Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Ajout d'autorisations Session Manager à un rôle IAM existant
Utilisez la procédure suivante pour ajouter des autorisations Session Manager à un rôle (IAM) AWS Identity and Access Management existant. En ajoutant des autorisations à un rôle existant, vous pouvez améliorer la sécurité de votre environnement informatique sans avoir à utiliser la politique AWS AmazonSSMManagedInstanceCore
pour les autorisations d'instance.
Note
Veuillez noter les informations suivantes :
-
Notez que cette procédure suppose que votre rôle existant comprend déjà d'autres autorisations
ssm
Systems Manager relatives aux actions auxquelles vous souhaitez accorder l'accès. Employée seule, cette politique ne s'avère pas suffisante pour utiliser Session Manager. -
L'exemple de politique suivant inclut une action
s3:GetEncryptionConfiguration
. Cette action est requise si vous avez choisi l'option Appliquer le chiffrement du journal S3 dans les préférences de journalisation de Session Manager.
Pour ajouter des autorisations Session Manager à un rôle existant (console)
Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, sélectionnez Rôles.
-
Choisissez le nom du rôle auquel vous souhaitez ajouter les autorisations.
-
Choisissez l'onglet Permissions (Autorisations).
-
Sélectionnez Ajouter des autorisations, puis Créer la politique en ligne.
-
Sélectionnez l'onglet JSON.
-
Remplacez le contenu de politique par défaut par le contenu suivant. Remplacez le
nom de clé
par l'Amazon Resource Name (ARN) de la clé AWS Key Management Service (AWS KMS key) que vous souhaitez utiliser.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "
key-name
" } ] }Pour de plus amples informations sur l'utilisation d'une clé CMK pour chiffrer les données de session, consultez Activer le chiffrement des données de session par clé KMS (console).
Si vous ne voulez pas utiliser le chiffrement AWS KMS de vos données de session, vous pouvez supprimer le contenu suivant à partir de la politique :
, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "
key-name
" } -
Choisissez Next: Tags (Suivant : Balises).
-
(Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées de la politique.
-
Choisissez Next: Review (Suivant : Vérification).
-
Sur la page Examiner une politique, dans le champ Nom, saisissez un nom pour la politique en ligne, tel que
SessionManagerPermissions
. -
(Facultatif) Dans le champ Description, saisissez une description pour la politique.
Sélectionnez Créer une politique.
Pour de plus amples informations sur les actions ssmmessages
, consultez Référence : ec2messages, ssmmessages et autres opérations d'API.