问题标签 [aws-ssm]

我正在使用默认策略 Amazonssmmaintainancewindowrole。在该策略中，我修改了 ssm:SendCommand 的权限，以限制对无法正常工作的特定 EC2 实例的访问。如果我将资源作为 ssm:SendCommand 的“*”，它工作正常。请让我知道我在限制访问方面做错了什么。

aws 系统管理器参数存储是否可以暴露给外部 aws 空间（作为 REST api）？aws 生态系统中是否有可用的内置机制？试图了解存储在参数存储中的配置是否可以暴露给外部 aws（可通过互联网访问）？

ssm 中的运行命令日志不会进入 s3 存储桶。获取日志需要什么权限。这些权限应作为 ssmmaintainancewindow 角色或附加到 EC2 实例的角色的一部分。

我是 Dropwizard 的新手，并希望在应用程序引导时从 AWS SSM 参数存储中检索秘密。我有两个关于如何做到这一点的问题：

1. 我应该在哪里做这个？在初始化方法中？
2. 调用 AWS SSM Parameter Store 后，放置它的最佳位置是哪里？我快速浏览了 Bootstrap 类，但对我来说，我应该把秘密等东西放在哪里以便以后检索，这并不明显。

谢谢

aws 参数存储可以以编程方式将更改推送到客户端吗？

一旦在 aws 参数存储中更改了配置值，我们如何确保所有客户端现在都使用最新的配置值？

在 spring-cloud-config 中，可以配置一个属性文件，然后使用 key 获取属性文件中的一个元素。

但在 aws 参数存储中，每个键值都存储为单独的条目。据我了解，我需要从属性文件中获取每个键值，然后在参数存储中进行配置。

实际上，每个区域（DEV、QA 等）都有一组配置文件。每个配置文件中都有一组属性。这些文件可以根据参数存储提供的层次结构支持进行分组。

SDLC 区域 >> 文件 >> 键值条目

层次结构可以支持 SDLC 区域。参数存储支持键值条目。我们如何管理参数存储中的 FILE 实体？

“合规性计划范围内的 AWS 服务”列表不包含 AWS 参数存储服务。参数服务是否符合 PCI 标准？

Currently, I use a single SSM parameter to store a set of properties separated by newlines, like this:

(I am aware of the 4K size limit, it's fine.)

This works well, for normal String type parameters that store non-sensitive information like environment configuration, but I'd also like to do similar for secrets using the SecureString parameter type.

The problem is that I can't edit the parameter value in the console because it's using a HTML input field of type="password" that doesn't handle newlines.

The multi-line value works fine with the actual parameter store backend - I can set a value with multiple lines with the SSM API no problem and they can be read with the EC2 CLI properly too.

But I can't edit them using the console. This is a problem because the whole point of using a SecureString parameter is that I intend the only place to edit/view these secrets to be via the console (so that permissions are controlled and access is audited).

There's a few infrastructure workarounds I could implement (one parameter for each secret, store the secrets on S3 or other secret storing service, etc.) but they all have drawbacks - I'm just trying to find out if there's a way around this using the console?

Is there any way I can work around this and use the console to edit multi-line SecureString parameters?
Any kind of browser workaround or hack that I might be able to use to tell the browser to use a textarea instead of a "password" type field? I'm using Chrome, but I'd be happy to work around this by using another browser or something (editing the secrets is pretty rare, and viewing multi-line values in the console works fine).

EDIT

After posting this question, AWS notified me there was a whole new "AWS Systems Manager" UI, but it still has the same problem - I tried the below browser hacks on this new UI, but no luck.

Failed browser hack attempt 1: I tried opening the browser console, running document.getElementById("Value").value = "value1\nvalue2" and then clicking the save button, which set the value I injectec, but the newline was filtered out.

Failed browser hack attempt 2: I tried using the browser instpector to change the element to a TextArea and then typed in two lines of input and clicked save, but that didn't set the value at all.

我想在用 Java 编写的 AWS Lambda 函数中从 AWS Systems Manager 中的 Parameter Store 访问一些参数值。

有人可以为我提供一个合适的例子来说明如何实现这一目标。

提前致谢！！

我正在使用 boto3 从 python 环境中控制我在 AWS 上的 EC2 实例，使用 ec2 和 ssm 服务。我创建了一个 IAM 账户，可以访问 AmazonSSMFullAccess 和 AmazonEC2FullAccess 策略。

我跑了：

Wich 返回了我所有实例的列表。但是当我运行时：

我得到一个空列表，尽管我至少有一个实例在 AWS Linux AMI (ami-ca0135b3) 上运行，另外六个在最近的 Ubuntu AMI 上运行。他们都在eu-west-1（爱尔兰）。他们应该预装 SSM 代理：（https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-ssm-agent.html）

我进入 AWS Linux 实例，并尝试使用以下命令获取 ssm 的日志：

但是当我运行我的python代码时没有任何反应。不时显示一系列消息：

我还尝试通过 Web 界面运行命令，选择“AWS-RunRemoteScript”，但下面没有显示实例。

我的目标是运行：

但它给了我以下错误，可能是由于前面的问题。