Amazon web services AWS SSM-会话管理器运行方式_Amazon Web Services_Amazon Iam_Aws Ssm

Amazon web services AWS SSM-会话管理器运行方式

amazon-web-services

Amazon web services AWS SSM-会话管理器运行方式,amazon-web-services,amazon-iam,aws-ssm,Amazon Web Services,Amazon Iam,Aws Ssm,我有一个SSM文档，如下所示（我们称之为DevSSMRunShell） { “阴谋厌恶”：“1.0”， “说明”：“开发人员会话文档”， “会话类型”：“标准_流”， “投入”：{ “s3BucketName”：“开发ssm会话日志”， “s3KeyPrefix”：“， “s3EncryptionEnabled”：正确， “cloudWatchLogGroupName”：“”， “cloudWatchEncryptionEnabled”：正确， “idleSessionTimeout”：“20”

我有一个SSM文档，如下所示（我们称之为DevSSMRunShell）

{
“阴谋厌恶”：“1.0”，
“说明”：“开发人员会话文档”，
“会话类型”：“标准_流”，
“投入”：{
“s3BucketName”：“开发ssm会话日志”，
“s3KeyPrefix”：“，
“s3EncryptionEnabled”：正确，
“cloudWatchLogGroupName”：“”，
“cloudWatchEncryptionEnabled”：正确，
“idleSessionTimeout”：“20”，
“cloudWatchStreamingEnabled”：正确，
“kmsKeyId”：“，
“runAsEnabled”：正确，
“runAsDefaultUser”：“开发人员用户”，
“shellProfile”：{
“窗口”：“，
“linux”：“execbash-l”
}
}
}

IAM dev用户只有在devssRunShell上启动会话的策略：

{
“Sid”：“CustomSSMActions2”，
“效果”：“允许”，
“行动”：[
“ssm:开始会话”
],
“资源”：[
“arn:aws:ec2:*：实例/*”，
“arn:aws:ssm:：：document/devssrunshell”，
“arn:aws:ssm::::::::*：文档/aws StartShsSession”
],
“条件”：{
“BoolIfExists”：{
ssm:SessionDocumentAccessCheck:“true”
}
}
}

这是否保证dev IAM用户只有在操作系统的

dev user

上启动会话的权限

我不想在IAM角色上严格使用

SSMSessionRunAs

标记，因为将来可能我也想作为不同的操作系统用户启动会话