授予或拒绝更新 Session Manager 首选项的用户权限 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予或拒绝更新 Session Manager 首选项的用户权限

账户首选项存储为每个 Amazon Web Services 区域的 Amazon Systems Manager (SSM) 文档。必须先授予用户访问存储首选项的 SSM 文档类型所需的权限,之后他们才能更新账户中会话的账户首选项。这些权限是通过 Amazon Identity and Access Management (IAM) 策略授予的。

允许创建和更新首选项的管理员策略

管理员可以随时使用以下策略来创建和更新首选项。以下策略允许访问和更新 us-east-2 账户 123456789012 中的 SSM-SessionManagerRunShell 文档。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ssm:CreateDocument",
                "ssm:GetDocument",
                "ssm:UpdateDocument",
                "ssm:DeleteDocument"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}
阻止更新首选项的用户策略

使用以下策略可阻止账户中的最终用户更新或覆盖任何 Session Manager 首选项。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ssm:CreateDocument",
                "ssm:GetDocument",
                "ssm:UpdateDocument",
                "ssm:DeleteDocument"
            ],
            "Effect": "Deny",
            "Resource": [
                "arn:aws:ssm:us-east-2:123456789012:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}