• 2026 年 4 月 30 日之後， AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板，就像現在一樣。如需詳細資訊，請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 限制透過 SSM Agent 存取根層級命令
<a name="ssm-agent-restrict-root-level-commands"></a>

AWS Systems Manager 代理程式 (SSM Agent) 使用根許可 (Linux) 或 SYSTEM 許可 ()，在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和其他機器類型上執行Windows Server。由於這些是最高層級的系統存取許可，任何已獲得許可傳送命令至 SSM Agent 的受信任實體，具有根或系統管理員許可。（在 中 AWS，可在 中執行動作和存取資源的受信任實體 AWS 稱為*委託人*。 委託人可以是 AWS 帳戶根使用者、 使用者或角色。)

委託人需要這個層級的存取權，才能傳送授權的 Systems Manager 命令至 SSM Agent，委託人也可在 SSM Agent 中利用任何潛在的漏洞來執行惡意程式碼。

尤其是執行命令 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html) 和 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartSession.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartSession.html) 的許可，應謹慎加以限制。一個良好的第一步是只將每個命令的許可授與組織中的精選委託人。不過，我們建議您限制哪些受管節點委託人可以在其上執行這些命令，以進一步加強您的安全狀態。這可在指派給主體的 IAM 政策中實現。在 IAM 政策中，您可以包含條件，限制使用者僅在標記有特定標籤或是標籤組合的受管節點上執行命令。

例如，假設您有兩個機群的伺服器，一個用於測試，一個用於生產。在套用到資淺工程師的 IAM 政策中，您指定他們僅可在標記有 `ssm:resourceTag/testServer` 標籤的執行個體上執行命令。但是，對於應該能夠存取所有執行個體的一小群首席工程師，您對標記有 `ssm:resourceTag/testServer` 和 `ssm:resourceTag/productionServer` 標籤的執行個體授予存取權。

使用此方法，如果資淺工程師嘗試在生產執行個體上執行命令，系統將拒絕其存取，因為其指派的 IAM 政策未對標記有 `ssm:resourceTag/productionServer` 標籤的執行個體提供明確存取權。

如需詳細資訊及範例，請參閱下列主題：
+  [根據標籤限制 Run Command 存取](run-command-setting-up.md#tag-based-access) 
+  [根據執行個體標籤限制工作階段存取](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)