共享 SSM 文档的最佳做法 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

共享 SSM 文档的最佳做法

在共享或使用共享文档之前,请阅读以下指南。

删除敏感信息

请仔细审查您的 Amazon Systems Manager (SSM) 文档并删除任何敏感信息。例如,请确保文档不包含您的 Amazon 凭证。如果您与特定个人共享文档,这些用户可查看文档中的信息。如果您公开共享文档,则任何人都可查看文档中的信息。

阻止文档的公开共享

除非您的使用案例要求开启公开共享,否则我们建议您在 Systems Manager 文件控制台的首选项部分中为 Systems Manager 文档开启阻止公开共享设置。

使用 IAM 用户信任策略限制 Run Command 操作

为将有权访问文档的用户创建限制性 Amazon Identity and Access Management(IAM) 用户策略。IAM policy 确定用户可在 Amazon Elastic Compute Cloud(Amazon EC2)控制台中或通过使用 Amazon Command Line Interface(Amazon CLI)或 Amazon Tools for Windows PowerShell 调用 ListDocuments 查看哪些 SSM 文档。该策略还限制用户可使用 SSM 文档执行的操作。您可创建限制性策略,以便用户只能使用特定文档。有关更多信息,请参阅为 Systems Manager 创建非管理员 IAM 用户和组客户托管式策略示例

使用共享 SSM 文档时要小心

审查与您共享的每个文档(特别是公开文档)的内容,以了解将在您的实例上运行的命令。一个文档在运行后可能会有意或无意具有负面影响。如果文档引用外部网络,请在使用文档前审查外部源。

使用文档哈希发送命令

在共享文档时,系统将创建 Sha-256 哈希并将其分配给文档。系统还将保存文档内容的快照。使用共享文档发送命令时,您可在命令中指定哈希以确保下列条件为 true:

  • 您正在从正确的 Systems Manager 文档运行命令

  • 在与您共享之后文档内容未更改。

如果哈希与指定文档不匹配,或者共享文档的内容已更改,则命令将返回 InvalidDocument 异常。哈希无法验证来自外部位置的文档内容。