Configurazione di Run Command - AWS Systems Manager
Limitazione dell'accesso Run Command in base ai tag

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di Run Command

Prima di poter gestire i nodi utilizzandoRun Command, una funzionalità di AWS Systems Manager, configura una politica AWS Identity and Access Management (IAM) per qualsiasi utente che eseguirà i comandi. Se utilizzi chiavi di condizione globali per l'SendCommandazione nelle tue IAM politiche, devi includere la chiave di aws:ViaAWSService condizione e impostare il valore booleano su. true Di seguito è riportato un esempio.

{
"Version": "2012-10-17",
"Statement": [
    {
    "Effect": "Allow",
    "Action": ["ssm:SendCommand"],
    "Resource": ["arn:aws:ssm:region:account:document/YourDocument"],
    "Condition": {
        "StringEquals": {
        "aws:SourceVpce": ["vpce-example1234"]
        }
    }
    },
    {
    "Effect": "Allow",
    "Action": ["ssm:Sendcommand"],
    "Resource": ["arn:aws:ssm:region:account:document/YourDocument"],
    "Condition": {
        "Bool": {"aws:ViaAWSService": "true"}
        }
    }
  ]
}

È necessario anche configurare i nodi per Systems Manager. Per ulteriori informazioni, consulta Configurazione AWS Systems Manager.

Ti consigliamo di completare le seguenti attività di configurazione opzionali per ridurre al minimo il livello di sicurezza e la day-to-day gestione dei nodi gestiti.

Monitora l'esecuzione dei comandi con Amazon EventBridge

Puoi utilizzarlo EventBridge per registrare le modifiche allo stato di esecuzione dei comandi. Puoi scegliere di creare una regola che venga eseguita ogni volta che si verifica una transizione di stato o quando si verifica una transizione verso uno o più stati di interesse. È inoltre possibile specificare Run Command come azione target quando si verifica un EventBridge evento. Per ulteriori informazioni, consulta Configurazione EventBridge per gli eventi di Systems Manager.

Monitora l'esecuzione dei comandi utilizzando Amazon Logs CloudWatch

Puoi Run Command configurare l'invio periodico di tutti gli output dei comandi e i log degli errori a un gruppo di CloudWatch log Amazon. Puoi monitorare i log di output in tempo quasi reale, cercare locuzioni, valori o modelli specifici e creare allarmi in base alla ricerca. Per ulteriori informazioni, consulta Configurazione di Amazon CloudWatch Logs per Run Command.

Restrict Run Command accesso a nodi gestiti specifici

Puoi limitare la capacità di un utente di eseguire comandi sui nodi gestiti utilizzando AWS Identity and Access Management (IAM). In particolare, è possibile creare una IAM policy a condizione che l'utente possa eseguire comandi solo su nodi gestiti etichettati con tag specifici. Per ulteriori informazioni, consulta Limitazione dell'accesso Run Command in base ai tag.

Limitazione dell'accesso Run Command in base ai tag

Questa sezione descrive come limitare la capacità di un utente di eseguire comandi sui nodi gestiti specificando una condizione di tag in una IAM policy. I nodi gestiti includono EC2 istanze Amazon e non EC2 nodi in un ambiente ibrido e multicloud configurato per Systems Manager. Sebbene le informazioni non siano presentate in modo esplicito, puoi anche limitare l'accesso ai dispositivi principali gestiti. AWS IoT Greengrass Per iniziare, devi tagging dei dispositivi AWS IoT Greengrass . Per ulteriori informazioni, consulta Applicazione di tag alle risorse di AWS IoT Greengrass Version 2 nella Guida per gli sviluppatori di AWS IoT Greengrass Version 2 .

È possibile limitare l'esecuzione dei comandi a nodi gestiti specifici creando una IAM politica che includa una condizione in base alla quale l'utente può eseguire comandi solo su nodi con tag specifici. Nell'esempio seguente, l'utente può utilizzare Run Command (Effect: Allow, Action: ssm:SendCommand) utilizzando any SSM document (Resource: arn:aws:ssm:*:*:document/*) su qualsiasi node (Resource: arn:aws:ec2:*:*:instance/*) a condizione che il nodo sia un Finance WebServer (ssm:resourceTag/Finance: WebServer). Se l'utente invia un comando a un nodo privo di tag o con un tag diverso da Finance: WebServer, i risultati dell'esecuzione mostrano AccessDenied.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":[
            "arn:aws:ssm:*:*:document/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:instance/*"
         ],
         "Condition":{
            "StringLike":{
               "ssm:resourceTag/Finance":[
                  "WebServers"
               ]
            }
         }
      }
   ]
}

È possibile creare IAM politiche che consentano a un utente di eseguire comandi su nodi gestiti etichettati con più tag. La policy seguente consente all'utente di eseguire comandi su nodi gestiti che dispongono di due tag. Se l'utente invia un comando a un nodo non contrassegnato con questi due tag, i risultati dell'esecuzione mostrano AccessDenied.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "ssm:resourceTag/tag_key1":[
                  "tag_value1"
               ],
               "ssm:resourceTag/tag_key2":[
                  "tag_value2"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":[
            "arn:aws:ssm:us-west-1::document/AWS-*",
            "arn:aws:ssm:us-east-2::document/AWS-*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:UpdateInstanceInformation",
            "ssm:ListCommands",
            "ssm:ListCommandInvocations",
            "ssm:GetDocument"
         ],
         "Resource":"*"
      }
   ]
}

È inoltre possibile creare IAM politiche che consentano a un utente di eseguire comandi su più gruppi di nodi gestiti con tag. La policy di esempio seguente consente all'utente di eseguire comandi su uno o su entrambi i gruppi di nodi con tag.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "ssm:resourceTag/tag_key1":[
                  "tag_value1"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "ssm:resourceTag/tag_key2":[
                  "tag_value2"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:SendCommand"
         ],
         "Resource":[
            "arn:aws:ssm:us-west-1::document/AWS-*",
            "arn:aws:ssm:us-east-2::document/AWS-*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ssm:UpdateInstanceInformation",
            "ssm:ListCommands",
            "ssm:ListCommandInvocations",
            "ssm:GetDocument"
         ],
         "Resource":"*"
      }
   ]
}

Per ulteriori informazioni sulla creazione IAM di politiche, consulta Politiche gestite e politiche in linea nella Guida per l'IAMutente. Per ulteriori informazioni sull'aggiunta di tag ai nodi gestiti, consulta Editor di tag nella AWS Resource Groups Guida per l'utente di.