Créer un profil d'instance IAM personnalisé pourSession Manager - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créer un profil d'instance IAM personnalisé pourSession Manager

Vous pouvez créer unAWS Identity and Access Management(IAM) qui fournit des autorisations uniquement pourSession ManagerActions sur vos instances. Vous pouvez également créer une stratégie pour fournir les autorisations nécessaires afin que les journaux d'activité de session soient envoyés à Amazon Simple Storage Service (Amazon S3) et aux Amazon CloudWatch Logs.

Après avoir créé un profil d'instance, veuillez consulterAttachement d'un rôle IAM à une instanceandAttacher ou remplacer un profil d'instancePour découvrir comment attacher un profil d'instance à une instance. Pour en savoir plus sur les rôles et les profils d'instance IAM, consultez les pagesUtilisation du profil d'instanceandRôles IAM pour Amazon EC2dans leIAM User Guide.

Création d'un profil d'instance avec les autorisations Session Manager minimales (console)

Procédez comme suit pour créer un profil d'instance IAM personnalisé avec une stratégie qui autorise uniquement des actions Session Manager sur vos instances.

Créer un profil d'instance avec des autorisations Session Manager minimales

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Stratégies, puis Créer une stratégie. (Si unMise en routes'affiche, choisissez-le, puis choisissezCréer une stratégie.)

  3. Choisissez l'onglet JSON.

  4. Remplacez le contenu par défaut par ce qui suit :

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:UpdateInstanceInformation", "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }

    À propos de « ssmmessages »

    Pour de plus amples informations sur ssmmessages, consultez Référence : ec2messages, ssmmessages et autres appels d'API.

    À propos de « kms : Decrypt »

    Dans cette politique, lekms:DecryptL'autorisation active les clients de chiffrement et de chiffrement clés pour les données de session. Si vous voulez utiliserAWS Key Management Service(AWS KMS) pour vos données de session, remplacezNom de cléAvec l'Amazon Resource Name (ARN) de la clé KMS que vous souhaitez utiliser, au formatarn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE.

    Si vous n'utilisez pasAWS KMSPour vos données de session, vous pouvez supprimer le contenu suivant à partir de la stratégie.

    , { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }

    Pour de plus amples informations sur l'utilisation d'une clé KMS pour chiffrer les données de session, veuillez consulter.Activer le chiffrement de clé KMS des données de session (console).

  5. Choisissez Examiner une stratégie.

  6. Sur la page Examiner une stratégie, dans le champ Nom, saisissez un nom pour la stratégie en ligne, tel que SessionManagerPermissions.

  7. (Facultatif) Dans le champ Description, saisissez une description pour la stratégie.

  8. Choisissez Créer une stratégie.

  9. Dans le volet de navigation, choisissez Rôles, puis Créer un rôle.

  10. Sur la page Créer un rôle, sélectionnez Service AWS, puis dans la liste Choisir le service qui utilisera ce rôle, sélectionnez EC2.

  11. Choisissez Next (Suivant) Permissions (Autorisations).

  12. Sur la page Attached permissions policy (Stratégie d'autorisations attachée), cochez la case située à gauche du nom de la stratégie que vous venez de créer, comme SessionManagerPermissions.

  13. Choisissez Next (Suivant) Review (Examiner).

  14. Dans la pageVérification, pourNom de rôle, entrez un nom pour le profil d'instance IAM, tel queMySessionManagerInstanceProfile.

  15. (Facultatif) Dans le champ Description du rôle, saisissez une description pour le profil d'instance.

  16. Choisissez Créer un rôle.

Création d'un profil d'instance autorisant les actions de journalisationSession Manageret Amazon S3 et CloudWatch Logs (console)

Procédez comme suit pour créer un profil d'instance IAM personnalisé avec une stratégie qui autorise des actions Session Manager sur vos instances. La stratégie fournit également les autorisations nécessaires pour que les journaux de session soient stockés dans des compartiments Amazon Simple Storage Service (Amazon S3) et des groupes de journaux Amazon CloudWatch Logs.

Pour en savoir plus sur la spécification des préférences de stockage des journaux de session, consultez Journalisation de l'activité.

Pour créer un profil d'instance autorisant les actions de journalisation pourSession Manageret Amazon S3 et CloudWatch Logs (console)

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Stratégies, puis Créer une stratégie. (Si unMise en routes'affiche, choisissez-le, puis choisissezCréer une stratégie.)

  3. Choisissez l'onglet JSON.

  4. Remplacez le contenu par défaut par la commande suivante : Assurez-vous de remplacerDOC-EXEMPLE-BUCKETandpréfixe s3-bucket-avec les noms de votre compartiment et son préfixe (le cas échéant). Pour de plus amples informations sur ssmmessages dans la stratégie suivante, veuillez consulter Référence : ec2messages, ssmmessages et autres appels d'API.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel", "ssm:UpdateInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/s3-bucket-prefix/*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }, { "Effect": "Allow", "Action": "kms:GenerateDataKey", "Resource": "*" } ] }
    Important

    Pour produire les journaux de session dans un compartiment Amazon S3 appartenant à un autre Compte AWS , vous devez ajouter le fichier IAMs3:PutObjectAclà cette stratégie. Si cette autorisation n'est pas ajoutée, le compte qui possède le compartiment Amazon S3 ne peut pas accéder aux journaux de sortie de session.

  5. Choisissez Examiner une stratégie.

  6. Sur la page Examiner une stratégie, dans le champ Nom, saisissez un nom pour la stratégie en ligne, tel que SessionManagerPermissions.

  7. (Facultatif) Dans le champ Description, saisissez une description pour la stratégie.

  8. Choisissez Créer une stratégie.

  9. Dans le volet de navigation, choisissez Rôles, puis Créer un rôle.

  10. Sur la page Créer un rôle, sélectionnez Service AWS, puis dans la liste Choisir le service qui utilisera ce rôle, sélectionnez EC2.

  11. Choisissez Next (Suivant) Permissions (Autorisations).

  12. Sur la page Attached permissions policy (Stratégie d'autorisations attachée), cochez la case située à gauche du nom de la stratégie que vous venez de créer, comme SessionManagerPermissions.

  13. Choisissez Next (Suivant) Review (Examiner).

  14. Dans la pageVérification, pourNom de rôle, entrez un nom pour le profil d'instance IAM, tel queMySessionManagerInstanceProfile.

  15. (Facultatif) Dans le champ Description du rôle, saisissez une description pour le profil d'instance.

  16. Choisissez Créer un rôle.