仅限 SSH 访问 AWS SSM

仅限 SSH 访问 AWS SSM

我需要限制某些用户的 AWS SSM 访问权仅为 SSH。这些用户只能通过 SSM 启动 SSH 会话,如下所示:

ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"

它应该不是可以直接启动 SSM 会话(ssm-user):

aws ssm start-session --target i-*

这可能吗?

答案1

看起来我在这里找到了解决方案: https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-enable-ssh-connections.html

一般来说,我创建了一个用户组并添加了此策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
        }
    ]
}

现在,该组中的用户可以启动 SSH 会话,但不能直接启动 SSM 会话。

相关内容