我需要限制某些用户的 AWS SSM 访问权仅为 SSH。这些用户只能通过 SSM 启动 SSH 会话,如下所示:
ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
它应该不是可以直接启动 SSM 会话(ssm-user):
aws ssm start-session --target i-*
这可能吗?
答案1
看起来我在这里找到了解决方案: https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-enable-ssh-connections.html
一般来说,我创建了一个用户组并添加了此策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ssm:StartSession",
"Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
}
]
}
现在,该组中的用户可以启动 SSH 会话,但不能直接启动 SSM 会话。