在 AWS SSM 中，可以使用标签（标签和资源）和资源组（用于缩小范围）来控制 SSM 实例。通过这种方式，您可以保证只有受信任的实例被添加到 SSM 中。

示例代码：

1. 使用标签来控制实例：

aws ssm add-tags-to-resource --resource-type "ManagedInstance" --resource-id "instance-id" --tags Key="SSM-Managed",Value="true"

2. 使用资源组来控制实例：

aws ssm create-resource-data-sync --sync-name "sync-name" --s3-destination "BucketName=my-bucket-name,Region=us-west-2" --sync-type ResourceDataSync --sync-source "AWSOrganizationsSource={OrganizationSourceType=SINGLE_ACCOUNT,OrganizationalUnits=[org-unit-id]}"

这些代码将仅允许标记为“SSM-Managed”和在指定组织单位中的实例被添加到 SSM。您可以相应地进行更改和调整以适应您的环境。