授予或拒绝更新会话管理器首选项的用户权限 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予或拒绝更新会话管理器首选项的用户权限

账户首选项存储为Amazon Web Services Systems Manager(SSM) 文档Amazon Web Services 区域。必须先授予用户访问存储首选项的 SSM 文档类型所需的权限,之后他们才能更新账户中会话的账户首选项。这些权限通过 AWS Identity and Access Management (IAM) 策略授予。

允许创建和更新首选项的管理员策略

管理员可以随时使用以下策略来创建和更新首选项。以下策略授予访问和更新SSM-SessionManagerRunShell在美国东部 2 账户中的文档。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:CreateDocument", "ssm:GetDocument", "ssm:UpdateDocument", "ssm:DeleteDocument" ], "Effect": "Allow", "Resource": [ "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell" ] } ] }

阻止更新首选项的用户策略

使用以下策略可阻止账户中的最终用户更新或覆盖任何会话管理器首选项。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ssm:CreateDocument", "ssm:GetDocument", "ssm:UpdateDocument", "ssm:DeleteDocument" ], "Effect": "Deny", "Resource": [ "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell" ] } ] }