Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Langkah 5: (Opsional) Batasi akses ke perintah dalam sesi
Anda dapat membatasi perintah yang dapat dijalankan pengguna di AWS Systems Manager Session Manager sesi dengan menggunakan dokumen Session
tipe kustom AWS Systems Manager (SSM). Dalam dokumen, Anda menentukan perintah yang dijalankan ketika pengguna memulai sesi dan parameter yang dapat diberikan pengguna ke perintah. Dokumen Session
dari schemaVersion
harus 1.0, dan sessionType
dokumen harus InteractiveCommands
. Anda kemudian dapat membuat AWS Identity and Access Management
(IAM) kebijakan yang memungkinkan pengguna mengakses hanya Session
dokumen yang Anda tentukan. Untuk informasi selengkapnya tentang penggunaan IAM kebijakan untuk membatasi akses ke perintah dalam sesi, lihatIAMcontoh kebijakan untuk perintah interaktif.
Dokumen dengan sessionType
of hanya InteractiveCommands
didukung untuk sesi yang dimulai dari AWS Command Line Interface (AWS CLI). Pengguna memberikan nama dokumen kustom sebagai nilai --document-name
parameter dan memberikan nilai parameter perintah apa pun menggunakan --parameters
opsi. Untuk informasi selengkapnya tentang menjalankan perintah interaktif, lihat Memulai sesi (perintah interaktif dan noninteraktif).
Gunakan prosedur berikut untuk membuat SSM dokumen Session
tipe kustom yang mendefinisikan perintah pengguna diizinkan untuk menjalankan.
Batasi akses ke perintah dalam sesi (konsol)
Untuk membatasi perintah yang dapat dijalankan pengguna di Session Manager sesi (konsol)
Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/
. -
Di panel navigasi, pilih Dokumen.
-
Pilih Buat perintah atau sesi.
-
Untuk Nama, masukkan nama deskriptif untuk dokumen.
-
Untuk tipe dokumen, pilih Dokumen sesi.
-
Masukkan konten dokumen Anda yang mendefinisikan perintah yang dapat dijalankan pengguna Session Manager sesi menggunakan JSON atauYAML, seperti yang ditunjukkan pada contoh berikut.
-
Pilih Buat dokumen.
Batasi akses ke perintah dalam sesi (baris perintah)
Sebelum Anda mulai
Jika Anda belum melakukannya, instal dan konfigurasikan AWS Command Line Interface (AWS CLI) atau file AWS Tools for PowerShell. Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI dan Menginstal AWS Tools for PowerShell.
Untuk membatasi perintah yang dapat dijalankan pengguna di Session Manager sesi (baris perintah)
-
Buat YAML file JSON atau untuk konten dokumen Anda yang mendefinisikan perintah yang dapat dijalankan pengguna Session Manager sesi, seperti yang ditunjukkan pada contoh berikut.
-
Jalankan perintah berikut untuk membuat SSM dokumen menggunakan konten Anda yang mendefinisikan perintah yang dapat dijalankan pengguna Session Manager sesi.
Parameter perintah interaktif dan AWS CLI
Ada berbagai cara yang dapat Anda lakukan dalam memberikan parameter perintah interaktif saat menggunakan AWS CLI. Bergantung pada sistem operasi (OS) mesin klien Anda yang Anda gunakan untuk terhubung ke node terkelola dengan AWS CLI, sintaks yang Anda berikan untuk perintah yang berisi karakter khusus atau escape mungkin berbeda. Contoh berikut menunjukkan beberapa cara berbeda Anda dapat memberikan parameter perintah saat menggunakan AWS CLI, dan cara menangani karakter khusus atau escape.
Parameter disimpan di Parameter Store dapat direferensikan dalam AWS CLI untuk parameter perintah Anda seperti yang ditunjukkan pada contoh berikut.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan sintaks singkat dengan AWS CLI untuk meneruskan parameter.
Anda juga dapat memberikan parameter JSON seperti yang ditunjukkan pada contoh berikut.
Parameter juga dapat disimpan dalam JSON file dan disediakan untuk AWS CLI seperti yang ditunjukkan pada contoh berikut. Untuk informasi lebih lanjut tentang penggunaan parameter AWS CLI dari file, lihat Memuat parameter AWS CLI dari file di Panduan Pengguna AWS Command Line Interface .
{ "command": [ "
my command
" ] }
Anda juga dapat menghasilkan AWS CLI kerangka dari file JSON input seperti yang ditunjukkan pada contoh berikut. Untuk informasi selengkapnya tentang menghasilkan AWS CLI kerangka dari file JSON input, lihat Menghasilkan AWS CLI kerangka dan parameter input dari file JSON atau YAML input di Panduan Pengguna.AWS Command Line Interface
{ "Target": "
instance-id
", "DocumentName": "MyInteractiveCommandDocument
", "Parameters": { "command": [ "my command
" ] } }
Agar karakter escape di dalam tanda kutip, Anda harus menambahkan garis miring tambahan untuk karakter escape seperti yang ditunjukkan dalam contoh berikut.
Untuk informasi tentang menggunakan tanda kutip dengan parameter perintah di AWS CLI lihat Menggunakan tanda kutip dengan string di AWS CLI pada AWS Command Line Interface Panduan Pengguna.
IAMcontoh kebijakan untuk perintah interaktif
Anda dapat membuat IAM kebijakan yang memungkinkan pengguna mengakses hanya Session
dokumen yang Anda tentukan. Ini membatasi perintah yang dapat dijalankan pengguna di Session Manager sesi untuk hanya perintah yang ditentukan dalam SSM dokumen Session
tipe kustom Anda.
- Izinkan pengguna menjalankan perintah interaktif pada satu node terkelola
-
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ssm:StartSession", "Resource":[ "arn:aws:ec2:
region
:987654321098
:instance/i-02573cafcfEXAMPLE
", "arn:aws:ssm:region
:987654321098
:document/exampleAllowedSessionDocument
" ] } ] } - Izinkan pengguna menjalankan perintah interaktif pada semua node yang dikelola
-
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ssm:StartSession", "Resource":[ "arn:aws:ec2:
us-west-2
:987654321098
:instance/*", "arn:aws:ssm:us-west-2
:987654321098
:document/exampleAllowedSessionDocument
" ] } ] } - Izinkan pengguna menjalankan beberapa perintah interaktif pada semua node yang dikelola
-
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ssm:StartSession", "Resource":[ "arn:aws:ec2:
us-west-2
:987654321098
:instance/*", "arn:aws:ssm:us-west-2
:987654321098
:document/exampleAllowedSessionDocument
", "arn:aws:ssm:us-west-2
:987654321098
:document/exampleAllowedSessionDocument2
" ] } ] }