Adición de permisos de Session Manager a un rol de IAM existente - AWS Systems Manager

Adición de permisos de Session Manager a un rol de IAM existente

Utilice el siguiente procedimiento para agregar permisos de Session Manager a un rol de AWS Identity and Access Management (IAM) existente. Si agrega permisos a un rol existente, puede mejorar la seguridad de su entorno de computación sin tener que utilizar la política AmazonSSMManagedInstanceCore de AWS para los permisos de instancia.

nota

Tenga en cuenta la siguiente información:

  • Este procedimiento supone que el rol existente ya incluye otros permisos ssm de Systems Manager para las acciones a las que desea permitir el acceso. Esta política sola no es suficiente para utilizar Session Manager.

  • El siguiente ejemplo de política incluye una acción s3:GetEncryptionConfiguration. Esta acción es necesaria si elige la opción Ejecutar cifrado de registros de S3 en las preferencias de registro de Session Manager.

Para agregar permisos de Session Manager a un rol existente (consola)

  1. Inicie sesión en AWS Management Console Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. Elija el nombre del rol al que le va a agregar los permisos.

  4. Elija la pestaña Permisos.

  5. Elija Agregar permisos y, a continuación, seleccione Crear política insertada.

  6. Seleccione la pestaña JSON.

  7. Reemplace la política predeterminada por el siguiente contenido. Reemplace key-name por el nombre de recurso de Amazon (ARN) de la clave de AWS Key Management Service (AWS KMS key) que desee utilizar.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

    Para obtener más información acerca de cómo utilizar una clave de KMS para cifrar los datos de la sesión, consulte Activación del cifrado de datos de sesión con claves de KMS (consola).

    Si no va a usar el cifrado de AWS KMS para los datos de la sesión, puede eliminar el siguiente contenido de la política.

    ,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

  8. Elija Siguiente: etiquetas.

  9. (Opcional) Para agregar etiquetas, elija Add tag (Agregar etiqueta) e ingrese las etiquetas preferidas para la política.

  10. Elija Siguiente: Revisar.

  11. En la página Review Policy (Revisar política), en Name (Nombre), escriba un nombre para la política insertada, como SessionManagerPermissions.

  12. (Opcional) En Description (Descripción), escriba una descripción para la política.

    Elija Crear política.

Para obtener información acerca de las acciones ssmmessages, consulte Referencia: ec2messages, ssmmessages y otras operaciones de la API.