Paso 2: Verificar o agregar permisos de instancia para Session Manager - AWS Systems Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 2: Verificar o agregar permisos de instancia para Session Manager

De forma predeterminada, AWS Systems Manager no tiene permiso para realizar acciones en sus instancias. Puede proporcionar permisos de instancia a nivel de cuenta mediante un rol de AWS Identity and Access Management (IAM) o a nivel de instancia mediante un perfil de instancia. Si su caso de uso lo permite, le recomendamos que conceda el acceso a nivel de cuenta mediante la configuración de administración de host predeterminada. Si ya completó la configuración de administración de host predeterminada para su cuenta mediante la política AmazonSSMManagedEC2InstanceDefaultPolicy, puede continuar con el siguiente paso. Para obtener más información sobre la configuración de administración de host predeterminada, consulte Uso del ajuste de configuración de administración de host predeterminado.

Como alternativa, puede usar perfiles de instancia para proporcionar los permisos necesarios a sus instancias. Un perfil de instancias pasa un rol de IAM a una instancia de Amazon EC2. Puede adjuntar un perfil de instancias de IAM a una instancia de Amazon EC2 en el momento de lanzarla, o bien, adjuntarlo a una instancia ya lanzada anteriormente. Para obtener más información, consulte Uso de perfiles de instancia.

Para servidores en las instalaciones o máquinas virtuales, los permisos los proporciona el rol de servicio de IAM asociado a la activación híbrida utilizada para registrar los servidores en las instalaciones y las máquinas virtuales con Systems Manager. Los servidores locales y las máquinas virtuales no utilizan perfiles de instancia.

Si ya utiliza otras capacidades de Systems Manager, como Run Command o Parameter Store, es posible que ya se haya adjuntado a las instancias de Amazon EC2 un perfil de instancias con los permisos básicos necesarios para Session Manager. Si un perfil de instancias que contiene la política administrada por AWS AmazonSSMManagedInstanceCore ya se ha adjuntado a las instancias, los permisos necesarios para Session Manager ya se habrán proporcionado. Esto también aplica si el rol de servicio de IAM utilizado en la activación híbrida contiene la política administrada AmazonSSMManagedInstanceCore.

importante

No se puede cambiar el rol de servicio de IAM asociado a una activación híbrida. Si descubre que el rol de servicio no contiene los permisos necesarios, debe anular el registro de la instancia administrada y registrarla con una nueva activación híbrida que utilice un rol de servicio con los permisos necesarios. Para obtener más información acerca de cómo se anula el registro de las instancias administradas, consulte Anulación del registro de nodos administrados en un entorno híbrido y multinube. Para obtener más información acerca de la creación de un rol de servicio de IAM para equipos locales, consulte Creación de un rol de servicio de IAM para un entorno híbrido.

Sin embargo, en algunos casos, es posible que tenga que modificar los permisos asociados al perfil de instancia. Por ejemplo, si desea proporcionar un conjunto más limitado de permisos de instancia, si ha creado una política personalizada para su perfil de instancias o si desea utilizar el cifrado de Amazon Simple Storage Service (Amazon S3) o las opciones de cifrado de AWS Key Management Service (AWS KMS) para proteger los datos de la sesión. En estos casos, realice una de las siguientes operaciones para permitir que se realicen acciones de Session Manager en las instancias:

  • Inserción de permisos de acciones de Session Manager en un rol de IAM personalizado

    Con el fin de agregar permisos para las acciones de Session Manager a un rol de IAM existente que no se base en la política predeterminada proporcionada por AWS AmazonSSMManagedInstanceCore, siga los pasos que se indican en Adición de permisos de Session Manager a un rol de IAM existente.

  • Creación de un rol de IAM personalizado solo con permisos de Session Manager

    Para crear un rol de IAM que contenga permisos solo para las acciones de Session Manager, siga los pasos que se indican en Creación de un rol de IAM personalizado para Session Manager.

  • Creación y uso de un nuevo rol de IAM con permisos para todas las acciones de Systems Manager

    A fin de crear un rol de IAM para las instancias administradas de Systems Manager, que utilice una política predeterminada suministrada por AWS que conceda todos los permisos de Systems Manager, siga los pasos que se indican en Configurar permisos de instancia para Systems Manager.