Creación de un rol de IAM personalizado para Session Manager - AWS Systems Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un rol de IAM personalizado para Session Manager

Puede crear un rolAWS Identity and Access Management (IAM) que otorgueSession Manager el permiso para realizar acciones en sus instancias administradas de Amazon EC2. También puede incluir una política para conceder los permisos necesarios para que los registros de sesión se envíen a Amazon Simple Storage Service (Amazon S3) y a Amazon CloudWatch Logs.

Después de crear el rol de IAM, para obtener información acerca de cómo adjuntar el rol a una instancias, consulte Adjuntar o reemplazar un perfil de instancias en elAWS re:Post sitio web. Para obtener más información acerca de los roles y perfiles de instancias de IAM, consulte Uso de perfiles de instancias en la Guía del usuario de IAM y Roles de IAM para Amazon EC2 en la Guía del usuario de Amazon Elastic Compute Cloud para instancias de Linux. Para obtener más información acerca de la creación de un rol de servicio de IAM para equipos locales, consulte Creación de un rol de servicio de IAM para un entorno híbrido.

Creación de un rol de IAM con permisos mínimos de Session Manager (consola)

Utilice el siguiente procedimiento para crear un rol de IAM personalizado con una política que proporcione permisos solo para acciones de Session Manager en las instancias.

Para crear un perfil de instancia con permisos mínimos de Session Manager (consola)
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies (Políticas) y, a continuación, seleccione Create policy (Crear política). (Si aparece el botón Get Started [Comenzar], elíjalo y, a continuación, elija Create Policy [Crear política]).

  3. Seleccione la pestaña JSON.

  4. Reemplace el contenido predeterminado por la siguiente política. Para cifrar los datos de la sesión medianteAWS Key Management Service (AWS KMS), sustituya key-name por el nombre de recurso de Amazon (ARN) deAWS KMS key que quiera utilizar.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:UpdateInstanceInformation", "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }

    Para obtener más información acerca de cómo utilizar una clave de KMS para cifrar los datos de la sesión, consulte Activación del cifrado de datos de sesión con claves de KMS (consola).

    Si no va a usar el cifrado de AWS KMS para los datos de la sesión, puede eliminar el siguiente contenido de la política.

    , { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }
  5. Elija Next: Tags (Siguiente: etiquetas).

  6. (Opcional) Para agregar etiquetas, elija Add tag (Agregar etiqueta) e ingrese las etiquetas preferidas para la política.

  7. Elija Next: Review (Siguiente: revisar).

  8. En la página Review Policy (Revisar política), en Name (Nombre), escriba un nombre para la política insertada, como SessionManagerPermissions.

  9. (Opcional) En Description (Descripción), escriba una descripción para la política.

  10. Elija Create Policy (Crear política).

  11. En el panel de navegación, seleccione Roles y luego seleccione Create role.

  12. En la página Create role (Crear un rol), elija AWS service (Servicio de ), y en Use case (Caso de uso) elija EC2.

  13. Elija Siguiente.

  14. En la página Add permissions (Agregar permisos), seleccione la casilla de verificación situada a la izquierda del nombre de la política que acaba de crear, como SessionManagerPermissions.

  15. Elija Siguiente.

  16. En la página Name, review, and create (Asignar nombre, revisar y crear), en Role name (Nombre de rol), ingrese un nombre para el rol de IAM, como MySessionManagerRole.

  17. (Opcional) En Role description (Descripción del rol), escriba una descripción para el perfil de instancia.

  18. (Opcional) Para agregar etiquetas, elija Add tag (Agregar etiqueta) e ingrese las etiquetas preferidas para el rol.

    Elija Create role (Crear rol).

Para obtener información acerca de las acciones ssmmessages, consulte Referencia: ec2messages, ssmmessages y otras operaciones de la API.

Creación de un rol de IAM con permisos paraSession Manager Amazon S3 y CloudWatch Logs (consola)

Utilice el siguiente procedimiento para crear un rol de IAM personalizado con una política que proporcione permisos para acciones de Session Manager en las instancias. La política también proporciona los permisos necesarios para que los registros de sesiones se almacenen en buckets de Amazon Simple Storage Service (Amazon S3) y en grupos de CloudWatch registros de Amazon Logs.

importante

Para generar registros de sesiones en un bucket de Amazon S3 que pertenezca a otroCuenta de AWS, debe añadir els3:PutObjectAcl permiso a la política de roles de IAM. Además, debe asegurarse de que la política de bucket conceda acceso entre cuentas a la función de IAM utilizada por la cuenta propietaria para conceder permisos de Systems Manager para las instancias gestionadas. Si el bucket usa el cifrado del Servicio de administración de claves (KMS), la política de KMS del bucket también debe conceder este acceso entre cuentas. Para obtener más información sobre la configuración de los permisos de bucket entre cuentas en Amazon S3, consulte Concesión de permisos de bucket entre cuentas en la Guía del usuario de Amazon Simple Storage Service. Si no se agregan los permisos para varias cuentas, la cuenta que posee el bucket de Amazon S3 no podrá acceder a los registros de salida de la sesión.

Para obtener información acerca de cómo especificar preferencias para almacenar los registros de sesiones, consulte Registro de la actividad de la sesión.

Para crear un rol de IAM con permisos paraSession Manager Amazon S3 y CloudWatch Logs (consola)
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies (Políticas) y, a continuación, seleccione Create policy (Crear política). (Si aparece el botón Get Started [Comenzar], elíjalo y, a continuación, elija Create Policy [Crear política]).

  3. Seleccione la pestaña JSON.

  4. Reemplace el contenido predeterminado por la siguiente política. Reemplace cada example resource placeholder por su propia información.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel", "ssm:UpdateInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/s3-bucket-prefix/*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }, { "Effect": "Allow", "Action": "kms:GenerateDataKey", "Resource": "*" } ] }
  5. Elija Next: Tags (Siguiente: etiquetas).

  6. (Opcional) Para agregar etiquetas, elija Add tag (Agregar etiqueta) e ingrese las etiquetas preferidas para la política.

  7. Elija Next: Review (Siguiente: revisar).

  8. En la página Review Policy (Revisar política), en Name (Nombre), escriba un nombre para la política insertada, como SessionManagerPermissions.

  9. (Opcional) En Description (Descripción), escriba una descripción para la política.

  10. Elija Create Policy (Crear política).

  11. En el panel de navegación, seleccione Roles y luego seleccione Create role.

  12. En la página Create role (Crear un rol), elija AWS service (Servicio de ), y en Use case (Caso de uso) elija EC2.

  13. Elija Siguiente.

  14. En la página Add permissions (Agregar permisos), seleccione la casilla de verificación situada a la izquierda del nombre de la política que acaba de crear, como SessionManagerPermissions.

  15. Elija Siguiente.

  16. En la página Name, review, and create (Asignar nombre, revisar y crear), en Role name (Nombre de rol), ingrese un nombre para el rol de IAM, como MySessionManagerRole.

  17. (Opcional) En Role description (Descripción del rol), ingrese una descripción para el rol.

  18. (Opcional) Para agregar etiquetas, elija Add tag (Agregar etiqueta) e ingrese las etiquetas preferidas para el rol.

  19. Elija Create role (Crear rol).