AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einschränken des Zugriffs auf Befehle auf Stammebene durch SSM Agent

AWS Systems Manager-Agent (SSM Agent) läuft auf Instances der Amazon Elastic Compute Cloud (Amazon EC2) und anderen Maschinentypen in Hybrid- und Multi-Cloud-Umgebungen mit Root-Berechtigungen (Linux) oder SYSTEM-Berechtigungen (Windows Server). Da dies die höchste Stufe der Systemzugriffsberechtigungen ist, verfügt jede vertrauenswürdige Entität, der die Berechtigung zum Senden von Befehlen an den SSM Agent erteilt wurde, über Root- oder SYSTEM-Berechtigungen. (In AWS wird eine vertrauenswürdige Entität, die Aktionen ausführen und auf Ressourcen in AWS zugreifen kann, als Prinzipal bezeichnet. Ein Prinzipal kann ein Root-Benutzer des AWS-Kontos, Benutzer oder eine Rolle sein.)

Dieses Zugriffslevel ist erforderlich, damit ein Prinzipal autorisierte Systems Manager-Befehle an den SSM Agent senden kann, es ermöglicht einem Prinzipal aber auch, bösartigen Code auszuführen, indem potenzielle Schwachstellen in SSM Agent ausgenutzt werden.

Insbesondere sollten die Berechtigungen zum Ausführen der Befehle SendCommand und StartSession sorgfältig beschränkt werden. Eine guter erster Schritt ist es, Berechtigungen für jeden Befehl nur für bestimmte Prinzipale in Ihrer Organisation zu gewähren. Allerdings empfehlen wir, Ihren Sicherheitsstatus weiter zu verbessern, indem Sie einschränken, auf welchen verwalteten Knoten ein Prinzipal diese Befehle ausführen kann. Dies kann in der IAM-Richtlinie erfolgen, die dem Prinzipal zugeordnet ist. In die IAM-Richtlinie können Sie eine Bedingung einfügen, mit der der Benutzer nur Befehle auf verwalteten Knoten ausführen kann, die mit spezifischen Tags oder Kombinationen von Tags markiert sind.

Nehmen wir an, Sie haben zwei Serverflotten, eine für Tests und eine für die Produktion. In der IAM-Richtlinie, die für nachrangige Ingenieure gilt, geben Sie an, dass sie Befehle nur auf Instances ausführen können, die mit ssm:resourceTag/testServer gekennzeichnet sind. Aber für eine kleinere Gruppe von leitenden Ingenieuren, die alle Instances zugreifen können sollten, gewähren Sie Zugriff auf Instances, die mit ssm:resourceTag/testServer und ssm:resourceTag/productionServer gekennzeichnet sind.

Mit diesem Ansatz wird nachrangigen Ingenieuren, die versuchen, einen Befehl auf einer Produktions-Instance auszuführen, der Zugriff verweigert, da ihre zugewiesenen IAM-Richtlinie keinen expliziten Zugriff auf Instances zulässt, die mit ssm:resourceTag/productionServer gekennzeichnet sind.

Weitere Informationen und Beispiele finden Sie in den folgenden Themen:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Anzeigen von SSM Agent-Protokollen

Automatisieren von Updates für SSM Agent