• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Condivisione di documenti SSM
Puoi condividere documenti AWS Systems Manager (SSM) privatamente o pubblicamente con account nello stesso. Regione AWS Per condividere privatamente un documento, si modificano le autorizzazioni del documento e si consente a determinati individui di accedervi in base al proprio ID di Account AWS . Per condividere pubblicamente un documento SSM, si modificano le autorizzazioni del documento e si specifica `All`. I documenti non possono essere condivisi contemporaneamente in modalità pubblica e privata.
**avvertimento**
Utilizzare documenti SSM condivisi solo se provengono da fonti attendibili. Quando utilizzi un documento condiviso, verificane attentamente i contenuti prima di utilizzarlo per comprendere come modificherà la configurazione dell'istanza. Per ulteriori informazioni sulle best practice per i documenti condivisi, consulta [Best practice per documenti SSM condivisi](#best-practices-shared).
**Limitazioni**
Quando si iniziano a utilizzare documenti SSM, tenere presente le seguenti restrizioni.
+ Soltanto il proprietario può condividere un documento.
+ Devi interrompere la condivisione di un documento prima di poterlo eliminare. Per ulteriori informazioni, consulta [Modifica delle autorizzazioni per un documento condiviso](#modify-permissions-shared).
+ Puoi condividere un documento con un massimo di 1000. Account AWSÈ possibile richiedere un aumento di questo limite nel [Supporto Center](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase). Per **Limit type (Tipo di limite)**, scegliere *EC2 Systems Manager* e descrivere il motivo della richiesta.
+ È possibile condividere pubblicamente un massimo di cinque documenti SSM. È possibile richiedere un aumento di questo limite nel [Supporto Center](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase). Per **Limit type (Tipo di limite)**, scegliere *EC2 Systems Manager* e descrivere il motivo della richiesta.
+ I documenti possono essere condivisi con altri account Regione AWS solo nello stesso account. La condivisione tra regioni non è supportata.
**Importante**
In Systems Manager, un documento SSM *di proprietà di Amazon* è un documento creato e gestito dallo stesso Amazon Web Services. I documenti *di proprietà di Amazon* includono un prefisso simile a `AWS-*` nel nome del documento. Il proprietario del documento è considerato Amazon, non un account utente specifico all'interno AWS. Questi documenti sono disponibili al pubblico e possono essere utilizzati da tutti.
Per ulteriori informazioni sulle service quotas di Systems Manager, consulta [AWS Systems Manager Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm).
**Topics**
+ [Best practice per documenti SSM condivisi](#best-practices-shared)
+ [Bloccare la condivisione pubblica per i documenti SSM](#block-public-access)
+ [Condividere un documento SSM](#ssm-how-to-share)
+ [Modifica delle autorizzazioni per un documento condiviso](#modify-permissions-shared)
+ [Utilizzo di documenti SSM condivisi](#using-shared-documents)
## Best practice per documenti SSM condivisi
Consulta le seguenti linee guida prima di condividere o utilizzare un documento condiviso.
**Rimuovi le informazioni sensibili**
Esamina attentamente il tuo documento AWS Systems Manager (SSM) e rimuovi tutte le informazioni sensibili. Ad esempio, verifica che il documento non includa AWS le tue credenziali. Se condividi un documento con utenti specifici, questi possono visualizzare le informazioni contenute nel documento. Se condividi un documento pubblicamente, tutti possono visualizzare le informazioni contenute nel documento.
**Bloccare la condivisione pubblica per i documenti**
Controlla tutti i documenti SSM condivisi pubblicamente nel tuo account e conferma se desideri continuare a condividerli. Per interrompere la condivisione di un documento con il pubblico, è necessario modificare l'impostazione delle autorizzazioni del documento come descritto nella sezione [Modifica delle autorizzazioni per un documento condiviso](#modify-permissions-shared) di questo argomento. L'attivazione dell'impostazione di blocco della condivisione pubblica non ha effetto sui documenti che stai attualmente condividendo con il pubblico. A meno che il caso d'uso non richieda la condivisione pubblica, si consiglia di attivare l'impostazione Blocca condivisione pubblica per i documenti SSM nella sezione **Preferenze** della console Documenti di Systems Manager. L'attivazione di questa impostazione impedisce l'accesso indesiderato ai documenti SSM. L'impostazione Blocca condivisione pubblica è un'impostazione a livello di account che può differire per ogni Regione AWS.
**Limitazione delle operazioni Run Command utilizzando una policy di attendibilità IAM**
Crea una politica restrittiva AWS Identity and Access Management (IAM) per gli utenti che avranno accesso al documento. La policy IAM determina quali documenti SSM un utente può vedere nella console Amazon Elastic Compute Cloud (Amazon EC2) o `ListDocuments` chiamando utilizzando () o. AWS Command Line Interface AWS CLI AWS Tools for Windows PowerShell La policy limita inoltre le operazioni che l'utente può eseguire con i documenti SSM. Puoi creare una policy restrittiva in modo che un utente possa utilizzare solo documenti specifici. Per ulteriori informazioni, consulta [Esempi di policy gestite dal cliente](security_iam_id-based-policy-examples.md#customer-managed-policies).
**Fare attenzione quando si utilizzano documenti SSM condivisi**
È importante verificare i contenuti di ogni documento condiviso, soprattutto nel caso di documenti pubblici, per comprendere i comandi che verranno eseguiti sulle istanze. L'esecuzione di un documento potrebbe avere ripercussioni negative, anche in modo non intenzionale. Se il documento fa riferimento a una rete esterna, verifica quest'ultima prima di utilizzare il documento.
**Invia comandi utilizzando l'hash del documento**
Quando condividi un documento, il sistema crea un hash Sha-256 e lo assegna al documento. Il sistema salva inoltre uno snapshot del contenuto del documento. Quando invii un comando utilizzando un documento condiviso, puoi specificare l'hash nel comando per garantire che si verifichino le seguenti condizioni:
+ Si sta eseguendo un comando dal documento di Systems Manager corretto
+ Il contenuto del documento non è stato modificato da quando è stato condiviso con l'utente.
Se l'hash non corrisponde al documento specificato o se il contenuto del documento condiviso è stato modificato, il comando restituisce un'eccezione `InvalidDocument` (Documento non valido). L'hash non è in grado di verificare il contenuto di un documento da percorsi esterni.
**Utilizzare il parametro di interpolazione per migliorare la sicurezza**
Per i parametri di tipo `String` nei documenti SSM, utilizza il parametro e il valore `interpolationType": "ENV_VAR`, per migliorare la sicurezza contro gli attacchi di iniezione di comandi trattando gli input dei parametri come stringhe letterali, invece di comandi potenzialmente eseguibili. In questo caso, l'agente crea una variabile di ambiente denominata `SSM_parameter-name`, che contiene il valore del parametro. Si consiglia di aggiornare tutti i documenti SSM esistenti che includono i parametri di tipo `String`, per includere `"interpolationType": "ENV_VAR"`. Per ulteriori informazioni, consulta [Scrittura del contenuto del documento SSM](documents-creating-content.md#writing-ssm-doc-content).
## Bloccare la condivisione pubblica per i documenti SSM
Prima di iniziare, esamina tutti i documenti SSM condivisi pubblicamente in Account AWS e conferma se desideri continuare a condividerli. Per interrompere la condivisione di un documento SSM con il pubblico, è necessario modificare l'impostazione delle autorizzazioni del documento come descritto nella sezione [Modifica delle autorizzazioni per un documento condiviso](#modify-permissions-shared) di questo argomento. L'attivazione dell'impostazione di blocco della condivisione pubblica non influisce sui documenti SSM che stai attualmente condividendo con il pubblico. Con l'impostazione di blocco della condivisione pubblica abilitata, non sarai in grado di condividere altri documenti SSM con il pubblico.
A meno che il caso d'uso non richieda l'attivazione della condivisione pubblica, consigliamo di attivare l'impostazione Blocca condivisione pubblica per i documenti SSM. L'attivazione di questa impostazione impedisce l'accesso indesiderato ai documenti SSM. L'impostazione di blocco della condivisione pubblica è un'impostazione a livello di account che può differire per ciascuno. Regione AWS Completare le seguenti attività per bloccare la condivisione pubblica di qualsiasi documento SSM attualmente in condivisione.
### Blocca condivisione pubblica (console)
**Bloccare la condivisione pubblica dei documenti SSM**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Documenti**.
1. Scegli **Preferenze**, quindi scegli **Modifica** nella sezione **Blocca condivisione pubblica**.
1. Selezionare la casella **Blocca condivisione pubblica**, quindi scegli **Salva**.
### Blocca condivisione pubblica (riga di comando)
Apri AWS Command Line Interface (AWS CLI) o AWS Tools for Windows PowerShell sul tuo computer locale ed esegui il seguente comando per bloccare la condivisione pubblica dei tuoi documenti SSM.
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id /ssm/documents/console/public-sharing-permission \
--setting-value Disable \
--region 'The Regione AWS you want to block public sharing in'
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id /ssm/documents/console/public-sharing-permission ^
--setting-value Disable ^
--region "The Regione AWS you want to block public sharing in"
```
------
#### [ PowerShell ]
```
Update-SSMServiceSetting `
-SettingId /ssm/documents/console/public-sharing-permission `
-SettingValue Disable `
–Region The Regione AWS you want to block public sharing in
```
------
Confermare che il valore dell'impostazione sia stato aggiornato utilizzando il seguente comando.
------
#### [ Linux & macOS ]
```
aws ssm get-service-setting \
--setting-id /ssm/documents/console/public-sharing-permission \
--region The Regione AWS you blocked public sharing in
```
------
#### [ Windows ]
```
aws ssm get-service-setting ^
--setting-id /ssm/documents/console/public-sharing-permission ^
--region "The Regione AWS you blocked public sharing in"
```
------
#### [ PowerShell ]
```
Get-SSMServiceSetting `
-SettingId /ssm/documents/console/public-sharing-permission `
-Region The Regione AWS you blocked public sharing in
```
------
### Limitazione dell'accesso per bloccare la condivisione pubblica con IAM
Puoi creare policy AWS Identity and Access Management (IAM) che impediscano agli utenti di modificare l'impostazione di condivisione pubblica a blocchi. Ciò impedisce agli utenti di consentire l'accesso indesiderato ai documenti SSM.
Di seguito è riportato un esempio di policy IAM che impedisce agli utenti di aggiornare l'impostazione di blocco della condivisione pubblica. Per utilizzare questo esempio, è necessario sostituire l'ID dell'account Amazon Web Services di esempio con il proprio ID dell'account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ssm:UpdateServiceSetting",
"Resource": "arn:aws:ssm:*:444455556666:servicesetting/ssm/documents/console/public-sharing-permission"
}
]
}
```
------
## Condividere un documento SSM
È possibile condividere documenti AWS Systems Manager (SSM) utilizzando la console Systems Manager. Quando si condividono documenti dalla console, è possibile condividere solo la versione predefinita del documento. È inoltre possibile condividere documenti SSM a livello di codice chiamando l'operazione `ModifyDocumentPermission` API utilizzando AWS Command Line Interface (AWS CLI) o l'SDK AWS Tools for Windows PowerShell. AWS Prima di condividere un documento, chiedi le Account AWS IDs persone con cui vuoi condividerlo. Specificherai questi account IDs quando condividi il documento.
### Condivisione di un documento (console)
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Documenti**.
1. Nell'elenco dei documenti, scegliere il documento che si desidera condividere, quindi selezionare **View details (Visualizza dettagli)**. Nella scheda **Permissions (Autorizzazioni)**, verificare di essere il proprietario del documento. Soltanto il proprietario di un documento può condividerlo.
1. Scegli **Modifica**.
1. Per condividere il comando pubblicamente, scegliere **Public (Pubblico)**, quindi selezionare **Save (Salva)**. Per condividere il comando privatamente, scegliere **Private (Privato)**, inserire l'ID dell' Account AWS , selezionare **Add permission (Aggiungi autorizzazione)** e scegliere **Save (Salva)**.
### Condivisione di un documento (riga di comando)
La procedura seguente richiede di specificare un Regione AWS per la sessione della riga di comando.
1. Apri AWS CLI o AWS Tools for Windows PowerShell sul tuo computer locale ed esegui il comando seguente per specificare le tue credenziali.
Nel comando seguente, sostituiscilo *region* con le tue informazioni. Per un elenco dei *region* valori supportati, vedere la colonna **Regione** negli [endpoint del servizio Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in. *Riferimenti generali di Amazon Web Services*
------
#### [ Linux & macOS ]
```
aws config
AWS Access Key ID: [your key]
AWS Secret Access Key: [your key]
Default region name: region
Default output format [None]:
```
------
#### [ Windows ]
```
aws config
AWS Access Key ID: [your key]
AWS Secret Access Key: [your key]
Default region name: region
Default output format [None]:
```
------
#### [ PowerShell ]
```
Set-AWSCredentials –AccessKey your key –SecretKey your key
Set-DefaultAWSRegion -Region region
```
------
1. Utilizzare il comando seguente per elencare tutti i documenti SSM disponibili per l'utente. L'elenco include i documenti creati e i documenti condivisi.
------
#### [ Linux & macOS ]
```
aws ssm list-documents
```
------
#### [ Windows ]
```
aws ssm list-documents
```
------
#### [ PowerShell ]
```
Get-SSMDocumentList
```
------
1. Utilizzare il comando seguente per ottenere un documento specifico.
------
#### [ Linux & macOS ]
```
aws ssm get-document \
--name document name
```
------
#### [ Windows ]
```
aws ssm get-document ^
--name document name
```
------
#### [ PowerShell ]
```
Get-SSMDocument `
–Name document name
```
------
1. Utilizzare il comando seguente per ottenere una descrizione del documento.
------
#### [ Linux & macOS ]
```
aws ssm describe-document \
--name document name
```
------
#### [ Windows ]
```
aws ssm describe-document ^
--name document name
```
------
#### [ PowerShell ]
```
Get-SSMDocumentDescription `
–Name document name
```
------
1. Utilizzare il comando seguente per visualizzare le autorizzazioni per il documento.
------
#### [ Linux & macOS ]
```
aws ssm describe-document-permission \
--name document name \
--permission-type Share
```
------
#### [ Windows ]
```
aws ssm describe-document-permission ^
--name document name ^
--permission-type Share
```
------
#### [ PowerShell ]
```
Get-SSMDocumentPermission `
–Name document name `
-PermissionType Share
```
------
1. Utilizzare il comando seguente per modificare le autorizzazioni per il documento e condividerlo. È necessario essere il proprietario del documento per modificare le autorizzazioni. Facoltativamente, per i documenti condivisi con utenti specifici Account AWS IDs, è possibile specificare una versione del documento che si desidera condividere utilizzando il `--shared-document-version` parametro. Se non specifichi una versione, il sistema condivide la versione `Default` del documento. Se condividi un documento pubblicamente (con `all`), tutte le versioni del documento specificato vengono condivise per impostazione predefinita. Il comando di esempio seguente condivide privatamente il documento con una persona specifica, in base all'ID di Account AWS quella persona.
------
#### [ Linux & macOS ]
```
aws ssm modify-document-permission \
--name document name \
--permission-type Share \
--account-ids-to-add Account AWS ID
```
------
#### [ Windows ]
```
aws ssm modify-document-permission ^
--name document name ^
--permission-type Share ^
--account-ids-to-add Account AWS ID
```
------
#### [ PowerShell ]
```
Edit-SSMDocumentPermission `
–Name document name `
-PermissionType Share `
-AccountIdsToAdd Account AWS ID
```
------
1. Utilizzare il comando seguente per condividere un documento pubblicamente.
**Nota**
Se condividi un documento pubblicamente (con `all`), tutte le versioni del documento specificato vengono condivise per impostazione predefinita.
------
#### [ Linux & macOS ]
```
aws ssm modify-document-permission \
--name document name \
--permission-type Share \
--account-ids-to-add 'all'
```
------
#### [ Windows ]
```
aws ssm modify-document-permission ^
--name document name ^
--permission-type Share ^
--account-ids-to-add "all"
```
------
#### [ PowerShell ]
```
Edit-SSMDocumentPermission `
-Name document name `
-PermissionType Share `
-AccountIdsToAdd ('all')
```
------
## Modifica delle autorizzazioni per un documento condiviso
Se condividi un comando, gli utenti possono visualizzare e utilizzare quel comando finché non rimuovi l'accesso al documento AWS Systems Manager (SSM) o elimini il documento SSM. Tuttavia, non è possibile eliminare un documento finché è condiviso. Devi interrompere la condivisione prima di poterlo eliminare.
### Interruzione della condivisione di un documento (console)
**Interrompere la condivisione di un documento**
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione, scegli **Documenti**.
1. Nell'elenco dei documenti, scegliere il documento di cui si desidera interrompere la condivisione, quindi selezionare **Details (dettagli)**. Nella sezione **Permissions (Autorizzazioni)**, verificare di essere il proprietario del documento. Soltanto il proprietario del documento può interromperne la condivisione.
1. Scegli **Modifica**.
1. Scegli **X** per eliminare l' Account AWS ID che non dovrebbe più avere accesso al comando, quindi scegli **Salva**.
### Interruzione della condivisione di un documento (riga di comando)
Apri AWS CLI o AWS Tools for Windows PowerShell sul tuo computer locale ed esegui il comando seguente per interrompere la condivisione di un comando.
------
#### [ Linux & macOS ]
```
aws ssm modify-document-permission \
--name document name \
--permission-type Share \
--account-ids-to-remove 'Account AWS ID'
```
------
#### [ Windows ]
```
aws ssm modify-document-permission ^
--name document name ^
--permission-type Share ^
--account-ids-to-remove "Account AWS ID"
```
------
#### [ PowerShell ]
```
Edit-SSMDocumentPermission `
-Name document name `
-PermissionType Share `
–AccountIdsToRemove Account AWS ID
```
------
## Utilizzo di documenti SSM condivisi
Quando condividi un documento AWS Systems Manager (SSM), il sistema genera un Amazon Resource Name (ARN) e lo assegna al comando. Se si seleziona e si esegue un documento condiviso dalla console di Systems Manager, non si visualizza l'ARN. Tuttavia, se si desidera eseguire un documento SSM condiviso utilizzando un metodo diverso dalla console di Systems Manager, è necessario specificare l'ARN completo del documento per il parametro di richiesta `DocumentName`. L'ARN completo per un documento SSM viene mostrato quando si esegue il comando per elencare i documenti.
**Nota**
Non è necessario specificare ARNs documenti AWS pubblici (documenti che iniziano con`AWS-*`) o documenti di tua proprietà.
### Utilizzare un documento SSM condiviso (riga di comando)
**Per elencare tutti i documenti SSM pubblici**
------
#### [ Linux & macOS ]
```
aws ssm list-documents \
--filters Key=Owner,Values=Public
```
------
#### [ Windows ]
```
aws ssm list-documents ^
--filters Key=Owner,Values=Public
```
------
#### [ PowerShell ]
```
$filter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
$filter.Key = "Owner"
$filter.Values = "Public"
Get-SSMDocumentList `
-Filters @($filter)
```
------
**Per elencare i documenti SSM privati che sono stati condivisi con l'utente**
------
#### [ Linux & macOS ]
```
aws ssm list-documents \
--filters Key=Owner,Values=Private
```
------
#### [ Windows ]
```
aws ssm list-documents ^
--filters Key=Owner,Values=Private
```
------
#### [ PowerShell ]
```
$filter = New-Object Amazon.SimpleSystemsManagement.Model.DocumentKeyValuesFilter
$filter.Key = "Owner"
$filter.Values = "Private"
Get-SSMDocumentList `
-Filters @($filter)
```
------
**Per elencare tutti i documenti SSM disponibili per l'utente**
------
#### [ Linux & macOS ]
```
aws ssm list-documents
```
------
#### [ Windows ]
```
aws ssm list-documents
```
------
#### [ PowerShell ]
```
Get-SSMDocumentList
```
------
**Per ottenere informazioni su un documento SSM che è stato condiviso con l'utente**
------
#### [ Linux & macOS ]
```
aws ssm describe-document \
--name arn:aws:ssm:us-east-2:12345678912:document/documentName
```
------
#### [ Windows ]
```
aws ssm describe-document ^
--name arn:aws:ssm:us-east-2:12345678912:document/documentName
```
------
#### [ PowerShell ]
```
Get-SSMDocumentDescription `
–Name arn:aws:ssm:us-east-2:12345678912:document/documentName
```
------
**Per eseguire un documento SSM condiviso**
------
#### [ Linux & macOS ]
```
aws ssm send-command \
--document-name arn:aws:ssm:us-east-2:12345678912:document/documentName \
--instance-ids ID
```
------
#### [ Windows ]
```
aws ssm send-command ^
--document-name arn:aws:ssm:us-east-2:12345678912:document/documentName ^
--instance-ids ID
```
------
#### [ PowerShell ]
```
Send-SSMCommand `
–DocumentName arn:aws:ssm:us-east-2:12345678912:document/documentName `
–InstanceIds ID
```
------