共享 SSM 文档的最佳实践 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

共享 SSM 文档的最佳实践

在共享或使用共享文档之前,请阅读以下指南。

删除敏感信息

检查您的Amazon Web Services Systems Manager(SSM) 请仔细记录并删除任何敏感信息。例如,请确保文档不包含Amazon凭证。如果您与特定个人共享文档,这些用户可查看文档中的信息。如果您公开共享文档,则任何人都可查看文档中的信息。

阻止文档的公共共享

除非您的使用案例要求启用公共共享,否则我们建议您在Preferences部分的 Systems Manager 文档控制台。

使用 IAM 用户信任策略限制运行命令操作

为将有权访问文档的用户创建限制性 AWS Identity and Access Management (IAM) 用户策略。IAM 策略确定用户可在 Amazon Elastic Compute Cloud (Amazon EC2) 控制台中查看或通过调用调用ListDocuments使用Amazon命令行界面 (AmazonCLI) 或Amazon适用于 Windows PowerShell 的工具。该策略还限制用户可使用 SSM 文档执行的操作。您可创建限制性策略,以便用户只能使用特定文档。有关更多信息,请参阅 。为 Systems Manager 创建非管理员 IAM 用户和组客户管理的策略示例

使用共享 SSM 文档时要小心

审查与您共享的每个文档(特别是公开文档)的内容,以了解将在您的实例上运行的命令。一个文档在运行后可能会有意或无意具有负面影响。如果文档引用外部网络,请在使用文档前审查外部源。

使用文档哈希发送命令

在共享文档时,系统将创建 Sha-256 哈希并将其分配给文档。系统还将保存文档内容的快照。使用共享文档发送命令时,您可在命令中指定哈希以确保下列条件为 true:

  • 您正在从正确的 Systems Manager 文档运行命令

  • 在与您共享之后文档内容未更改。

如果哈希与指定文档不匹配,或者共享文档的内容已更改,则命令将返回 InvalidDocument 异常。注意:哈希无法验证来自外部位置的文档内容。