Документ команды запуска AWS SSM - запустить определенный скрипт

Я нахожусь в среде высокой степени безопасности и собираюсь настроить несколько экземпляров EC2, которыми можно дистанционно управлять с помощью AWS Run Command, но с очень ограниченным набором доступных действий. Обычно для экземпляра SSH отключен. Цель состоит в том, чтобы дать горстке инженеров возможность удаленно уничтожать, запускать или перезапускать один из нескольких специальных сценариев в данном экземпляре, не давая им возможности делать что-либо еще.

Мой основной план - создать небольшой набор документов AWSSM, ограничить роль IAM, которая имеет доступ к управлению экземпляром, чтобы запускать только эти документы, и заставить каждый документ вызывать определенный сценарий на удаленном сервере с очень ограниченным набором возможных параметры.

В приведенном ниже сообщении показано, как настроить роль IAM для ограничения доступа к определенным документам.

AWS IAM SSM - ограничение документов, которые могут запускать экземпляры

Как сделать документ команды запуска, который запускает определенный жестко закодированный скрипт? Я хочу вызвать команду run с внешнего сервера и иметь возможность вызывать только определенный сценарий или один из 4 или 5 сценариев с параметрами, но не могу найти хороший пример документа, который это делает.