Création d'un rôle IAM personnalisé pour Session Manager - AWS Systems Manager
Création d'un rôle IAM avec les autorisations Session Manager minimales (console)Création d'un rôle IAM avec des autorisations pour Session Manager et Amazon S3 et CloudWatch Logs (console)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un rôle IAM personnalisé pour Session Manager

Vous pouvez créer un rôle AWS Identity and Access Management (IAM) qui donne à Session Manager l'autorisation d'effectuer des actions sur vos instances gérées Amazon EC2. Vous pouvez également inclure une politique pour octroyer les autorisations nécessaires afin que les journaux de session soient envoyés à Amazon Simple Storage Service (Amazon S3) et à Amazon CloudWatch Logs.

Après avoir créé le rôle IAM, pour plus d'informations sur la façon d'attacher le rôle à une instance, veuillez consulter Attachement ou remplacement d'un profil d'instance sur le site Web AWS re:Post. Pour plus d'informations sur les profils d'instance et les rôles IAM, veuillez consulter les rubriques Utilisation de profils d'instance dans le Guide de l'utilisateur IAM et Rôles IAM pour Amazon EC2 dans le Guide de l'utilisateur Amazon Elastic Compute Cloud pour les instances Linux. Pour plus d'informations sur la création d'une fonction de service IAM pour les machines sur site, consultez Création d'une fonction de service IAM pour un environnement hybride.

Création d'un rôle IAM avec les autorisations Session Manager minimales (console)

Procédez comme suit pour créer un rôle IAM personnalisé avec une politique qui autorise uniquement des actions Session Manager sur vos instances.

Création d'un profil d'instance avec des autorisations Session Manager minimales

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Politiques, puis Créer une politique. (Si un bouton Get Started [Mise en route] est affiché, sélectionnez-le, puis Create Policy [Créer une politique].)

  3. Sélectionnez l'onglet JSON.

  4. Remplacez le contenu par défaut par la politique suivante. Pour chiffrer les données de session à l'aide d'AWS Key Management Service (AWS KMS), remplacez le nom de clé par l'Amazon Resource Name (ARN) de la AWS KMS key que vous souhaitez utiliser.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

    Pour de plus amples informations sur l'utilisation d'une clé CMK pour chiffrer les données de session, consultez Activer le chiffrement des données de session par clé KMS (console).

    Si vous ne voulez pas utiliser le chiffrement AWS KMS de vos données de session, vous pouvez supprimer le contenu suivant à partir de la politique :

    ,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

  5. Choisissez Next: Tags (Suivant : Balises).

  6. (Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées de la politique.

  7. Choisissez Next: Review (Suivant : Vérification).

  8. Sur la page Examiner une politique, dans le champ Nom, saisissez un nom pour la politique en ligne, tel que SessionManagerPermissions.

  9. (Facultatif) Dans le champ Description, saisissez une description pour la politique.

  10. Sélectionnez Créer une politique.

  11. Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.

  12. Sur la page Créer un rôle, choisissez Service AWS, et pour Cas d'utilisation, choisissez EC2.

  13. Choisissez Next (Suivant).

  14. Sur la page Attached permissions policy (Politique d'autorisations attachée), cochez la case située à gauche du nom de la politique que vous venez de créer, tel que SessionManagerPermissions.

  15. Choisissez Next (Suivant).

  16. Sur la page Review (Vérifier), pour Role name (Nom du rôle), saisissez un nom pour le rôle IAM, tel que MySessionManagerRole.

  17. (Facultatif) Dans le champ Description du rôle, saisissez une description pour le profil d'instance.

  18. (Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées du rôle.

    Sélectionnez Create role (Créer un rôle).

Pour de plus amples informations sur les actions ssmmessages, veuillez consulter Référence : ec2messages, ssmmessages et autres opérations d'API.

Création d'un rôle IAM avec des autorisations pour Session Manager et Amazon S3 et CloudWatch Logs (console)

Procédez comme suit pour créer un rôle IAM personnalisé avec une politique qui autorise des actions Session Manager sur vos instances. La politique fournit également les autorisations nécessaires pour que les journaux de session soient stockés dans des compartiments Amazon Simple Storage Service (Amazon S3) et des groupes de journaux Amazon CloudWatch Logs.

Important

Pour produire les journaux de session dans un compartiment Amazon S3 appartenant à un autre Compte AWS, vous devez ajouter l'autorisation s3:PutObjectAcl à la politique de rôle IAM. En outre, vous devez vous assurer que la politique relative aux compartiments accorde un accès intercompte au rôle IAM utilisé par le compte propriétaire pour accorder des autorisations Systems Manager aux instances gérées. Si le compartiment utilise le chiffrement KMS (Key Management Service), la politique KMS du compartiment doit également accorder cet accès intercompte. Pour plus d'informations sur la configuration des autorisations de compartiment intercomptes dans Amazon S3, veuillez consulter la rubrique Accorder des autorisations intercomptes sur un compartiment du Guide de l'utilisateur Amazon Simple Storage Service. Si les autorisations intercomptes ne sont pas ajoutées, le compte qui possède le compartiment Amazon S3 ne peut pas accéder aux journaux de sortie de la session.

Pour en savoir plus sur la spécification des préférences de stockage des journaux de session, consultez Activation et désactivation de la journalisation des activités de session.

Pour créer un rôle IAM avec des autorisations pour Session Manager et Amazon S3 et CloudWatch Logs (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Politiques, puis Créer une politique. (Si un bouton Get Started [Mise en route] est affiché, sélectionnez-le, puis Create Policy [Créer une politique].)

  3. Sélectionnez l'onglet JSON.

  4. Remplacez le contenu par défaut par la politique suivante. Remplacez chaque example resource placeholder (espace réservé pour les ressources) avec vos propres informations.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel",
                "ssm:UpdateInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/s3-bucket-prefix/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        },
        {
            "Effect": "Allow",
            "Action": "kms:GenerateDataKey",
            "Resource": "*"
        }
    ]
}

  5. Choisissez Next: Tags (Suivant : Balises).

  6. (Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées de la politique.

  7. Choisissez Next: Review (Suivant : Vérification).

  8. Sur la page Examiner une politique, dans le champ Nom, saisissez un nom pour la politique en ligne, tel que SessionManagerPermissions.

  9. (Facultatif) Dans le champ Description, saisissez une description pour la politique.

  10. Sélectionnez Créer une politique.

  11. Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.

  12. Sur la page Créer un rôle, choisissez Service AWS, et pour Cas d'utilisation, choisissez EC2.

  13. Choisissez Next (Suivant).

  14. Sur la page Attached permissions policy (Politique d'autorisations attachée), cochez la case située à gauche du nom de la politique que vous venez de créer, tel que SessionManagerPermissions.

  15. Choisissez Next (Suivant).

  16. Sur la page Review (Vérifier), pour Role name (Nom du rôle), saisissez un nom pour le rôle IAM, tel que MySessionManagerRole.

  17. (Facultatif) Dans le champ Role description (Description du rôle), saisissez la description du nouveau rôle.

  18. (Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées du rôle.

  19. Sélectionnez Create role (Créer un rôle).