Membatasi akses ke perintah tingkat root melalui SSM Agent - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membatasi akses ke perintah tingkat root melalui SSM Agent

AWS Systems Manager Agent (SSM Agent) berjalan pada instans Amazon Elastic Compute Cloud (AmazonEC2) dan jenis mesin lainnya di lingkungan hybrid dan multicloud menggunakan izin root (Linux) atau izin (). SYSTEM Windows Server Karena ini adalah tingkat izin akses sistem tertinggi, entitas tepercaya apa pun yang telah diberikan izin untuk mengirim perintah SSM Agent memiliki root atau SYSTEM izin. (Dalam AWS, entitas tepercaya yang dapat melakukan tindakan dan mengakses sumber daya AWS disebut prinsipal. Prinsipal dapat berupa Pengguna root akun AWS, pengguna, atau peran.)

Tingkat akses ini diperlukan bagi prinsipal untuk mengirim perintah Systems Manager resmiSSM Agent, tetapi juga memungkinkan prinsipal untuk menjalankan kode berbahaya dengan mengeksploitasi potensi kerentanan di dalamnya. SSM Agent

Secara khusus, izin untuk menjalankan perintah SendCommanddan StartSessionharus dibatasi dengan hati-hati. Langkah pertama yang baik adalah memberikan izin untuk setiap perintah untuk hanya memilih principal di organisasi Anda. Namun, kami menyarankan untuk memperketat postur keamanan Anda lebih jauh dengan membatasi node terkelola mana yang dapat menjalankan perintah ini. Ini dapat dilakukan dalam IAM kebijakan yang diberikan kepada kepala sekolah. Dalam IAM kebijakan, Anda dapat menyertakan kondisi yang membatasi pengguna untuk menjalankan perintah hanya pada node terkelola yang ditandai dengan tag tertentu atau kombinasi tag.

Misalnya, Anda memiliki dua armada server, satu untuk pengujian, satu untuk produksi. Dalam IAM kebijakan yang diterapkan pada insinyur junior, Anda menentukan bahwa mereka dapat menjalankan perintah hanya pada instance yang ditandai. ssm:resourceTag/testServer Namun, untuk grup insinyur utama yang lebih kecil, yang seharusnya memiliki akses ke semua instans, Anda memberikan akses ke instans yang ditandai dengan ssm:resourceTag/testServer dan ssm:resourceTag/productionServer.

Dengan menggunakan pendekatan ini, jika insinyur junior mencoba menjalankan perintah pada instance produksi, mereka akan ditolak aksesnya karena IAM kebijakan yang ditetapkan tidak memberikan akses eksplisit ke instance yang ditandai. ssm:resourceTag/productionServer

Untuk informasi selengkapnya dan contoh, lihat topik berikut ini: