Ajouter Session Manager des autorisations à un IAM rôle existant

Utilisez la procédure suivante pour ajouter Session Manager des autorisations à un rôle existant AWS Identity and Access Management (IAM). En ajoutant des autorisations à un rôle existant, vous pouvez améliorer la sécurité de votre environnement informatique sans avoir à utiliser la AWS AmazonSSMManagedInstanceCore politique relative aux autorisations par exemple.

Note

Veuillez noter les informations suivantes :

Notez que cette procédure suppose que votre rôle existant comprend déjà d'autres autorisations ssm Systems Manager relatives aux actions auxquelles vous souhaitez accorder l'accès. Employée seule, cette politique ne s'avère pas suffisante pour utiliser Session Manager.
L'exemple de politique suivant inclut une action s3:GetEncryptionConfiguration. Cette action est requise si vous avez choisi l'option Appliquer le chiffrement du journal S3 dans les préférences de journalisation de Session Manager.

Pour ajouter des autorisations Session Manager à un rôle existant (console)

Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation, choisissez Roles (Rôles).
Choisissez le nom du rôle auquel vous souhaitez ajouter les autorisations.
Choisissez l'onglet Permissions (Autorisations).
Sélectionnez Ajouter des autorisations, puis Créer la politique en ligne.
Choisissez l'JSONonglet.

Remplacez le contenu de politique par défaut par le contenu suivant. Remplacez key-name avec le nom de ressource Amazon (ARN) de la AWS Key Management Service clé (AWS KMS key) que vous souhaitez utiliser.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

Pour plus d'informations sur l'utilisation d'une KMS clé pour chiffrer les données de session, consultezActiver le chiffrement des données de session par clé KMS (console).

Si vous n'avez pas l'intention d'utiliser le AWS KMS chiffrement pour les données de votre session, vous pouvez supprimer le contenu suivant de la politique.


,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

Choisissez Suivant : Balises.
(Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées de la politique.
Choisissez Suivant : vérification.
Sur la page Examiner une politique, dans le champ Nom, saisissez un nom pour la politique en ligne, tel que SessionManagerPermissions.
(Facultatif) Dans le champ Description, saisissez une description pour la politique.

Choisissez Create Policy (Créer une politique).

Pour de plus amples informations sur les actions ssmmessages, consultez Référence : ec2messages, ssmmessages et autres opérations API.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Étape 2 : vérifier ou ajouter des autorisations d'instance pour Session Manager

Créez un IAM rôle personnalisé pour Session Manager