AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Limitare l'accesso ai comandi a livello di root tramite SSM Agent
L’agente AWS Systems Manager (SSM Agent) viene eseguito sulle istanze Amazon Elastic Compute Cloud (Amazon EC2) e altri tipi di macchine in ambienti ibridi e multicloud utilizzando autorizzazioni root (Linux) o autorizzazioni SYSTEM (Windows Server). Poiché questi sono il massimo livello di privilegi di accesso al sistema, qualunque entità attendibile autorizzata a inviare comandi a SSM Agent dispone di autorizzazioni root o SYSTEM. All'interno di AWS, un'entità attendibile in grado di eseguire operazioni e accedere alle risorse in AWS è chiamata principale. Un principale può essere un Utente root dell'account AWS, un utente o un ruolo.
Tale livello di accesso è necessario affinché un principale invii comandi di Systems Manager autorizzati a SSM Agent, ma fa anche sì che un principale esegua un codice malware sfruttando potenziali vulnerabilità in SSM Agent.
In particolare, le autorizzazioni per eseguire i comandi SendCommand e StartSession dovrebbero essere attentamente limitate. Un buon punto di partenza è quello di concedere le autorizzazioni per ciascun comando solo a determinate principali nella tua organizzazione. Tuttavia, ti consigliamo di rafforzare ulteriormente la posizione di sicurezza limitando i nodi gestiti su cui una principale può eseguire questi comandi. Questa operazione può essere eseguita nella policy IAM assegnata al principale. Nella policy IAM, puoi includere una condizione che limiti l'utente nell'eseguire comandi solo sui nodi gestiti contrassegnati da tag o da una combinazione di tag specifici.
Supponiamo ad esempio di disporre di due parchi istanze di server, uno per i test e l'altro per la produzione. Nella policy IAM applicata ai tecnici junior, va specificato che possono eseguire comandi solo sulle istanze contrassegnate con ssm:resourceTag/testServer. Ma per un gruppo più ridotto di tecnici di livello superiore, che devono accedere a tutte le istanze, va autorizzato l'accesso alle istanze contrassegnate con ssm:resourceTag/testServer e con ssm:resourceTag/productionServer.
Seguendo questo approccio, se i tecnici junior tentano di eseguire un comando su un'istanza di produzione, l'accesso verrà rifiutato perché la policy IAM a loro assegnata non fornisce un accesso esplicito alle istanze contrassegnate dal tag ssm:resourceTag/productionServer.
Per maggiori informazioni ed esempi, consultare i seguenti argomenti:
