#boto3 #aws-ssm #aws-systems-manager #amazon-systems-manager
Вопрос:
Я пытаюсь сбросить пароль AD пользователей, использующих AWS SSM.
Единственная проблема с этим подходом заключается в том, что команда запуска SSM сохраняет историю выполнения. В этой истории параметры отображаются открытым текстом, что может быть проблемой с безопасностью.
Есть ли какой-нибудь способ, которым я мог бы запустить runCommand без сохранения истории?
Или лучше, есть ли способ удалить историю?
Ответ №1:
Невозможно запускать команды без сохранения истории. Вы также не можете удалить исторические выполнения, см. Документы AWS здесь: https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-best-practices-delete-resources.htm:
После завершения обработки команды информация о ней сохраняется на вкладке История команд. Вы не можете удалить информацию с вкладки История команд.
Я бы рекомендовал поместить новый пароль в хранилище параметров SSM в виде защищенной строки и извлечь секрет из хранилища параметров SSM в качестве команды в скрипте. Это рекомендация AWS. https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-param-runcommand.html