Konfigurieren Sie die für Systems Manager erforderlichen Instanzberechtigungen

Hat standardmäßig AWS Systems Manager keine Berechtigung, Aktionen auf Ihren Instanzen auszuführen. Sie können Instanzberechtigungen auf Kontoebene mithilfe einer AWS Identity and Access Management (IAM-) Rolle oder auf Instanzebene mithilfe eines Instanzprofils gewähren. Wenn Ihr Anwendungsfall dies zulässt, empfehlen wir, mithilfe der Standardkonfiguration für die Host-Verwaltung Zugriff auf Kontoebene zu gewähren.

Empfohlene Konfiguration für EC2-Instanzberechtigungen

Die Standardkonfiguration für die Host-Verwaltung ermöglicht Systems Manager die automatische Verwaltung Ihrer Amazon-EC2-Instances. Nachdem Sie diese Einstellung aktiviert haben, werden alle Instances, die Instance Metadata Service Version 2 (IMDSv2) in der Version verwenden AWS-Region und AWS-Konto auf der SSM Agent Version 3.2.582.0 oder höher installiert ist, automatisch zu verwalteten Instanzen. Die Standardkonfiguration für die Host-Verwaltung unterstützt die Instance-Metadaten-Service-Version 1 nicht. Informationen zur Umstellung auf IMDSv2 finden Sie unter Umstellung auf die Verwendung von Instance Metadata Service Version 2 im Amazon EC2 EC2-Benutzerhandbuch. Informationen zur Überprüfung der auf Ihrer Instance installierten Version des SSM Agent finden Sie unter Überprüfen der SSM Agent-Versionsnummer. Informationen zur Aktualisierung des SSM Agent finden Sie unter Automatische Aktualisierung von SSM Agent. Zu den Vorteilen verwalteter Instances gehören die folgenden:

• Stellen Sie mit Session Manager eine sichere Verbindung zu Ihren Instances her.

• Führen Sie automatisierte Patch-Scans mit Patch Manager durch.

• Zeigen Sie mit Systems Manager Inventory detaillierte Informationen zu Ihren Instances an.

• Verfolgen und verwalten Sie Instances mithilfe von Fleet Manager.

• Halten Sie den SSM Agent automatisch auf dem neuesten Stand.

Fleet Manager, Inventar und Session Manager sind Patch Manager Funktionen von. AWS Systems Manager

Die Standardkonfiguration für die Host-Verwaltung ermöglicht die Instance-Verwaltung ohne die Verwendung von Instance-Profilen und stellt sicher, dass Systems Manager über Berechtigungen zum Verwalten aller Instances in der Region und im Konto verfügt. Wenn die bereitgestellten Berechtigungen für Ihren Anwendungsfall nicht ausreichen, können Sie auch Richtlinien zur Standard-IAM-Rolle hinzufügen, die von der Standardkonfiguration für die Host-Verwaltung erstellt wird. Wenn Sie keine Berechtigungen für alle Funktionen benötigen, die von der Standard-IAM-Rolle bereitgestellt werden, können Sie alternativ Ihre eigene benutzerdefinierte Rolle und Richtlinien erstellen. Alle Änderungen an der IAM-Rolle, die Sie für die Standardkonfiguration für die Host-Verwaltung auswählen, gelten für alle verwalteten Amazon-EC2-Instances in der Region und im Konto. Weitere Informationen über die von der Standardkonfiguration für die Host-Verwaltung verwendete Richtlinie finden Sie unter AWS verwaltete Richtlinie: InstanceDefault AmazonSSMManagedEC2-Richtlinie. Weitere Informationen zur Standard-Host-Verwaltungskonfiguration finden Sie unter Verwenden der Standardeinstellung für die Host-Management-Konfiguration.

Wichtig

Instances, die mit der Standardkonfiguration für die Host-Verwaltung registriert wurden, speichern Registrierungsinformationen lokal in den Verzeichnissen /lib/amazon/ssm oder C:\ProgramData\Amazon. Das Entfernen dieser Verzeichnisse oder der enthaltenen Dateien verhindert, dass die Instance die erforderlichen Anmeldeinformationen für die Verbindung mit Systems Manager über die Standardkonfiguration für die Host-Verwaltung erhält. In diesen Fällen müssen Sie ein Instance-Profil verwenden, um Ihrer Instance die erforderlichen Berechtigungen zu erteilen, oder die Instance neu erstellen.

Anmerkung

Dieses Verfahren sollte nur von Administratoren durchgeführt werden. Implementieren Sie den Zugriff mit den geringsten Berechtigungen, wenn Sie Einzelpersonen erlauben, die Standardkonfiguration für die Host-Verwaltung zu konfigurieren oder zu ändern. Sie müssen die Standard-Host-Management-Konfiguration in jeder Instanz aktivieren, in der AWS-Region Sie Ihre Amazon EC2 EC2-Instances automatisch verwalten möchten.

So aktivieren Sie die Einstellung der Standardkonfiguration für die Host-Verwaltung

Sie können die Standardkonfiguration für die Host-Verwaltung über die Fleet Manager-Konsole aktivieren. Um dieses Verfahren mit dem AWS Management Console oder Ihrem bevorzugten Befehlszeilentool erfolgreich abschließen zu können, benötigen Sie Berechtigungen für die API-Operationen GetServiceResetServiceSetting, UpdateService Setting und Setting. Darüber hinaus müssen Sie über Berechtigungen für die iam:PassRole-Berechtigung für die AWSSystemsManagerDefaultEC2InstanceManagementRole-IAM-Rolle verfügen. Es folgt eine Beispielrichtlinie . Ersetzen Sie jeden Beispiel Platzhalter für Ressourcen mit Ihren eigenen Informationen.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ssm:GetServiceSetting",
				"ssm:ResetServiceSetting",
				"ssm:UpdateServiceSetting"
			],
			"Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"ssm.amazonaws.com"
					]
				}
			}
		}
	]
}

Wenn Sie Instance-Profile an Ihre Amazon-EC2-Instances angefügt haben, entfernen Sie zunächst alle Berechtigungen, die diese ssm:UpdateInstanceInformation-Operation zulassen. Der SSM Agent versucht, die Instance-Profilberechtigungen zu verwenden, bevor die Berechtigungen der Standardkonfiguration für die Host-Verwaltung verwendet werden. Wenn Sie die ssm:UpdateInstanceInformation-Operation in Ihren Instance-Profilen zulassen, verwendet die Instance nicht die Berechtigungen der Standardkonfiguration für die Host-Verwaltung.

1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

2. Wählen Sie im Navigationsbereich Fleet Manager aus.

3. Wählen Sie im Drop-Down-Menü Kontoverwaltung die Option Standardkonfiguration für die Host-Verwaltung konfigurieren aus.

4. Aktivieren Sie Standardkonfiguration für die Host-Verwaltung aktivieren.

5. Wählen Sie die IAM-Rolle aus, die zum Aktivieren von Systems-Manager-Funktionen für Ihre Instances verwendet wird. Wir empfehlen die Verwendung der Standardrolle, die in der Standardkonfiguration für die Host-Verwaltung bereitgestellt wird. Sie enthält die Mindestberechtigungen für die Verwaltung Ihrer Amazon-EC2-Instances mit Systems Manager. Wenn Sie es vorziehen, eine benutzerdefinierte Rolle zu verwenden, muss die Vertrauensrichtlinie der Rolle Systems Manager als vertrauenswürdige Entität zulassen.

6. Wählen Sie Konfigurieren, um die Einrichtung abzuschließen.

Nach dem Aktivieren der Standardkonfiguration für die Host-Verwaltung kann es 30 Minuten dauern, bis Ihre Instances die Anmeldeinformationen der von Ihnen ausgewählten Rolle verwenden. Sie müssen die Standard-Host-Verwaltungskonfiguration in jeder Region aktivieren, in der Sie Ihre Amazon-EC2-Instances automatisch verwalten möchten.

Mehr anzeigenWeniger anzeigen

Alternative Konfiguration für EC2-Instanzberechtigungen

Sie können Zugriff auf der Ebene der einzelnen Instances gewähren, indem Sie ein AWS Identity and Access Management (IAM) Instance-Profil verwenden. Ein Instance-Profil ist ein Container, der Informationen zur IAM-Rolle beim Start an eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance übergibt. Sie können ein Instance-Profil für Systems Manager erstellen, indem Sie eine oder mehrere IAM-Richtlinien anfügen, die die erforderlichen Berechtigungen für eine neue Rolle oder eine bereits von ihnen erstellte Rolle definieren.

Anmerkung

Sie könnenQuick Setup, eine Funktion von, verwenden AWS Systems Manager, um schnell ein Instanzprofil für alle Instances in Ihrem AWS-Konto zu konfigurieren. Quick Setuperstellt außerdem eine IAM-Servicerolle (oder übernimmt die Rolle), sodass Systems Manager Befehle auf Ihren Instances in Ihrem Namen sicher ausführen kann. Mit Quick Setup können Sie diesen Schritt (Schritt 3) und Schritt 4 überspringen. Weitere Informationen finden Sie unter AWS Systems Manager Quick Setup.

Beachten Sie die folgenden Details zum Erstellen eines IAM-Instance-Profils:

• Wenn Sie Nicht-EC2-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung für Systems Manager konfigurieren, müssen Sie für diese kein Instance-Profil erstellen. Konfigurieren Sie Ihre Server und VMs stattdessen zur Verwendung einer IAM-Servicerolle. Weitere Informationen finden Sie unter Erstellen der für Systems Manager erforderlichen IAM-Servicerolle in Hybrid- und Multicloud-Umgebungen.

• Wenn Sie das IAM-Instance-Profil ändern, kann es einige Zeit dauern, bis die Instance-Anmeldeinformationen aktualisiert werden. SSM Agent verarbeitet Anfragen erst, wenn dies erfolgt ist. Um den Aktualisierungsprozess zu beschleunigen, können Sie SSM Agent oder die Instance erneut starten.

Verwenden Sie eine der folgenden Vorgehensweisen, je nachdem, ob Sie eine neue Rolle für Ihr Instance-Profil erstellen oder die erforderlichen Berechtigungen zu einer vorhandenen Rolle hinzufügen.

Erstellen eines Instance-Profils für von Systems Manager verwaltete Instances (Konsole)

1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).

3. Wählen Sie für Trusted entity type (Vertrauenswürdige Entität) die Option AWS-Service aus.

4. Wählen Sie direkt unter Use case (Anwendungsfall) die Option EC2 und dann Next (Weiter) aus.

5. Gehen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) wie folgt vor:

   • Verwenden Sie das Suchfeld, um die ManagedInstanceAmazonSSM Core-Richtlinie zu finden. Aktivieren Sie das Kontrollkästchen neben dem Namen.

     

     Die Konsole behält Ihre Auswahl auch dann bei, wenn Sie nach anderen Richtlinien suchen.

   • Wenn Sie im vorherigen Verfahren, (Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket, eine benutzerdefinierte S3-Bucket-Richtlinie erstellt haben, suchen Sie danach und aktivieren Sie das Kontrollkästchen neben ihrem Namen.

   • Wenn Sie Instances einem Active Directory hinzufügen möchten, das von verwaltet wird AWS Directory Service, suchen Sie nach AmazonSSM DirectoryService Access und aktivieren Sie das Kontrollkästchen neben dem Namen.

   • Wenn Sie planen, Ihre Instance mithilfe von EventBridge oder CloudWatch Logs zu verwalten oder zu überwachen, suchen Sie nach CloudWatchAgentServerPolicy und aktivieren Sie das Kontrollkästchen neben dem Namen.

6. Wählen Sie Weiter aus.

7. Geben Sie unter Role name (Rollenname) einen Namen für Ihr neues Instance-Profil ein, wie z. B. SSMInstanceProfile.

   Anmerkung

   Notieren Sie sich den Rollennamen. Sie wählen diese Rolle beim Erstellen neuer Instances, die Sie mit Systems Manager verwalten möchten.

8. (Optional) Aktualisieren Sie in Description (Beschreibung) die Beschreibung für dieses Instance-Profil ein.

9. (Optional) Fügen Sie für Tags ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu steuern, und wählen Sie dann Create role (Rolle erstellen) aus. Das System leitet Sie zur Seite Roles (Rollen) zurück.

Mehr anzeigenWeniger anzeigen

So fügen Sie Instance-Profil-Berechtigungen für Systems Manager zu einer vorhandenen Rolle hinzu (Konsole)

1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Klicken Sie im Navigationsbereich auf Rollen und wählen Sie die vorhandene Rolle aus, die Sie einem Instance-Profil für Systems Manager-Operationen zuordnen möchten.

3. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Optionen Add permissions, Attach policies (Berechtigungen hinzufügen, Richtlinien anfügen) aus.

4. Führen Sie auf der Seite Attach Policy (Richtlinie anfügen) die folgenden Schritte aus:

   • Verwenden Sie das Suchfeld, um die AmazonSSM ManagedInstance Core-Richtlinie zu finden. Aktivieren Sie das Kontrollkästchen neben dem Namen.

   • Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie erstellt haben, suchen Sie danach und aktivieren Sie das Kontrollkästchen neben ihrem Namen. Weitere Informationen zu benutzerdefinierten S3-Bucket-Richtlinien für ein Instance-Profil finden Sie unter (Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket.

   • Wenn Sie Instances einem Active Directory hinzufügen möchten, das von verwaltet wird AWS Directory Service, suchen Sie nach AmazonSSM DirectoryService Access und aktivieren Sie das Kontrollkästchen neben dem Namen.

   • Wenn Sie planen, Ihre Instance mithilfe von EventBridge oder CloudWatch Logs zu verwalten oder zu überwachen, suchen Sie nach CloudWatchAgentServerPolicy und aktivieren Sie das Kontrollkästchen neben dem Namen.

5. Wählen Sie Richtlinien anfügen.

Mehr anzeigenWeniger anzeigen

Informationen zum Aktualisieren einer Rolle mit einer vertrauenswürdigen juristischen Stelle oder zur weiteren Einschränkung des Zugriffs finden Sie unter Ändern einer Rolle im IAM-Benutzerhandbuch.

(Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket

Es muss nur dann eine benutzerdefinierte Richtlinie für Amazon S3-Zugriff erstellt werden, wenn Sie einen VPC-Endpunkt oder einen eigenen S3 Bucket in Ihren Systems Manager-Operationen verwenden. Sie können diese Richtlinie an die Standard-IAM-Rolle anfügen, die Sie mit der Standardkonfiguration für die Host-Verwaltung erstellt haben, oder an ein Instance-Profil, das Sie mit dem vorherigen Verfahren erstellt haben.

Informationen zu den AWS verwalteten S3-Buckets, auf die Sie in der folgenden Richtlinie Zugriff gewähren, finden Sie unterSSM Agent-Kommunikationen mit AWS -verwalteten S3-Buckets.

1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen).

3. Wählen Sie die Registerkarte JSON und ersetzen Sie den Standard-Text durch den folgenden.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "s3:GetObject",
               "Resource": [
                   "arn:aws:s3:::aws-ssm-region/*",
                   "arn:aws:s3:::aws-windows-downloads-region/*",
                   "arn:aws:s3:::amazon-ssm-region/*",
                   "arn:aws:s3:::amazon-ssm-packages-region/*",
                   "arn:aws:s3:::region-birdwatcher-prod/*",
                   "arn:aws:s3:::aws-ssm-distributor-file-region/*",
                   "arn:aws:s3:::aws-ssm-document-attachments-region/*",
                   "arn:aws:s3:::patch-baseline-snapshot-region/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetObject",
                   "s3:PutObject",
                   "s3:PutObjectAcl", 
                   "s3:GetEncryptionConfiguration" 
               ],
               "Resource": [
                   "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                   "arn:aws:s3:::DOC-EXAMPLE-BUCKET" 
               ]
           }
       ]
   }

   ¹ Das erste Statement-Element ist nur erforderlich, wenn Sie einen VPC-Endpunkt verwenden.

   ² Das zweite Statement-Element ist nur erforderlich, wenn Sie einen S3 Bucket verwenden, den Sie zur Verwendung bei Ihren Systems Manager-Operationen erstellt haben.

   ³ Die PutObjectAcl-ACL-Berechtigung ist nur erforderlich, wenn Sie vorhaben, kontoübergreifenden Zugriff auf S3-Buckets in anderen Konten zu unterstützen.

   ⁴ Das GetEncryptionConfiguration-Element ist erforderlich, wenn Ihr S3-Bucket für die Verwendung der Verschlüsselung konfiguriert ist.

   ⁵ Wenn Ihr S3 Bucket für die Verwendung der Verschlüsselung konfiguriert ist, muss das S3-Bucket-Stammverzeichnis (z. B. arn:aws:s3:::DOC-EXAMPLE-BUCKET) im Abschnitt Resource (Ressource) aufgeführt werden. Ihr Benutzer, Ihre Gruppe oder Ihre Rolle muss mit Zugriff auf den Stamm-Bucket konfiguriert sein.

4. Wenn Sie einen VPC-Endpunkt in Ihren Operationen verwenden, gehen Sie wie folgt vor:

   Ersetzen Sie im ersten Statement-Element jeden region-Platzhalter durch die ID der AWS-Region , in der diese Richtlinie verwendet wird. Verwenden Sie beispielsweise us-east-2 für die Region USA Ost (Ohio). Eine Liste der unterstützten Region-Werte finden Sie in der Spalte Region unter Service-Endpunkte von Systems Manager in der Allgemeine Amazon Web Services-Referenz.

   Wichtig

   Wir empfehlen, dass Sie keine Platzhalterzeichen (*) für bestimmte Regionen in dieser Richtlinie verwenden. Verwenden Sie beispielsweise arn:aws:s3:::aws-ssm-us-east-2/* und nicht arn:aws:s3:::aws-ssm-*/*. Bei der Verwendung von Platzhaltern könnte Zugriff auf S3-Buckets erteilt werden, für die Sie keinen Zugriff gewähren möchten. Wenn Sie das Instance-Profil für mehr als eine Region verwenden möchten, empfehlen wir, das erste Statement-Element für jede Region zu wiederholen.

   –oder–

   Wenn Sie in Ihren Operationen keinen VPC-Endpunkt verwenden, können Sie das erste Statement-Element löschen.

5. Wenn Sie einen eigenen S3-Bucket in Ihren Systems Manager-Operationen verwenden, gehen Sie wie folgt vor:

   Ersetzen Sie im zweiten Statement-Element DOC-EXAMPLE-BUCKET durch den Namen eines S3 Buckets in Ihrem Konto. Dieser Bucket wird nun für Ihre Systems Manager-Operationen verwendet. Er bietet die Berechtigung für Objekte im Bucket, wobei "arn:aws:s3:::my-bucket-name/*" als Ressource verwendet wird. Weitere Informationen über die Bereitstellung von Berechtigungen für Buckets oder Objekte in Buckets finden Sie im Thema Amazon-S3-Aktionen im Benutzerhandbuch zu Amazon Simple Storage Service und im AWS -Blog-Beitrag IAM Policies and Bucket Policies and ACLs! Oh, My! (Steuern des Zugriffs auf S3-Ressourcen).

   Anmerkung

   Wenn Sie mehr als einen Bucket verwenden, geben Sie den ARN für jeden davon an. Im folgenden Beispiel finden Sie Berechtigungen für Buckets.

   "Resource": [
   "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
   "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"
                  ]
   

   –oder–

   Wenn Sie bei Ihren Systems Manager-Operationen keinen eigenen S3 Bucket verwenden, können Sie das zweite Statement-Element löschen.

6. Wählen Sie Weiter: Markierungen.

7. (Optional) Fügen Sie Tags hinzu, indem SieAdd tag (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.

8. Wählen Sie Weiter: Prüfen aus.

9. Geben Sie unter Name einen Namen für diese Richtlinie, z. B. SSMInstanceProfileS3Policy, ein.

10. Wählen Sie Richtlinie erstellen aus.

Zusätzliche Richtlinienüberlegungen für verwaltete Instances

In diesem Abschnitt werden einige der Richtlinien beschrieben, die Sie der Standard-IAM-Rolle hinzufügen können, die von der Standardkonfiguration für die Host-Verwaltung oder Ihren Instance-Profilen für AWS Systems Manager erstellt wurde. Um Berechtigungen für die Kommunikation zwischen Instances und der Systems-Manager-API zu erteilen, empfehlen wir, benutzerdefinierte Richtlinien zu erstellen, die Ihre System- und Sicherheitsanforderungen berücksichtigen. Abhängig von Ihrem Betriebsplan benötigen Sie möglicherweise Berechtigungen, die in einer oder mehreren der anderen Richtlinien dargestellt werden.

Richtlinie: AmazonSSMDirectoryServiceAccess

Nur erforderlich, wenn Sie vorhaben, Amazon-EC2-Instances für Windows Server einem Microsoft AD-Verzeichnis zuzuteilen.

Diese AWS verwaltete Richtlinie ermöglicht SSM Agent den Zugriff in Ihrem Namen AWS Directory Service auf Anfragen der verwalteten Instanz, der Domäne beizutreten. Weitere Informationen finden Sie unter Nahtloser Beitritt zu einer Windows-EC2-Instance im AWS Directory Service -Administratorhandbuch.

Richtlinie: CloudWatchAgentServerPolicy

Nur erforderlich, wenn Sie planen, den CloudWatch Agenten auf Ihren Instances zu installieren und auszuführen, um Metrik- und Protokolldaten auf einer Instance zu lesen und in Amazon zu schreiben CloudWatch. Diese helfen Ihnen dabei, Probleme oder Änderungen an Ihren AWS Ressourcen zu überwachen, zu analysieren und schnell darauf zu reagieren.

Ihre Standard-IAM-Rolle, die mit der Standard-Host-Management-Konfiguration oder dem Instance-Profil erstellt wurde, benötigt diese Richtlinie nur, wenn Sie Funktionen wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden. (Sie können auch eine restriktivere Richtlinie erstellen, die beispielsweise den Schreibzugriff auf einen bestimmten CloudWatch Logs-Protokollstream einschränkt.)

Anmerkung

Die Verwendung der Funktionen EventBridge und CloudWatch Protokollierung ist optional. Wenn Sie sich jedoch hierzu entschlossen haben, sollte diese zu Beginn des Systems-Manager-Konfigurationsprozesses eingerichtet werden. Weitere Informationen finden Sie im EventBridge Amazon-Benutzerhandbuch und im Amazon CloudWatch Logs-Benutzerhandbuch.

Informationen zum Erstellen von IAM-Richtlinien mit Berechtigungen für zusätzliche Systems-Manager-Funktionen finden Sie in den folgenden Ressourcen:

• Einschränken des Zugriffs auf Systems Manager-Parameter mithilfe von IAM-Richtlinien

• Einrichten der Automatisierung

• Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager

Anfügen des Systems-Manager-Instance-Profils an eine Instance (Konsole)

1. Melden Sie sich bei der Amazon EC2 EC2-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich unter Instances die Option Instances.

3. Navigieren Sie in der Liste zu Ihrer EC2-Instance und wählen Sie sie aus.

4. Wählen Sie im Menü Actions (Aktionen) die Option Security (Sicherheit), Modify IAM role (IAM-Rolle ändern).

5. Wählen Sie für die IAM-Rolle das Instance-Profil aus, das Sie mithilfe des Verfahrens in Alternative Konfiguration für EC2-Instanzberechtigungen erstellt haben.

6. Wählen Sie Aktualisieren der IAM-Rolle.

Für weitere Informationen zum Anhängen von IAM-Rollen an Instances, wählen Sie, je nach Ihrem ausgewählten Betriebssystem, einen der folgenden Schritte aus:

• Fügen Sie einer Instance im Amazon EC2 EC2-Benutzerhandbuch eine IAM-Rolle hinzu

• Fügen Sie einer Instance im Amazon EC2 EC2-Benutzerhandbuch eine IAM-Rolle hinzu

Fahren Sie fort mit Verbessern Sie die Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten für Systems Manager.