Paso 1: configurar los permisos de instancia para Systems Manager - AWS Systems Manager
Configuración recomendadaConfiguración alternativa(Opcional) Crear una política personalizada para el acceso al bucket de S3Consideraciones sobre políticas adicionales para las instancias administradasAdjuntar el perfil de instancia de Systems Manager a una instancia (consola)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 1: configurar los permisos de instancia para Systems Manager

De forma predeterminada, AWS Systems Manager no tiene permiso para realizar acciones en sus instancias. Puedes proporcionar permisos de instancia a nivel de cuenta mediante un rol AWS Identity and Access Management (IAM) o a nivel de instancia mediante un perfil de instancia. Si su caso de uso lo permite, le recomendamos que conceda el acceso a nivel de cuenta mediante la configuración de administración de host predeterminada.

Configuración recomendada

La configuración de administración de host predeterminada permite a Systems Manager administrar sus instancias de Amazon EC2 de forma automática. Una vez que hayas activado esta configuración, todas las instancias que utilicen la versión 2 del Servicio de Metadatos de Instancia (IMDSv2) Región de AWS y Cuenta de AWS que tengan instalada la SSM Agent versión 3.2.582.0 o posterior se convertirán automáticamente en instancias administradas. La configuración de administración de host predeterminada no admite la versión 1 del servicio de metadatos de instancias. Para obtener información sobre la transición a IMDSv2, consulte Transición al uso del servicio de metadatos de instancias versión 2 en la Guía del usuario de Amazon EC2 para instancias de Linux. Para obtener información sobre cómo comprobar la versión de SSM Agent instalada en la instancia, consulte Verificación del número de versión de SSM Agent. Para obtener información sobre cómo actualizar SSM Agent, consulte Actualización automática de SSM Agent. Entre los beneficios de administrar instancias, se incluyen los siguientes:

  • Conéctese a sus instancias de forma segura mediante Session Manager.

  • Realice escaneos de revisiones automatizados mediante Patch Manager.

  • Consulte información detallada sobre sus instancias mediante Systems Manager Inventory.

  • Realice un seguimiento y administre las instancias mediante Fleet Manager.

  • Mantenga SSM Agent actualizado automáticamente.

Fleet Manager, Inventory y son capacidades Patch Manager de. Session Manager AWS Systems Manager

La configuración de administración de host predeterminada permite la administración de instancias sin el uso de perfiles de instancia y garantiza que Systems Manager tenga permisos para administrar todas las instancias de la región y la cuenta. Si los permisos proporcionados no son suficientes para su caso de uso, también puede agregar políticas al rol de IAM predeterminado creado en la configuración de administración de host predeterminada. Como alternativa, si no necesita permisos para todas las capacidades proporcionadas por el rol de IAM predeterminado, puede crear sus propias políticas y roles personalizados. Cualquier cambio realizado en el rol de IAM que elija para la configuración de administración de host predeterminada se aplica a todas las instancias de Amazon EC2 administradas en la región y la cuenta. Para obtener más información sobre la política utilizada por la configuración de administración de host predeterminada, consulte AWS política gestionada: AmazonSSMManageDec2 InstanceDefaultPolicy. Para obtener más información sobre la configuración de administración de host predeterminada, consulte Uso del ajuste de configuración de administración de host predeterminado.

importante

Las instancias registradas mediante la Configuración de la administración de hosts predeterminada almacenan la información de registro localmente en los directorios /lib/amazon/ssm o C:\ProgramData\Amazon. Si se eliminan estos directorios o sus archivos, la instancia no podrá adquirir las credenciales necesarias para conectarse a Systems Manager mediante la Configuración de la administración de hosts predeterminada. En estos casos, debe utilizar un perfil de instancia para proporcionar los permisos necesarios a la instancia, o bien volver a crearla.

nota

Este procedimiento está pensado para que solo lo realicen los administradores. Implemente el acceso con privilegios mínimos cuando permita que las personas configuren o modifiquen la configuración de administración de host predeterminada. Debe activar la configuración de administración de hosts predeterminada en cada una de las instancias de Amazon EC2 en las que Región de AWS desee gestionar automáticamente.

Para activar la configuración de administración de host predeterminada

Puede activar la configuración de administración de host predeterminada desde la consola de Fleet Manager. Para completar este procedimiento correctamente con la herramienta de línea de comandos que prefiera AWS Management Console o con la que prefiera, debe tener permisos para las operaciones de la GetServiceSettingUpdateServiceSettingAPI y de la API. ResetServiceSetting Además, debe tener permisos iam:PassRole para el rol de IAM AWSSystemsManagerDefaultEC2InstanceManagementRole. A continuación, se muestra una política de ejemplo. Reemplace cada example resource placeholder con su propia información.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ssm:GetServiceSetting",
				"ssm:ResetServiceSetting",
				"ssm:UpdateServiceSetting"
			],
			"Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"ssm.amazonaws.com"
					]
				}
			}
		}
	]
}

Antes de empezar, si tiene perfiles de instancia adjuntos a sus instancias de Amazon EC2, elimine todos los permisos que permitan la operación ssm:UpdateInstanceInformation. SSM Agent intenta usar los permisos del perfil de instancia antes de usar los permisos de configuración de administración de host predeterminados. Si permite la operación ssm:UpdateInstanceInformation en los perfiles de su instancia, la instancia no utilizará los permisos de la configuración de administración de host predeterminada.

  1. Abra la AWS Systems Manager consola en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Fleet Manager.

    -o bien-

    Si la página de AWS Systems Manager inicio se abre primero, elija el icono de menú ( The menu icon ) para abrir el panel de navegación y, a continuación, elija Fleet Manageren el panel de navegación.

  3. Seleccione Configurar la Configuración de la administración de hosts predeterminada en el menú desplegable Administración de la cuenta.

  4. Active Habilitar configuración de administración de host predeterminada.

  5. Elija el rol de IAM que se utiliza para habilitar las capacidades de Systems Manager en sus instancias. Recomendamos utilizar el rol predeterminado que proporciona la configuración de administración de host predeterminada. Contiene el conjunto mínimo de permisos necesarios para administrar sus instancias de Amazon EC2 mediante Systems Manager. Si prefiere utilizar un rol personalizado, la política de confianza del rol debe permitir que Systems Manager sea una entidad de confianza.

  6. Elija Configurar para completar la configuración.

Tras activar la configuración de administración de host predeterminada, es posible que las instancias tarden 30 minutos en utilizar las credenciales del rol que ha elegido. Debe activar la configuración de administración de host predeterminada en cada región en la que desee administrar automáticamente sus instancias de Amazon EC2.

Mostrar másMostrar menos

Configuración alternativa

Para otorgar acceso a nivel de instancias individuales, debe utilizar un perfil de instancia de AWS Identity and Access Management (IAM). Un perfil de instancias es un contenedor que pasa información del rol de IAM a una instancia de Amazon Elastic Compute Cloud (Amazon EC2) al momento del lanzamiento. Puede crear un perfil de instancias para Systems Manager, adjuntando una o más políticas de IAM que definan los permisos necesarios para un nuevo rol o para un rol que ya haya creado.

nota

Puede utilizarQuick Setup, una capacidad de AWS Systems Manager, para configurar rápidamente un perfil de instancia en todas las instancias de su Cuenta de AWS. Quick Setuptambién crea una función de servicio de IAM (o asume una función), que permite a Systems Manager ejecutar comandos de forma segura en sus instancias en su nombre. Si utiliza Quick Setup, puede omitir este paso (paso 3) y el paso 4. Para obtener más información, consulte AWS Systems Manager Quick Setup.

Tenga en cuenta los siguientes detalles sobre cómo crear un perfil de instancias de IAM:

  • Si está configurando equipos que no son de EC2 en un entorno híbrido y multinube para Systems Manager, no es necesario crear un perfil de instancia para ellos. En su lugar, configure los servidores y las máquinas virtuales para que utilicen el rol de servicio de IAM. Para obtener más información, consulte Creación de un rol de servicio de IAM para un entorno híbrido.

  • Si cambia el perfil de instancias de IAM, puede pasar un tiempo antes de que las credenciales de la instancia se actualicen. El SSM Agent no procesará solicitudes hasta que esto ocurra. Para acelerar el proceso de actualización, puede reiniciar el SSM Agent o la instancia.

En función de si va a crear un nuevo rol para su perfil de instancias o si va a agregar los permisos necesarios para un rol existente, utilice uno de los siguientes procedimientos.

Para crear un perfil de instancias para instancias administradas de Systems Manager (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Roles y luego seleccione Crear rol.

  3. En Trusted entity type (Tipo de entidad de confianza), elija Servicio de AWS.

  4. Inmediatamente debajo de Use case (Caso de uso), seleccione EC2 y, a continuación, Next (Siguiente).

  5. En la página Agregar permisos, haga lo siguiente:

    • Utilice el campo de búsqueda para localizar la política de AmazonSSM ManagedInstanceCore. Seleccione la casilla de verificación situada junto a su nombre.

      Elección del servicio de EC2 en la consola de IAM

      La consola conserva la selección aunque busque otras políticas.

    • Si ha creado una política de bucket de S3 personalizada en el procedimiento anterior, (Opcional) Crear una política personalizada para el acceso al bucket de S3, búsquela y seleccione la casilla de verificación situada junto a su nombre.

    • Si planea unir instancias a un Active Directory administrado por AWS Directory Service, busque AmazonSSM DirectoryServiceAccess y active la casilla de verificación situada junto a su nombre.

    • Si planea usar EventBridge o CloudWatch Logs para administrar o monitorear su instancia, busque CloudWatchAgentServerPolicyy active la casilla de verificación situada junto a su nombre.

  6. Elija Siguiente.

  7. En Role name (Nombre del rol), ingrese un nombre para el nuevo perfil de instancias, por ejemplo, SSMInstanceProfile.

    nota

    Anote el nombre del rol. Elegirá este rol cuando cree instancias nuevas que desee administrar mediante Systems Manager.

  8. (Opcional) En Description (Descripción), actualice la descripción de este perfil de instancia.

  9. (Opcional) En Tags (Etiquetas), agregue uno o varios pares de valores etiqueta-clave para organizar, seguir o controlar el acceso a este rol, y luego elija Create role (Crear rol). El sistema le devuelve a la página Roles.

Mostrar másMostrar menos
Para agregar permisos de perfil de instancias para Systems Manager a un rol existente (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Roles y, a continuación, elija el rol existente que desea asociar con un perfil de instancias para operaciones de Systems Manager.

  3. En la pestaña Permissions (Permisos), elija Add permissions, Attach policies (Agregar permisos, Adjuntar políticas).

  4. En la página Attach policy (Adjuntar política), lleve a cabo las siguientes operaciones:

    • Utilice el campo de búsqueda para localizar la política de AmazonSSM. ManagedInstanceCore Seleccione la casilla de verificación situada junto a su nombre.

    • Si ha creado una política de bucket de S3 personalizada, búsquela y seleccione la casilla de verificación situada junto a su nombre. Para obtener más información sobre las políticas personalizadas del bucket de S3 para un perfil de instancia, consulte (Opcional) Crear una política personalizada para el acceso al bucket de S3.

    • Si planea unir instancias a un Active Directory administrado por AWS Directory Service, busque AmazonSSM DirectoryServiceAccess y active la casilla de verificación situada junto a su nombre.

    • Si planea usar EventBridge o CloudWatch Logs para administrar o monitorear su instancia, busque CloudWatchAgentServerPolicyy active la casilla de verificación situada junto a su nombre.

  5. Seleccione Asociar políticas.

Mostrar másMostrar menos

Para obtener información acerca de cómo se actualiza un rol para que incluya una entidad de confianza o que restrinja aún más el acceso, consulte Modifying a role (Modificación de un rol) en la Guía del usuario de IAM.

(Opcional) Crear una política personalizada para el acceso al bucket de S3

La creación de una política personalizada para el acceso a Amazon S3 solo es necesaria si utiliza un punto de enlace de la VPC o un bucket de S3 de su propiedad en sus operaciones de Systems Manager. Puede adjuntar esta política al rol de IAM predeterminado creado por la configuración de administración de host predeterminada o a un perfil de instancia que haya creado en el procedimiento anterior.

Para obtener información sobre los depósitos de S3 AWS administrados a los que proporciona acceso en la siguiente política, consulteComunicaciones de SSM Agent con buckets de S3 administrados de AWS.

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies (Políticas) y, a continuación, seleccione Create policy (Crear política).

  3. Seleccione la pestaña JSON y sustituya el texto predeterminado con lo siguiente.

    {
    "Version": "2012-10-17",
    "Statement": [
        
                                    Footnote callout 1
                                {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::aws-ssm-region/*",
                "arn:aws:s3:::aws-windows-downloads-region/*",
                "arn:aws:s3:::amazon-ssm-region/*",
                "arn:aws:s3:::amazon-ssm-packages-region/*",
                "arn:aws:s3:::region-birdwatcher-prod/*",
                "arn:aws:s3:::aws-ssm-distributor-file-region/*",
                "arn:aws:s3:::aws-ssm-document-attachments-region/*",
                "arn:aws:s3:::patch-baseline-snapshot-region/*"
            ]
        },
        
                                    Footnote callout 2
                                {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl", 
                                    Footnote callout 3
                                
                "s3:GetEncryptionConfiguration" 
                                    Footnote callout 4
                                
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET" 
                                    Footnote callout 5
                                
            ]
        }
    ]
}

    1 El primer elemento Statement solo es necesario si utiliza un punto de enlace de la VPC.

    2 El segundo elemento Statement solo es necesario si utiliza un bucket de S3 que ya haya creado para usarlo en sus operaciones de Systems Manager.

    3 El permiso de la lista de control de acceso de PutObjectAcl solo es necesario si planea permitir el acceso entre cuentas para los buckets de S3 en otras cuentas

    4 El elemento GetEncryptionConfiguration es necesario si el bucket de S3 está configurado para utilizar el cifrado.

    5 Si el bucket de S3 está configurado para utilizar el cifrado, entonces la raíz del bucket de S3 (por ejemplo, arn:aws:s3:::DOC-EXAMPLE-BUCKET) debe aparecer en la sección Resource (Recurso). Su usuario, grupo o rol debe estar configurado con acceso al bucket raíz.

  4. Si está utilizando un punto de enlace de la VPC en sus operaciones, haga lo siguiente:

    En el primer elemento Statement, sustituya cada marcador de región con el identificador de la Región de AWS en la que se utilizará esta política. Por ejemplo, utilice us-east-2 para la región EE. UU. Este (Ohio). Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.

    importante

    Recomendamos que evite el uso de caracteres comodín (*) en lugar de regiones específicas en esta política. Por ejemplo, utilice arn:aws:s3:::aws-ssm-us-east-2/* y no arn:aws:s3:::aws-ssm-*/*. El uso de caracteres comodín podría conceder acceso a buckets de S3 a los que no quiere darlo. Si desea utilizar el perfil de instancia para más de una región, le recomendamos repetir el primer elemento de Statement de cada región.

    -o bien-

    Si no va a utilizar un punto de enlace de la VPC en sus operaciones, puede eliminar el primer elemento Statement.

  5. Si está utilizando un bucket de S3 de su propiedad en sus operaciones de Systems Manager, haga lo siguiente:

    En el segundo elemento Statement, sustituya DOC-EXAMPLE-BUCKET con el nombre de un bucket de S3 en su cuenta. Utilizará este bucket para sus operaciones de Systems Manager. Otorga permisos para objetos del bucket mediante "arn:aws:s3:::my-bucket-name/*" como recurso. Para obtener más información acerca de cómo se proporcionan permisos para buckets u objetos en buckets, consulte el tema Amazon S3 actions (Acciones de Amazon S3) en la Guía del usuario de Amazon Simple Storage Service y en la publicación del blog de AWS IAM Policies and Bucket Policies and ACLs! (¡Políticas de IAM y ACL!) Oh, My! (Control del acceso a los recursos de S3).

    nota

    Si utiliza más de un bucket, facilite el ARN de cada uno. Consulte el siguiente ejemplo sobre los permisos de los buckets.

    "Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"
               ]

    -o bien-

    Si no va a utilizar un bucket de S3 de su propiedad en las operaciones de Systems Manager, puede eliminar el segundo elemento Statement.

  6. Elija Siguiente: etiquetas.

  7. (Opcional) Para agregar etiquetas, elija Add tag (Agregar etiqueta) e ingrese las etiquetas preferidas para la política.

  8. Elija Siguiente: Revisar.

  9. En Name (Nombre), ingrese un nombre para identificar esta política, por ejemplo, SSMInstanceProfileS3Policy.

  10. Seleccione Crear política.

Consideraciones sobre políticas adicionales para las instancias administradas

En esta sección, se describen algunas de las políticas que puede agregar al rol de IAM predeterminado creado por la configuración de administración de host predeterminada o a los perfiles de instancia para AWS Systems Manager. Para proporcionar permisos para la comunicación entre las instancias y la API de Systems Manager, le recomendamos que cree políticas personalizadas que reflejen las necesidades del sistema y los requisitos de seguridad. En función de su plan de operaciones, es posible que necesite permisos representados en una o varias de las otras políticas.

Política: AmazonSSMDirectoryServiceAccess

Solo es necesaria si planea unir instancias de Amazon EC2 para Windows Server a un directorio de Microsoft AD.

Esta política AWS administrada SSM Agent permite que la instancia administrada acceda AWS Directory Service en su nombre a las solicitudes de unión al dominio. Para obtener más información, consulte Cómo unir fácilmente una instancia de EC2 de Windows en la Guía de administración de AWS Directory Service .

Política: CloudWatchAgentServerPolicy

Solo es obligatorio si planeas instalar y ejecutar el CloudWatch agente en tus instancias para leer los datos de registro y métricas de una instancia y escribirlos en Amazon CloudWatch. Te ayudan a monitorear, analizar y responder rápidamente a los problemas o cambios en tus AWS recursos.

La función de IAM predeterminada creada por la configuración de administración de hosts predeterminada o el perfil de instancia solo necesita esta política si va a utilizar funciones como Amazon EventBridge o Amazon CloudWatch Logs. (También puedes crear una política más restrictiva que, por ejemplo, limite el acceso de escritura a un flujo de registro de CloudWatch Logs específico).

nota

El uso de las funciones EventBridge y CloudWatch registros es opcional. No obstante, le recomendamos que las configure al principio de su proceso de configuración de Systems Manager si ha decidido usarlas. Para obtener más información, consulta la Guía del EventBridge usuario de Amazon y la Guía del usuario de Amazon CloudWatch Logs.

Si desea crear políticas de IAM con permisos para capacidades adicionales de Systems Manager, consulte los siguientes recursos:

Adjuntar el perfil de instancia de Systems Manager a una instancia (consola)

  1. Inicie sesión en la consola Amazon EC2 AWS Management Console y ábrala en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, bajo Instances, elija Instances.

  3. Diríjase a la instancia de EC2 en la lista y elíjala.

  4. En el menú Actions (Acciones), elija Security (Seguridad), Modify IAM role (Modificar rol de IAM).

  5. En IAM role (Rol de IAM), seleccione el perfil de instancia creado utilizando el procedimiento que se describe en Configuración alternativa.

  6. Elija Update IAM role (Actualizar rol de IAM).

Para obtener más información acerca de cómo adjuntar roles de IAM a instancias, elija una de las siguientes opciones, en función del tipo de sistema operativo seleccionado:

Siga en Paso 2: crear puntos de conexión de VPC.