Paso 4: Creación de un IAM Perfil de instancia de para Administrador de sistemas - AWS Administrador de sistemas

Paso 4: Creación de un IAM Perfil de instancia de para Administrador de sistemas

De forma predeterminada, AWS Administrador de sistemas no tiene permiso para realizar acciones en sus instancias. Para conceder acceso debe utilizar un perfil de instancia de AWS Identity and Access Management (IAM). Un perfil de instancia es un contenedor que pasa información del rol de IAM a una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en el momento del lanzamiento. Puede crear un perfil de instancia para Administrador de sistemas asociando una o más políticas de IAM que definan los permisos necesarios para un nuevo rol o para un rol que ya haya creado.

nota

Puede utilizar la configuración rápida de Administrador de sistemas para configurar rápidamente un perfil de instancia en todas las instancias de su cuenta de AWS. La configuración rápida también crea un IAM función de servicio (o asumir que permite Administrador de sistemas para ejecutar comandos de forma segura en sus instancias en su nombre. Si utiliza la configuración rápida, puede omitir este paso (paso 4) y el paso 5 de esta sección. Para obtener más información, consulte AWS Administrador de sistemas Instalación rápida.

Tenga en cuenta la siguiente información sobre cómo crear un perfil de instancia de IAM:

  • Si está configurando servidores o máquinas virtuales (MV) en un entorno híbrido para Administrador de sistemas, no es necesario crear un perfil de instancia para los mismos. En su lugar debe configurar los servidores y las máquinas virtuales para que utilicen el rol de servicio de IAM. Para obtener más información, consulte Crear un rol de servicio de IAM para un entorno híbrido.

  • Si cambia el perfil de instancia de IAM, puede pasar un tiempo antes de que las credenciales de la instancia se actualicen. Agente de SSM no procesará solicitudes hasta que esto ocurra. Para acelerar el proceso de actualización, puede reiniciar el Agente de SSM o la instancia.

Acerca de políticas para un perfil de instancia de Administrador de sistemas

Esta sección describe las políticas que puede añadir a su perfil de instancia EC2 para Administrador de sistemas. Para proporcionar permisos para la comunicación entre las instancias y la API de Administrador de sistemas, le recomendamos que cree políticas personalizadas que tengan en cuenta las necesidades del sistema y los requisitos de seguridad. Sin embargo, como punto de partida, puede utilizar una o varias de las siguientes políticas para proporcionar permisos para que Administrador de sistemas interactúe con las instancias. La primera política, AmazonSSMManagedInstanceCore, permite a una instancia utilizar la funcionalidad principal del servicio AWS Administrador de sistemas. En función de su plan de operaciones, es posible que necesite permisos representados en una o varias de las otras tres políticas.

Política: EsenciaAmazonSSMManagedInstanceCore

Permisos necesarios.

Esta política administrada de AWS permite que una instancia utilice la funcionalidad básica del servicio Administrador de sistemas.

Política: Una política personalizada para el acceso al bucket de S3

Permisos necesarios en uno de los siguientes casos:

  • Caso 1: Está utilizando un punto de enlace de la VPC para conectar de forma privada su VPC a servicios de AWS compatibles y servicios de punto de enlace de la VPC basados en PrivateLink.

    Agente de SSM es el software de Amazon que está instalado en las instancias y lleva a cabo las tareas de Administrador de sistemas. Este agente necesita acceso a los buckets de S3 específicos que son propiedad de Amazon. Estos buckets son accesibles al público.

    Sin embargo, en un entorno de conexión de punto de enlace de la VPC, tiene que dar acceso de forma explícita a dichos buckets.

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    Para obtener más información, consulte Paso 6: (Opcional) Crear un punto de enlace de nube privada virtual, Acerca de los permisos mínimos del bucket de S3 para Agente de SSM y Puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.

  • Caso 2: Tiene previsto utilizar un bucket de S3 que cree como parte de su Administrador de sistemas de las operaciones de.

    Su perfil de instancia EC2 para Administrador de sistemas tiene que garantizar el acceso a un bucket de S3 de su propiedad para tareas como estas:

    • Acceder a los scripts que almacena en el bucket de S3 para utilizarlos en los comandos que ejecuta.

    • Almacenar el resultado completo de los comando de Run Command o las sesiones de Session Manager.

    • Acceder a las listas personalizadas de parches para utilizarlas cuando se lleve a cabo el parcheado de sus instancias.

nota

Guardar los datos del registro de salida en un bucket de S3 es opcional, pero le recomendamos que configure esta opción al principio de su proceso de configuración de Administrador de sistemas si ha decidido utilizarlo. Para obtener más información, consulte Crear un bucket en la Guía de introducción a Amazon Simple Storage Service.

Política: Acceso a AmazonSSMDirectoryService

Solo es necesaria si planea unir una instancia EC2 para Windows Server a un directorio AD de Microsoft.

Esta política administrada de AWS permite a Agente de SSM acceder a AWS Directory Service en su nombre para las solicitudes de unión al dominio por parte de la instancia administrada. Para obtener más información, consulte Cómo unir de forma fluida una instancia EC2 de Windows en la AWS Directory Service Administration Guide.

Política: Política de servidor de agente de CloudWatch

Solo es obligatoria si planea instalar y ejecutar Agente de CloudWatch en sus instancias para leer métricas y datos de registro en una instancia y escribirlos en Amazon CloudWatch. Esto sirve para monitorizar, analizar y responder rápidamente a problemas o cambios en los recursos de AWS.

Su perfil de instancia solo necesita esta política si va a utilizar características como Amazon EventBridge o bien CloudWatch Logs. (También puede crear una política más restrictiva que, por ejemplo, limite la escritura de acceso a un flujo de registro específico de CloudWatch Logs).

nota

Uso de EventBridge y CloudWatch Logs Las características de es opcional, pero recomendamos configurarlas al principio de su Administrador de sistemas del proceso de configuración si ha decidido utilizarlos. Para obtener más información, consulte la Guía del usuario de Amazon EventBridge y la Amazon CloudWatch Logs User Guide.

Para crear un perfil de instancia con permisos para servicios adicionales de Administrador de sistemas, consulte los siguientes recursos.

Tarea 1: (Opcional) Crear una política personalizada para el acceso al bucket de S3

La creación de una política personalizada para el acceso a Amazon S3 solo es necesaria si utiliza un punto de enlace de la VPC o un bucket de S3 de su propiedad en sus operaciones de Administrador de sistemas.

Para obtener más información acerca de los buckets de S3 administrados de AWS a los que proporciona acceso en la siguiente política, consulte Acerca de los permisos mínimos del bucket de S3 para Agente de SSM.

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies (Políticas) y, a continuación, seleccione Create policy (Crear política).

  3. Seleccione la pestaña JSON y sustituya el texto predeterminado con lo siguiente:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-ssm-region/*", "arn:aws:s3:::aws-windows-downloads-region/*", "arn:aws:s3:::amazon-ssm-region/*", "arn:aws:s3:::amazon-ssm-packages-region/*", "arn:aws:s3:::region-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-distributor-file-region/*", "arn:aws:s3:::aws-ssm-document-attachments-region/*", "arn:aws:s3:::patch-baseline-snapshot-region/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl", "s3:GetEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET" ] } ] }

    1 El primer elemento de Statement solo es necesario si utiliza un punto de enlace de la VPC.

    2 El segundo elemento de Statement solo es necesario si utiliza un bucket de S3 que ya haya creado para usarlo en sus operaciones de Administrador de sistemas.

    3 El permiso de la lista de control de acceso de PutObjectAcl solo es necesario si planea permitir el acceso entre cuentas para los buckets de S3 en otras cuentas

    4 El elemento GetEncryptionConfiguration es necesario si el bucket de S3 está configurado para utilizar el cifrado.

    5 Si el bucket de S3 está configurado para utilizar el cifrado, entonces el nodo raíz del bucket de S3 (por ejemplo, arn:aws:s3::::DOC-EXAMPLE-BUCKET) debe aparecer en la lista de Recurso sección. El usuario, grupo o rol de IAM deben configurarse con acceso al bucket raíz.

  4. Si está utilizando un punto de enlace de la VPC en sus operaciones, haga lo siguiente:

    En la primera Statement elemento, sustituir cada region marcador de posición con el identificador de la AWS Región: esta política se utilizará en. Por ejemplo, utilice us-east-2 para Región EE.UU Este (Ohio). Para obtener una lista de los region , consulta la sección Región columna en Puntos de enlace de servicio de Administrador de sistemas en la Referencia general de Amazon Web Services.

    importante

    Recomendamos que evite el uso de caracteres comodín (*) en lugar de regiones específicas en esta política. Por ejemplo, utilice arn:aws:s3:::aws-ssm-us-east-2/* y no utilizar arn:aws:s3:::aws-ssm-*/*. El uso de comodines podría proporcionar acceso a los buckets de S3 que no desea conceder acceso a. Si desea utilizar el perfil de instancia para más de una región, le recomendamos repetir el primer elemento de Statement de cada región.

    -o bien-

    Si no va a utilizar un punto de enlace de la VPC en sus operaciones, puede eliminar el primer elemento de Statement.

  5. Si está utilizando un bucket de S3 de su propiedad en sus operaciones de Administrador de sistemas, haga lo siguiente:

    En el segundo Statement elemento, reemplazar DOC-EXAMPLE-BUCKET con el nombre de un bucket de S3 en su cuenta de. Utilizará este bucket para sus operaciones de Administrador de sistemas. Otorga permisos para objetos del bucket mediante "arn:aws:s3:::my-bucket-name/*" como recurso. Para obtener más información acerca de cómo proporcionar permisos para buckets u objetos en buckets de , consulte el tema Especificación de permisos en una política en el Guía para desarrolladores de Amazon Simple Storage Service y AWS entrada de blog ¡Políticas de IAM y políticas de bucket y ACL! Oh, My! (Controlling Access to S3 Resources).

    nota

    Si utiliza más de un bucket, facilite el ARN de cada uno. Por ejemplo, para los permisos en los buckets:

    "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*" ]

    -o bien-

    Si no va a utilizar un bucket de S3 de su propiedad en las operaciones de Administrador de sistemas, puede eliminar el segundo elemento de Statement.

  6. Elija Review policy (Revisar la política).

  7. En Name (Nombre), escriba un nombre para identificar esta política, por ejemplo, SSMInstanceProfileS3Policy u otro nombre que prefiera.

  8. Elija Create Policy.

Tarea 2: Adición de permisos a un Administrador de sistemas Perfil de instancia de (consola)

En función de si va a crear un nuevo rol para su perfil de instancia o si va a añadir los permisos necesarios para un rol existente, utilice uno de los siguientes procedimientos.

Para crear un perfil de instancia para instancias administradas por Administrador de sistemas (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Roles (Roles) y luego seleccione Create role (Crear rol).

  3. En Select type of trusted entity (Seleccionar tipo de entidad de confianza), elija AWS service (Servicio de AWS).

  4. Inmediatamente bajo Elija el servicio que utilizará este rol, elige [EMPTY]y, a continuación, selecciona Siguiente: Permisos.

    
                                Elección del servicio de EC2 en la consola de IAM
  5. En la página Attach permissions policy (Asociar política de permisos), haga lo siguiente:

    • Utilice el campo Search (Buscar) para localizar AmazonSSMManagedInstanceCore. Seleccione la casilla situada junto a su nombre.

      
                                        Elección del servicio de EC2 en la consola de IAM

      La consola conserva la selección aunque busque otras políticas.

    • Si ha creado una política de bucket de S3 personalizada en el procedimiento anterior, Tarea 1: (Opcional) Crear una política personalizada para el acceso al bucket de S3, búsquela y seleccione la casilla situada junto a su nombre.

    • Si tiene previsto unir instancias a un Active Directory administrado por AWS Directory Service, busque AmazonSSMDirectoryServiceAccess y seleccione la casilla situada junto a su nombre.

    • Si tiene previsto utilizar EventBridge o CloudWatch Logs para administrar o monitorizar la instancia, busque CloudWatchAgentServerPolicy y seleccione la casilla situada junto a su nombre.

  6. Elegir Siguiente: Etiquetas.

  7. (Opcional) Añada uno o varios pares de valor etiqueta-clave para organizar, realizar un seguimiento o controlar el acceso a este rol y, a continuación, elija Siguiente: Revisión.

  8. En Role name (Nombre del rol), escriba un nombre para el nuevo perfil de instancia, por ejemplo, SSMInstanceProfile u otro nombre que prefiera.

    nota

    Anote el nombre del rol. Elegirá este rol al cuando cree instancias nuevas que desee administrar mediante Administrador de sistemas.

  9. (Opcional) En Role description (Descripción del rol), escriba una descripción para el perfil de instancia.

  10. Elija Create role. El sistema le devuelve a la página Roles.

Para añadir permisos de perfil de instancia para Administrador de sistemas a un rol existente (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Roles y, a continuación, el rol existente que desea asociar con un perfil de instancia para operaciones de Administrador de sistemas.

  3. En la pestaña Permisos, elija Attach policies (Asociar políticas).

  4. En la página Attach permissions policy (Asociar política de permisos), haga lo siguiente:

    • Seleccione la casilla situada junto a la política administrada obligatoria AmazonSSMManagedInstanceCore política.

    • Si ha creado una política personalizada del bucket de S3, seleccione la siguiente casilla junto a su nombre. Para obtener más información sobre las políticas personalizadas del bucket de S3 para un perfil de instancia, consulte Tarea 1: (Opcional) Crear una política personalizada para el acceso al bucket de S3.

    • Si planea unir instancias a un directorio activo administrado por AWS Directory Service, seleccione la casilla junto a AmazonSSMDirectoryServiceAccess.

    • Si tiene previsto utilizar EventBridge o CloudWatch Logs para administrar o monitorizar la instancia, seleccione la casilla junto a CloudWatchAgentServerPolicy.

  5. Elija Attach policy (Asociar política).

Para obtener información acerca de cómo actualizar un rol para que incluya una entidad de confianza o restringir aún más el acceso, consulte Modificación de un rol en la Guía del usuario de IAM.

Siga en Paso 5: Asociar un perfil de instancia de IAM a una instancia EC2.