Membatasi akses ke perintah tingkat root melalui SSM Agent - AWS Systems Manager

• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat dokumentasi CloudWatch Dasbor Amazon.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membatasi akses ke perintah tingkat root melalui SSM Agent

AWS Systems Manager Agent (SSM Agent) berjalan di instans Amazon Elastic Compute Cloud (Amazon EC2) dan jenis mesin lainnya di lingkungan hybrid dan multicloud menggunakan izin root (Linux) atau izin SYSTEM (). Windows Server Karena ini adalah tingkat tertinggi izin akses sistem, entitas tepercaya apa pun yang telah diberikan izin untuk mengirim perintah SSM Agent memiliki izin root atau SYSTEM. (Dalam AWS, entitas tepercaya yang dapat melakukan tindakan dan mengakses sumber daya AWS disebut prinsipal. Prinsipal dapat berupa Pengguna root akun AWS, pengguna, atau peran.)

Tingkat akses ini diperlukan bagi prinsipal untuk mengirim perintah Systems Manager resmiSSM Agent, tetapi juga memungkinkan prinsipal untuk menjalankan kode berbahaya dengan mengeksploitasi potensi kerentanan di dalamnya. SSM Agent

Secara khusus, izin untuk menjalankan perintah SendCommanddan StartSessionharus dibatasi dengan hati-hati. Langkah pertama yang baik adalah memberikan izin untuk setiap perintah untuk hanya memilih principal di organisasi Anda. Namun, kami menyarankan untuk memperketat postur keamanan Anda lebih jauh dengan membatasi node terkelola mana yang dapat menjalankan perintah ini. Ini dapat dilakukan dalam kebijakan IAM yang diberikan kepada kepala sekolah. Dalam kebijakan IAM, Anda dapat menyertakan kondisi yang membatasi pengguna untuk menjalankan perintah hanya pada node terkelola yang ditandai dengan tag tertentu atau kombinasi tag.

Misalnya, Anda memiliki dua armada server, satu untuk pengujian, satu untuk produksi. Dalam kebijakan IAM yang diterapkan untuk insinyur junior, Anda menentukan bahwa mereka dapat menjalankan perintah hanya pada instans yang ditandai dengan ssm:resourceTag/testServer. Namun, untuk grup insinyur utama yang lebih kecil, yang seharusnya memiliki akses ke semua instans, Anda memberikan akses ke instans yang ditandai dengan ssm:resourceTag/testServer dan ssm:resourceTag/productionServer.

Menggunakan pendekatan ini, jika insinyur junior mencoba untuk menjalankan perintah pada instans produksi, akses mereka akan ditolak karena kebijakan IAM mereka yang ditugaskan tidak menyediakan akses eksplisit ke instans yang ditandai dengan ssm:resourceTag/productionServer.

Untuk informasi selengkapnya dan contoh, lihat topik berikut ini: