AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

授予或拒绝更新 Session Manager 首选项的用户权限

账户首选项存储为每个 AWS 区域的 SSM 文档。必须先授予用户访问存储首选项的 SSM 文档类型所需的权限,之后他们才能更新账户中会话的账户首选项。这些权限是通过 IAM 策略授予的。

允许创建和更新首选项的管理员策略

管理员可以随时使用以下策略来创建和更新首选项。以下策略允许访问和更新 us-east-2 账户 123456789012 中的 SSM-SessionManagerRunShell 文档。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:CreateDocument", "ssm:UpdateDocument", "ssm:DeleteDocument" ], "Effect": "Allow", "Resource": [ "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell" ] } ] }

阻止更新首选项的用户策略

使用以下策略可阻止账户中的最终用户更新或覆盖任何 Session Manager 首选项。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:CreateDocument", "ssm:UpdateDocument", "ssm:DeleteDocument" ], "Effect": "Deny", "Resource": [ "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell" ] } ] }