メニュー
Amazon EC2 Systems Manager
ユーザーガイド

Systems Manager 管理ポリシーを使用したアクセス設定

Systems Manager 用の IAM 管理ポリシーを使用すると、Systems Manager ユーザーおよびインスタンスにアクセス許可と権限を迅速に設定できます。管理ポリシーは以下の役割を果たします。

  • AmazonEC2RoleforSSM (インスタンス信頼ポリシー): インスタンスが Systems Manager API とやり取りできるようになります。

  • AmazonSSMAutomationRole (サービスロール): オートメーションドキュメント内で定義されたアクティビティを実行するための EC2 オートメーションサービスのためのアクセス権限を提供します。

  • AmazonSSMFullAccess (ユーザー信頼ポリシー): Systems Manager API およびドキュメントに対するアクセス権限をユーザーに付与します。このポリシーは、管理者および信頼されたパワーユーザーに割り当てます。

  • AmazonSSMMaintenanceWindowRole (サービスロール): EC2 メンテナンスウィンドウのためのサービスロールを提供します。

  • AmazonSSMReadOnlyAccess (ユーザー信頼ポリシー): Get や List などの Systems Manager 読み取り専用 API アクションに対するアクセス権限をユーザーに付与します。

独自のカスタムロールポリシーを作成する場合は、「カスタムロールおよびポリシー使用したアクセス設定」を参照してください。

タスク 1: Systems Manager 用のユーザーアカウントを作成する

IAM ユーザーアカウントに VPC で管理者アクセスが許可されている場合、インスタンスの Systems Manager API を呼び出すアクセス権限があります。必要に応じて、Systems Manager を使用したインスタンス管理に特化した一意のユーザーアカウントを作成できます。Systems Manager 用の IAM 管理ポリシーを使用する新しいユーザーを作成するには、次の手順を使用します。

Systems Manager 用のユーザーアカウントを作成するには

  1. IAM コンソールの [Users] ページで、[Add User] を選択します。

  2. [Set user details] セクションで、ユーザー名 (例: SystemsManagerUserFullAccess または SystemsManagerUserReadOnly) を指定します。

  3. [Select AWS access type] セクションで、1 つまたは両方のアクセスオプションを選択します。[AWS Management Console access] を選択する場合、パスワードオプションも選択する必要があります。

  4. [Next: Permissions] を選択します。

  5. [Set permissions for] セクションで、[Attach existing policies directly] を選択します。

  6. フィルタフィールドに、AmazonSSM と入力します。

  7. [AmazonSSMFullAccess] または [AmazonSSMReadOnlyAccess] の横のチェックボックスを選択してから、[Next:Review] を選択します。

  8. 詳細を確認し、[Create] を選択します。

重要

ユーザーにパスワード情報を指定した場合は、ユーザーアカウントが作成された後にパスワード情報を慎重に確認してください。

タスク 2: Systems Manager マネージドインスタンス用のロールを作成する

インスタンスが Systems Manager API と通信できるようにするインスタンスロールを作成するには、以下の手順を使用します。ロールを作成したら、タスク 3 の説明に従ってインスタンスに割り当てることができます。

Systems Manager マネージドインスタンス用のロールを作成するには

  1. Open the IAM console at https://console.aws.amazon.com/iam/.

  2. ナビゲーションペインで [Roles] を選択し、続いて [Create New Role] を選択します。

  3. [Select role type] ページで、[AWS Service Role] の下にある [Amazon EC2] セクションの [Select] を選択します。

  4. [Attach Policy] ページで、[AmazonEC2RoleforSSM] の横にあるオプションを選択し、続いて [Next Step] を選択します。

  5. [Set role name and review] ページの [Role name] ボックスに名前を入力し、続いて説明を入力します。

    注記

    ロール名を書き留めます。このロール名は、Systems Manager を使用して管理するインスタンスを新しく作成する際に指定します。

  6. [Create Role] を選択します。システムでは、[Roles] ページが返されます。

タスク 3: Systems Manager ロールを使用する Amazon EC2 インスタンスを作成する

この手順では、作成したロールを使用する Amazon EC2 インスタンスを起動する方法について説明します。既存のインスタンスにロールをアタッチすることもできます。詳細については、『Amazon EC2 ユーザーガイド』 の「IAM ロールをインスタンスにアタッチする」を参照してください。

Systems Manager インスタンスロールを使用するインスタンスを作成するには

  1. Open the Amazon EC2 console at https://console.aws.amazon.com/ec2/.

  2. サポートされているリージョンを選択します。

  3. [Launch Instance] を選択し、インスタンスを選択します。

  4. インスタンスタイプを選択し、[Next: Configure Instance Details] を選択します。

  5. [IAM role] ドロップダウンリストで、先ほど作成した EC2 インスタンスロールを選択します。

  6. ウィザードを終了します。

Systems Manager を使用して設定する他のインスタンスを作成した場合は、それらのインスタンスごとに Systems Manager インスタンスロールを指定する必要があります。