Paso 2: verificar o crear de un rol de IAM con permisos de Session Manager
De forma predeterminada, AWS Systems Manager no tiene permiso para realizar acciones en sus instancias. Para conceder acceso debe utilizar AWS Identity and Access Management (IAM). En las instancias de Amazon Elastic Compute Cloud (Amazon EC2), los permisos se proporcionan en un perfil de instancias. Un perfil de instancias pasa un rol de IAM a una instancia de Amazon EC2. Puede adjuntar un perfil de instancias de IAM a una instancia de Amazon EC2 en el momento de lanzarla, o bien, adjuntarlo a una instancia ya lanzada anteriormente. Para obtener más información, consulte Uso de perfiles de instancia.
Para servidores en las instalaciones o máquinas virtuales, los permisos los proporciona el rol de servicio de IAM asociado a la activación híbrida utilizada para registrar los servidores en las instalaciones y las máquinas virtuales con Systems Manager. Los servidores locales y las máquinas virtuales no utilizan perfiles de instancia.
Si ya utiliza otras capacidades de Systems Manager, como Run Command o Parameter Store, es posible que ya se haya adjuntado a las instancias de Amazon EC2 un perfil de instancias con los permisos básicos necesarios para Session Manager. Si un perfil de instancias que contiene la política administrada por AWS AmazonSSMManagedInstanceCore ya se ha adjuntado a las instancias, los permisos necesarios para Session Manager ya se habrán proporcionado. Esto también aplica si el rol de servicio de IAM utilizado en la activación híbrida contiene la política administrada AmazonSSMManagedInstanceCore.
No se puede cambiar el rol de servicio de IAM asociado a una activación híbrida. Si descubre que el rol de servicio no contiene los permisos necesarios, debe anular el registro de la instancia administrada y registrarla con una nueva activación híbrida que utilice un rol de servicio con los permisos necesarios. Para obtener más información acerca de cómo se anula el registro de las instancias administradas, consulte Anulación del registro de nodos administrados en un entorno híbrido. Para obtener más información acerca de la creación de un rol de servicio de IAM para equipos locales, consulte Creación de un rol de servicio de IAM para un entorno híbrido.
Sin embargo, en algunos casos, es posible que tenga que modificar los permisos asociados al perfil de instancia. Por ejemplo, si desea proporcionar un conjunto más limitado de permisos de instancia, si ha creado una política personalizada para su perfil de instancias o si desea utilizar el cifrado de Amazon Simple Storage Service (Amazon S3) o las opciones de cifrado de AWS Key Management Service (AWS KMS) para proteger los datos de la sesión. En estos casos, realice una de las siguientes operaciones para permitir que se realicen acciones de Session Manager en las instancias:
-
Inserción de permisos de acciones de Session Manager en un rol de IAM personalizado
Con el fin de agregar permisos para las acciones de Session Manager a un rol de IAM existente que no se base en la política predeterminada proporcionada por AWS
AmazonSSMManagedInstanceCore, siga los pasos que se indican en Adición de permisos de Session Manager a un rol de IAM existente. -
Creación de un rol de IAM personalizado solo con permisos de Session Manager
Para crear un rol de IAM que contenga permisos solo para las acciones de Session Manager, siga los pasos que se indican en Creación de un rol de IAM personalizado para Session Manager.
-
Creación y uso de un nuevo rol de IAM con permisos para todas las acciones de Systems Manager
A fin de crear un rol de IAM para las instancias administradas de Systems Manager, que utilice una política predeterminada suministrada por AWS que conceda todos los permisos de Systems Manager, siga los pasos que se indican en Configurar permisos de instancia para Systems Manager.
Temas
