Creación de un rol de IAM personalizado para Session Manager - AWS Systems Manager
Creación de un rol de IAM con permisos mínimos de Session Manager (consola)Creación de un rol de IAM con permisos para Session Manager, Amazon S3 y los Registros de CloudWatch (consola)

Creación de un rol de IAM personalizado para Session Manager

Puede crear un rol de AWS Identity and Access Management (IAM) que conceda a Session Manager el permiso para realizar acciones en las instancias administradas de Amazon EC2. Además, puede incluir una política para conceder los permisos necesarios para los registros de la sesión que se enviarán a Amazon Simple Storage Service (Amazon S3) y a los Registros de Amazon CloudWatch.

Después de crear el rol de IAM, para obtener información sobre cómo adjuntar el rol a una instancia, consulte Adjuntar o reemplazar un perfil de instancia en el sitio web de AWS re:Post. Para obtener más información sobre los roles y los perfiles de instancia de IAM, consulte Uso de perfiles de instancia en la Guía del usuario de IAM y Roles de IAM para Amazon EC2 en la Guía del usuario de instancias de Linux de Amazon Elastic Compute Cloud. Para obtener más información sobre cómo crear un rol de servicio de IAM para equipos locales, consulte Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube.

Creación de un rol de IAM con permisos mínimos de Session Manager (consola)

Utilice el siguiente procedimiento para crear un rol de IAM personalizado con una política que proporcione permisos solo para acciones de Session Manager en las instancias.

Para crear un perfil de instancia con permisos mínimos de Session Manager (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Políticas y, a continuación, Crear política. (Si aparece el botón Get Started [Comenzar], elíjalo y, a continuación, elija Create Policy [Crear política]).

  3. Seleccione la pestaña JSON.

  4. Reemplace el contenido predeterminado por la siguiente política. Para cifrar los datos de la sesión mediante AWS Key Management Service (AWS KMS), reemplace key-name por el nombre de recurso de Amazon (ARN) de AWS KMS key que desea utilizar.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

    Para obtener más información acerca de cómo utilizar una clave de KMS para cifrar los datos de la sesión, consulte Activación del cifrado de datos de sesión con claves de KMS (consola).

    Si no va a usar el cifrado de AWS KMS para los datos de la sesión, puede eliminar el siguiente contenido de la política.

    ,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

  5. Elija Siguiente: etiquetas.

  6. (Opcional) Para agregar etiquetas, elija Add tag (Agregar etiqueta) e ingrese las etiquetas preferidas para la política.

  7. Elija Siguiente: Revisar.

  8. En la página Review Policy (Revisar política), en Name (Nombre), escriba un nombre para la política insertada, como SessionManagerPermissions.

  9. (Opcional) En Description (Descripción), escriba una descripción para la política.

  10. Elija Crear política.

  11. En el panel de navegación, seleccione Roles y luego seleccione Crear rol.

  12. En la página Create role (Crear un rol), elija AWS service (Servicio de ), y en Use case (Caso de uso) elija EC2.

  13. Elija Siguiente.

  14. En la página Add permissions (Agregar permisos), seleccione la casilla de verificación situada a la izquierda del nombre de la política que acaba de crear, como SessionManagerPermissions.

  15. Elija Siguiente.

  16. En la página Name, review, and create (Asignar nombre, revisar y crear), en Role name (Nombre de rol), ingrese un nombre para el rol de IAM, como MySessionManagerRole.

  17. (Opcional) En Role description (Descripción del rol), escriba una descripción para el perfil de instancia.

  18. (Opcional) Para agregar etiquetas, elija Add tag (Agregar etiqueta) e ingrese las etiquetas preferidas para el rol.

    Elija Crear rol.

Para obtener información acerca de las acciones ssmmessages, consulte Referencia: ec2messages, ssmmessages y otras operaciones de la API.

Creación de un rol de IAM con permisos para Session Manager, Amazon S3 y los Registros de CloudWatch (consola)

Utilice el siguiente procedimiento para crear un rol de IAM personalizado con una política que proporcione permisos para acciones de Session Manager en las instancias. La política también proporciona los permisos necesarios para que los registros de la sesión se almacenen en buckets de Amazon Simple Storage Service (Amazon S3) y en grupos de registros de los Registros de Amazon CloudWatch.

importante

Para enviar registros de sesión a un bucket de Amazon S3 que pertenezca a otra Cuenta de AWS, debe agregar el permiso s3:PutObjectAcl a la política de rol de IAM. Además, debe asegurarse de que la política de bucket conceda acceso entre cuentas al rol de IAM utilizado por la cuenta propietaria para conceder permisos de Systems Manager para instancias administradas. Si el bucket utiliza el cifrado de Key Management Service (KMS), la política de KMS del bucket también debe conceder este acceso entre cuentas. Para obtener más información sobre cómo configurar permisos de bucket entre cuentas en Amazon S3, consulte Concesión de permisos de bucket entre cuentas en la Guía del usuario de Amazon Simple Storage Service. Si no se agregan estos permisos entre cuentas, la cuenta que posee el bucket de Amazon S3 no podrá acceder a los registros de salida de la sesión.

Para obtener información acerca de cómo especificar preferencias para almacenar los registros de sesiones, consulte Habilitar y deshabilitar el registro de actividad de la sesión.

Para crear un rol de IAM con permisos para Session Manager, Amazon S3 y los Registros de CloudWatch (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Políticas y, a continuación, Crear política. (Si aparece el botón Get Started [Comenzar], elíjalo y, a continuación, elija Create Policy [Crear política]).

  3. Seleccione la pestaña JSON.

  4. Reemplace el contenido predeterminado por la siguiente política. Reemplace cada example resource placeholder por su propia información.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel",
                "ssm:UpdateInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/s3-prefix/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        },
        {
            "Effect": "Allow",
            "Action": "kms:GenerateDataKey",
            "Resource": "*"
        }
    ]
}

  5. Elija Siguiente: etiquetas.

  6. (Opcional) Para agregar etiquetas, elija Add tag (Agregar etiqueta) e ingrese las etiquetas preferidas para la política.

  7. Elija Siguiente: Revisar.

  8. En la página Review Policy (Revisar política), en Name (Nombre), escriba un nombre para la política insertada, como SessionManagerPermissions.

  9. (Opcional) En Description (Descripción), escriba una descripción para la política.

  10. Elija Crear política.

  11. En el panel de navegación, seleccione Roles y luego seleccione Crear rol.

  12. En la página Create role (Crear un rol), elija AWS service (Servicio de ), y en Use case (Caso de uso) elija EC2.

  13. Elija Siguiente.

  14. En la página Add permissions (Agregar permisos), seleccione la casilla de verificación situada a la izquierda del nombre de la política que acaba de crear, como SessionManagerPermissions.

  15. Elija Siguiente.

  16. En la página Name, review, and create (Asignar nombre, revisar y crear), en Role name (Nombre de rol), ingrese un nombre para el rol de IAM, como MySessionManagerRole.

  17. (Opcional) En Role description (Descripción del rol), ingrese una descripción para el rol.

  18. (Opcional) Para agregar etiquetas, elija Add tag (Agregar etiqueta) e ingrese las etiquetas preferidas para el rol.

  19. Elija Crear rol.