阻止 SSM 文档的公共共享 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

阻止 SSM 文档的公共共享

除非您的使用案例要求开启公共共享,否则我们建议您为Amazon Systems Manager(SSM) 文件. 启用此设置可防止对 SSM 文档进行不需要的访问。“阻止公共共享” 设置是一个帐户级别设置,可能因每个 Amazon Web Services 区域 . 完成以下任务以阻止 SSM 文档的公有共享。

阻止公共共享(控制台)

阻止 SSM 文档的公共共享

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Documents

    -或者-

    如果Amazon Systems Manager首先打开主页,选择菜单图标( )以打开导航窗格中的,然后选择文档在导航窗格中。

  3. 选择Preferences,然后选择编辑中的阻止公有共享部分。

  4. 选择阻止公有共享复选框,然后选择Save.

阻止公有共享(命令行)

打开Amazon Command Line Interface(Amazon CLI)或Amazon Tools for Windows PowerShell并运行以下命令来阻止 SSM 文档的公有共享。

Linux & macOS
aws ssm update-service-setting \ --setting-id /ssm/documents/console/public-sharing-permission \ --setting-value Disable \ --region 'The Amazon Region you want to block public sharing in'
Windows
aws ssm update-service-setting ^ --setting-id /ssm/documents/console/public-sharing-permission ^ --setting-value Disable ^ --region "The Amazon Region you want to block public sharing in"
PowerShell
Update-SSMServiceSetting ` -SettingId /ssm/documents/console/public-sharing-permission ` -SettingValue Disable ` –Region The Amazon Region you want to block public sharing in

使用以下命令确认设置值已更新。

Linux & macOS
aws ssm get-service-setting \ --setting-id /ssm/documents/console/public-sharing-permission \ --region The Amazon Region you blocked public sharing in
Windows
aws ssm get-service-setting ^ --setting-id /ssm/documents/console/public-sharing-permission ^ --region "The Amazon Region you blocked public sharing in"
PowerShell
Get-SSMServiceSetting ` -SettingId /ssm/documents/console/public-sharing-permission ` -Region The Amazon Region you blocked public sharing in

限制访问权限以阻止与 IAM 的公共共享

您可以创建Amazon Identity and Access Management(IAM) 策略,这些策略限制用户修改阻止公共共享设置。这可以防止用户允许对 SSM 文档进行不需要的访问。

以下是一个 IAM 策略示例,该策略阻止用户更新阻止公共共享设置。要使用此示例,您必须将示例 Amazon Web Services 账户 ID 替换为您自己的账户 ID。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:UpdateServiceSetting", "Resource": "arn:aws:ssm:*:987654321098:servicesetting/ssm/documents/console/public-sharing-permission" } ] }