SSM dokumen bersama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berbagi SSM dokumen

Anda dapat berbagi dokumen AWS Systems Manager (SSM) secara pribadi atau publik dengan akun yang sama. Wilayah AWS Untuk membagikan dokumen secara pribadi, Anda mengubah izin dokumen dan mengizinkan individu tertentu untuk mengaksesnya sesuai dengan ID Akun AWS . Untuk berbagi SSM dokumen secara publik, Anda dapat mengubah izin dokumen dan menentukan. All Dokumen tidak dapat dibagikan secara publik dan pribadi secara bersamaan.

Awas

Gunakan SSM dokumen bersama hanya dari sumber tepercaya. Ketika menggunakan dokumen bersama, hati-hati meninjau konten dokumen sebelum menggunakannya sehingga Anda dapat memahami bagaimana hal itu akan mengubah konfigurasi instans Anda. Untuk informasi selengkapnya tentang praktik terbaik dokumen bersama, lihat Praktik terbaik untuk SSM dokumen bersama.

Batasan

Ketika Anda mulai bekerja dengan SSM dokumen, perhatikan batasan berikut.

  • Hanya pemilik yang dapat berbagi dokumen.

  • Anda harus berhenti berbagikan dokumen sebelum dapat menghapusnya. Untuk informasi selengkapnya, lihat Memodifikasi izin untuk dokumen bersama SSM.

  • Anda dapat berbagi dokumen dengan maksimal 1000 Akun AWS. Anda dapat meminta peningkatan pada batas ini di Pusat AWS Support. Untuk Jenis batas, pilih EC2Systems Manager dan jelaskan alasan Anda atas permintaan tersebut.

  • Anda dapat berbagi secara publik maksimal lima SSM dokumen. Anda dapat meminta peningkatan pada batas ini di Pusat AWS Support. Untuk Jenis batas, pilih EC2Systems Manager dan jelaskan alasan Anda atas permintaan tersebut.

  • Dokumen dapat dibagikan dengan akun lain Wilayah AWS hanya dalam yang sama. Berbagi lintas wilayah tidak didukung.

penting

Di Systems Manager, SSM dokumen milik Amazon adalah dokumen yang dibuat dan dikelola oleh Amazon Web Services itu sendiri. Dokumen milik Amazon menyertakan awalan seperti AWS-* pada nama dokumen. Pemilik dokumen dianggap Amazon, bukan akun pengguna tertentu di dalamnya AWS. Dokumen-dokumen ini tersedia untuk umum untuk digunakan semua orang.

Untuk informasi selengkapnya tentang kuota layanan Systems Manager, lihat Service Quotas AWS Systems Manager.

Praktik terbaik untuk SSM dokumen bersama

Tinjau pedoman berikut sebelum Anda berbagi atau menggunakan dokumen bersama.

Hapus informasi sensitif

Meninjau dokumen AWS Systems Manager (SSM) dengan hati-hati dan menghapus informasi sensitif. Misalnya, verifikasi bahwa dokumen tidak menyertakan AWS kredensials Anda. Jika Anda berbagi dokumen dengan individu tertentu, pengguna tersebut dapat melihat informasi dalam dokumen. Jika Anda berbagi dokumen secara publik, siapa pun dapat melihat informasi dalam dokumen.

Memblokir berbagi dokumen untuk publik

Tinjau semua SSM dokumen yang dibagikan secara publik di akun Anda dan konfirmasikan apakah Anda ingin terus membagikannya. Untuk berhenti berbagi dokumen dengan publik, Anda harus mengubah pengaturan izin dokumen seperti yang dijelaskan di Memodifikasi izin untuk dokumen bersama SSM bagian topik ini. Mengaktifkan setelan blokir berbagi publik tidak memengaruhi dokumen apa pun yang saat ini Anda bagikan dengan publik. Kecuali kasus penggunaan Anda mengharuskan Anda berbagi dokumen dengan publik, sebaiknya aktifkan pengaturan blokir berbagi publik untuk SSM dokumen Anda di bagian Preferensi konsol dokumen Systems Manager. Mengaktifkan pengaturan ini untuk mencegah akses yang tidak diinginkan ke SSM dokumen Anda. Pengaturan blokir berbagi publik adalah pengaturan tingkat akun yang dapat berbeda untuk masing-masing Wilayah AWS.

Membatasi Run Command tindakan menggunakan kebijakan IAM kepercayaan

Membuat pembatasan kebijakan AWS Identity and Access Management (IAM) untuk pengguna yang akan memiliki akses ke dokumen. IAMKebijakan menentukan SSM dokumen mana yang dapat dilihat pengguna di konsol Amazon Elastic Compute Cloud (AmazonEC2) atau dengan menelepon ListDocuments menggunakan AWS Command Line Interface (AWS CLI) atau AWS Tools for Windows PowerShell. Kebijakan ini juga membatasi tindakan yang dapat dilakukan pengguna dengan SSM dokumen. Anda dapat membuat kebijakan yang lebih ketat sehingga pengguna hanya dapat menggunakan dokumen tertentu. Untuk informasi selengkapnya, lihat Contoh kebijakan yang dikelola pelanggan.

Mengunakan dengan hati-hati saat menggunakan SSM dokumen bersama

Tinjau isi setiap dokumen yang dibagikan dengan Anda, terutama dokumen publik, untuk memahami perintah yang akan dijalankan di instans Anda. Dokumen dapat dengan sengaja atau tidak sengaja memiliki dampak negatif setelah dijalankan. Jika dokumen referensi jaringan eksternal, meninjau sumber eksternal sebelum Anda menggunakan dokumen.

Kirim perintah menggunakan hash dokumen

Ketika Anda berbagi dokumen, sistem menciptakan hash Sha-256 dan menetapkannya ke dokumen. Sistem ini juga menyimpan snapshot dari konten dokumen. Ketika Anda mengirim perintah menggunakan dokumen bersama, Anda dapat menentukan hash dalam perintah Anda untuk memastikan bahwa kondisi berikut ini benar:

  • Anda menjalankan perintah dari dokumen Systems Manager yang benar

  • Konten dokumen tidak berubah sejak dibagikan dengan Anda.

Jika hash tidak cocok dengan dokumen tertentu atau jika isi dari dokumen bersama telah berubah, perintah mengembalikan pengecualian InvalidDocument. Hash tidak dapat memverifikasi konten dokumen dari lokasi eksternal.

Memblokir berbagi SSM dokumen untuk publik

Sebelum Anda mulai, tinjau semua SSM dokumen yang dibagikan secara publik di Anda Akun AWS dan konfirmasikan apakah Anda ingin terus membagikannya. Untuk berhenti berbagi SSM dokumen dengan publik, Anda harus mengubah pengaturan izin dokumen seperti yang dijelaskan di Memodifikasi izin untuk dokumen bersama SSM bagian topik ini. Mengaktifkan setelan blokir berbagi publik tidak memengaruhi SSM dokumen apa pun yang saat ini Anda bagikan dengan publik. Dengan mengaktifkan pengaturan blokir berbagi publik, Anda tidak akan dapat berbagi SSM dokumen tambahan apa pun dengan publik.

Kecuali kasus penggunaan Anda mengharuskan Anda berbagi dokumen dengan publik, sebaiknya aktifkan pengaturan blokir berbagi SSM dokumen Anda untuk publik. Mengaktifkan pengaturan ini untuk mencegah akses yang tidak diinginkan ke SSM dokumen Anda. Pengaturan blokir berbagi publik adalah pengaturan tingkat akun yang dapat berbeda untuk masing-masing Wilayah AWS. Selesaikan tugas berikut ini untuk memblokir berbagi SSM dokumen yang saat ini tidak Anda bagikan.

Memblokir berbagi publik (konsol)

Untuk memblokir berbagi SSM dokumen Anda untuk publik

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Dokumen.

  3. Pilih Preferensi, lalu pilih Edit di bagian Memblokir berbagi publik.

  4. Pilih opsi kotak centang Memblokir berbagi publik, dan kemudian pilih Simpan.

Blokir berbagi publik (baris perintah)

Membuka AWS Command Line Interface (AWS CLI) atau AWS Tools for Windows PowerShell pada komputer lokal Anda dan jalankan perintah berikut untuk memblokir berbagi SSM dokumen Anda untuk publik.

Linux & macOS
aws ssm update-service-setting  \
    --setting-id /ssm/documents/console/public-sharing-permission \
    --setting-value Disable \
    --region 'The Wilayah AWS you want to block public sharing in'
Windows
aws ssm update-service-setting ^
    --setting-id /ssm/documents/console/public-sharing-permission ^
    --setting-value Disable ^
    --region "The Wilayah AWS you want to block public sharing in"
PowerShell
Update-SSMServiceSetting `
    -SettingId /ssm/documents/console/public-sharing-permission `
    -SettingValue Disable `
    –Region The Wilayah AWS you want to block public sharing in

Konfirmasikan nilai pengaturan yang diperbarui menggunakan perintah berikut.

Linux & macOS
aws ssm get-service-setting   \
    --setting-id /ssm/documents/console/public-sharing-permission \
    --region The Wilayah AWS you blocked public sharing in
Windows
aws ssm get-service-setting  ^
    --setting-id /ssm/documents/console/public-sharing-permission ^
    --region "The Wilayah AWS you blocked public sharing in"
PowerShell
Get-SSMServiceSetting `
    -SettingId /ssm/documents/console/public-sharing-permission `
    -Region The Wilayah AWS you blocked public sharing in

Membatasi akses untuk memblokir berbagi publik dengan IAM

Anda dapat membuat kebijakan AWS Identity and Access Management (IAM) yang membatasi pengguna dari memodifikasi pengaturan blokir berbagi publik. Hal ini mencegah pengguna mengizinkan akses yang tidak diinginkan ke SSM dokumen Anda.

Berikut ini adalah contoh IAM kebijakan yang mencegah pengguna memperbarui pengaturan blokir berbagi publik. Untuk menggunakan contoh ini, Anda harus mengganti contoh ID akun Amazon Web Services dengan ID akun Anda sendiri.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ssm:UpdateServiceSetting",
            "Resource": "arn:aws:ssm:*:987654321098:servicesetting/ssm/documents/console/public-sharing-permission"
        }
    ]
}

Bagikan SSM dokumen

Anda dapat berbagi dokumen AWS Systems Manager (SSM) menggunakan konsol Systems Manager. Saat berbagi dokumen dari konsol, hanya versi default dokumen yang dapat dibagikan. Anda juga dapat berbagi SSM dokumen secara terprogram dengan memanggil ModifyDocumentPermission API operasi menggunakan AWS Command Line Interface (AWS CLI), AWS Tools for Windows PowerShell, atau file. AWS SDK Sebelum Anda berbagi dokumen, dapatkan orang-orang yang ingin Anda bagikan. Akun AWS IDs Anda akan menentukan akun ini IDs ketika Anda berbagi dokumen.

Bagikan dokumen (konsol)

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Dokumen.

  3. Dalam daftar dokumen, pilih dokumen yang ingin Anda bagikan, lalu pilih Tampilkan detail. Pada tab Izin, verifikasi bahwa Anda adalah pemilik dokumen. Hanya pemilik dokumen yang dapat berbagi dokumen.

  4. Pilih Edit.

  5. Untuk berbagi perintah secara publik, pilih publik lalu pilih Simpan. Untuk berbagi perintah secara pribadi, pilih Pribadi, masukkan ID Akun AWS , pilih Tambah izin, lalu pilih Simpan.

Berbagi dokumen (baris perintah)

Prosedur berikut mengharuskan Anda untuk menentukan Wilayah AWS untuk sesi baris perintah Anda.

  1. Membuka AWS CLI atau AWS Tools for Windows PowerShell Pada komputer lokal Anda dan jalankan perintah berikut untuk menentukan kredensials Anda.

    Dengan perintah berikut, ganti region dengan informasi Anda sendiri. Untuk daftar yang didukung region nilai, lihat kolom Region di titik akhir layanan Systems Manager di. Referensi Umum Amazon Web Services

    Linux & macOS
    aws config

AWS Access Key ID: [your key]
AWS Secret Access Key: [your key]
Default region name: region
Default output format [None]:
    Windows
    aws config

AWS Access Key ID: [your key]
AWS Secret Access Key: [your key]
Default region name: region
Default output format [None]:
    PowerShell
    Set-AWSCredentials –AccessKey your key –SecretKey your key
Set-DefaultAWSRegion -Region region

  2. Gunakan perintah berikut untuk mencantumkan semua SSM dokumen yang tersedia untuk Anda. Daftar ini mencakup dokumen yang Anda buat dan dokumen yang dibagikan dengan Anda.

    Linux & macOS
    aws ssm list-documents
    Windows
    aws ssm list-documents
    PowerShell
    Get-SSMDocumentList

  3. Gunakan perintah berikut untuk mendapatkan dokumen tertentu.

    Linux & macOS
    aws ssm get-document \
    --name document name
    Windows
    aws ssm get-document ^
    --name document name
    PowerShell
    Get-SSMDocument `
    –Name document name

  4. Gunakan perintah berikut untuk mendapatkan deskripsi dokumen.

    Linux & macOS
    aws ssm describe-document \
    --name document name
    Windows
    aws ssm describe-document ^
    --name document name
    PowerShell
    Get-SSMDocumentDescription `
    –Name document name

  5. Gunakan perintah berikut untuk menampilkan izin untuk dokumen.

    Linux & macOS
    aws ssm describe-document-permission \
    --name document name \
    --permission-type Share
    Windows
    aws ssm describe-document-permission ^
    --name document name ^
    --permission-type Share
    PowerShell
    Get-SSMDocumentPermission `
    –Name document name `
    -PermissionType Share

  6. Gunakan perintah berikut untuk mengubah izin untuk dokumen dan berbagi. Anda harus menjadi pemilik dokumen untuk mengedit izin. Secara opsional, untuk dokumen yang dibagikan dengan spesifik Akun AWS IDs, Anda dapat menentukan versi dokumen yang ingin Anda bagikan menggunakan --shared-document-version parameter. Jika Anda tidak menentukan versinya, sistem membagikan Default versi dokumen. Jika Anda membagikan dokumen secara publik (denganall), semua versi dokumen yang ditentukan akan dibagikan secara default. Contoh perintah berikut secara pribadi berbagi dokumen dengan individu tertentu, berdasarkan Akun AWS ID.

    Linux & macOS
    aws ssm modify-document-permission \
    --name document name \
    --permission-type Share \
    --account-ids-to-add Akun AWS ID
    Windows
    aws ssm modify-document-permission ^
    --name document name ^
    --permission-type Share ^
    --account-ids-to-add Akun AWS ID
    PowerShell
    Edit-SSMDocumentPermission `
    –Name document name `
    -PermissionType Share `
    -AccountIdsToAdd Akun AWS ID

  7. Gunakan perintah berikut untuk berbagi dokumen secara publik.

    catatan

    Jika Anda membagikan dokumen secara publik (denganall), semua versi dokumen yang ditentukan akan dibagikan secara default.

    Linux & macOS
    aws ssm modify-document-permission \
    --name document name \
    --permission-type Share \
    --account-ids-to-add 'all'
    Windows
    aws ssm modify-document-permission ^
    --name document name ^
    --permission-type Share ^
    --account-ids-to-add "all"
    PowerShell
    Edit-SSMDocumentPermission `
    -Name document name `
    -PermissionType Share `
    -AccountIdsToAdd ('all')

Memodifikasi izin untuk dokumen bersama SSM

Jika Anda berbagi perintah, pengguna dapat melihat dan menggunakan perintah itu sampai Anda menghapus akses ke dokumen AWS Systems Manager (SSM) atau menghapus SSM dokumen. Namun, Anda tidak dapat menghapus dokumen selama dokumen dibagikan. Anda harus berhenti membagikan terlebih dahulu dan kemudian menghapusnya.

Berhenti membagikan dokumen (konsol)

Berhenti membagikan dokumen

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Dokumen.

  3. Dalam daftar dokumen, pilih dokumen yang ingin Anda berhenti membagikan, lalu pilih Detail. Pada bagian Izin, verifikasi bahwa Anda adalah pemilik dokumen. Hanya pemilik dokumen yang dapat berhenti berbagi dokumen.

  4. Pilih Edit.

  5. Pilih X untuk menghapus Akun AWS ID yang seharusnya tidak lagi memiliki akses ke perintah, dan kemudian pilih Simpan.

Berhenti berbagi dokumen (baris perintah)

Membuka AWS CLI atau AWS Tools for Windows PowerShell Pada komputer lokal Anda dan jalankan perintah berikut untuk berhenti berbagi perintah.

Linux & macOS
aws ssm modify-document-permission \
    --name document name \
    --permission-type Share \
    --account-ids-to-remove 'Akun AWS ID'
Windows
aws ssm modify-document-permission ^
    --name document name ^
    --permission-type Share ^
    --account-ids-to-remove "Akun AWS ID"
PowerShell
Edit-SSMDocumentPermission `
    -Name document name `
    -PermissionType Share `
    –AccountIdsToRemove Akun AWS ID

Menggunakan SSM dokumen bersama

Ketika Anda berbagi dokumen AWS Systems Manager (SSM), sistem menghasilkan Amazon Resource Name (ARN) dan memberikan ke perintah. Jika Anda memilih dan menjalankan dokumen bersama dari konsol Systems Manager, Anda tidak melihat dokumen bersamaARN. Namun, jika Anda ingin menjalankan SSM dokumen bersama menggunakan metode selain konsol Systems Manager, Anda harus menentukan lengkap ARN dokumen untuk parameter DocumentName permintaan. Anda akan ditampilkan penuh ARN untuk SSM dokumen ketika Anda menjalankan perintah untuk daftar dokumen.

catatan

Anda tidak diharuskan ARNs untuk menentukan dokumen AWS publik (dokumen yang dimulaiAWS-*) atau dokumen yang Anda miliki.

Menggunakan SSM dokumen bersama (baris perintah)

Untuk mencantumkan semua SSM dokumen publik

Linux & macOS
aws ssm list-documents \
    --filters Key=Owner,Values=Public
Windows
aws ssm list-documents ^
    --filters Key=Owner,Values=Public
PowerShell
$filter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
$filter.Key = "Owner"
$filter.Values = "Public"

Get-SSMDocumentList `
    -Filters @($filter)

Untuk mencantumkan SSM dokumen pribadi yang telah dibagikan kepada Anda

Linux & macOS
aws ssm list-documents \
    --filters Key=Owner,Values=Private
Windows
aws ssm list-documents ^
    --filters Key=Owner,Values=Private
PowerShell
$filter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
$filter.Key = "Owner"
$filter.Values = "Private"

Get-SSMDocumentList `
    -Filters @($filter)

Untuk mencantumkan semua SSM dokumen yang tersedia untuk Anda

Linux & macOS
aws ssm list-documents
Windows
aws ssm list-documents
PowerShell
Get-SSMDocumentList

Untuk mendapatkan informasi tentang SSM dokumen yang telah dibagikan kepada Anda

Linux & macOS
aws ssm describe-document \
    --name arn:aws:ssm:us-east-2:12345678912:document/documentName
Windows
aws ssm describe-document ^
    --name arn:aws:ssm:us-east-2:12345678912:document/documentName
PowerShell
Get-SSMDocumentDescription `
    –Name arn:aws:ssm:us-east-2:12345678912:document/documentName

Untuk menjalankan SSM dokumen bersama

Linux & macOS
aws ssm send-command \
    --document-name arn:aws:ssm:us-east-2:12345678912:document/documentName \
    --instance-ids ID
Windows
aws ssm send-command ^
    --document-name arn:aws:ssm:us-east-2:12345678912:document/documentName ^
    --instance-ids ID
PowerShell
Send-SSMCommand `
    –DocumentName arn:aws:ssm:us-east-2:12345678912:document/documentName `
    –InstanceIds ID