Amazon EC2 Systems Manager
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

共享 Systems Manager 文档的共享和使用指南

在共享或使用共享文档之前,请阅读以下指南。

删除敏感信息

请仔细审查您的 Systems Manager 文档并删除任何敏感信息。例如,请确保文档不包含您的 AWS 凭证。如果您与特定个人共享文档,这些用户可查看文档中的信息。如果您公开共享文档,则任何人都可查看文档中的信息。

使用 IAM 用户信任策略限制 Run Command 操作

为将有权访问文档的用户创建限制性 AWS Identity and Access Management (IAM) 用户策略。此 IAM 策略确定用户可在 Amazon EC2 控制台中查看的 Systems Manager 文档;或通过使用 AWS CLI 或适用于 Windows PowerShell 的 AWS 工具调用 ListDocuments 查看的这些文档。该策略还限制用户可使用 Systems Manager 文档执行的操作。您可创建限制性策略,以便用户只能使用特定文档。有关更多信息,请参阅 配置对 Systems Manager 的访问权限

在使用共享文档之前审查其内容

审查与您共享的每个文档 (特别是公开文档) 的内容,以了解将在您的实例上执行的命令。一个文档在运行后可能会有意或无意具有负面影响。如果文档引用外部网络,请在使用文档前审查外部源。

使用文档哈希发送命令

在共享文档时,系统将创建 Sha-256 哈希并将其分配给文档。系统还将保存文档内容的快照。使用共享文档发送命令时,您可在命令中指定哈希以确保下列条件为 true:

  • 您正在从正确的 Systems Manager 文档执行命令

  • 在与您共享之后文档内容未更改。

如果哈希与指定文档不匹配,或者共享文档的内容已更改,则命令将返回 InvalidDocument 异常。请注意:哈希无法验证来自外部位置的文档内容。