我处在高度安全的环境中,希望建立许多可通过AWS Run Command进行远程控制的EC2实例,但是可用的操作却非常有限。通常,该实例将禁用SSH。目的是使少数工程师能够在给定实例上远程终止,启动或重新启动少数特定脚本之一,而又不具备执行其他任何操作的能力。
我的基本计划是创建一小组AWSSM文档,限制有权控制实例的IAM角色以仅运行那些文档,并让每个文档以非常有限的方式调用远程服务器上的特定脚本。可能的参数集。
下面的帖子建议了如何设置IAM角色以限制对特定文档的访问。
AWS IAM SSM - Restrict Documents that Instances can run
如何制作一个运行命令文档以启动特定的硬编码脚本?我想从外部服务器调用run命令,并且只能调用一个特定的脚本或带有参数的4或5个脚本之一,但是我找不到一个很好的例子来说明这一点。