Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisez les exemples de cette section pour vous aider à créer des politiques AWS Identity and Access Management (IAM) fournissant les autorisations les plus fréquemment requises pour Session Manager accès.
Note
Vous pouvez également utiliser une AWS KMS key politique pour contrôler les entités IAM (utilisateurs ou rôles) qui Comptes AWS ont accès à votre clé KMS. Pour plus d'informations, consultez la section Présentation de la gestion de l'accès à vos AWS KMS ressources et de l'utilisation des politiques clés AWS KMS dans le guide du AWS Key Management Service développeur.
Rubriques
Politiques Quickstart destinées aux utilisateurs finaux pour Session Manager
Utilisez les exemples suivants pour créer des politiques IAM destinées aux utilisateurs finaux pour Session Manager.
Vous pouvez créer une politique qui permet aux utilisateurs de démarrer des sessions uniquement à partir du Session Manager console et AWS Command Line Interface (AWS CLI), uniquement depuis la console Amazon Elastic Compute Cloud (Amazon EC2), ou depuis les trois.
Ces politiques permettent aux utilisateurs finaux de démarrer une session sur un nœud géré particulier et de mettre fin à leurs propres sessions uniquement. Consultez la page Exemples de politiques IAM supplémentaires pour Session Manager pour obtenir des exemples de personnalisation de la politique.
Dans les exemples de politiques suivants, remplacez chacune example
resource placeholder par vos propres informations.
Sélectionnez parmi les onglets suivants pour afficher l'exemple de politique pour la plage d'accès aux sessions que vous souhaitez fournir.
Utilisez cet exemple de politique pour permettre aux utilisateurs de démarrer et de reprendre des sessions uniquement à partir du Session Manager and Fleet Manager consoles.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/instance-id",
"arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell" 
]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey" 
],
"Resource": "key-name"
}
]
}1 SSM-SessionManagerRunShell est le nom par défaut du document SSM qui Session Manager crée pour enregistrer vos préférences de configuration de session. Vous pouvez créer un document de session personnalisé et le spécifier dans cette politique à la place. Vous pouvez également spécifier le document AWS fourni aux utilisateurs qui AWS-StartSSHSession démarrent des sessions à l'aide de SSH. Pour plus d'informations sur les étapes de configuration nécessaires pour prendre en charge les sessions utilisant SSH, voir (facultatif) Autoriser et contrôler les autorisations pour les connexions SSH via Session Manager.
2 L’autorisation kms:GenerateDataKey permet la création d’une clé de chiffrement des données qui sera utilisée pour chiffrer les données de session. Si vous comptez utiliser le chiffrement AWS Key Management Service (AWS KMS) pour les données de votre session, remplacez-le par key-name le nom de ressource Amazon (ARN) de la clé KMS que vous souhaitez utiliser, au format indiquéarn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE. Si vous ne voulez pas utiliser le chiffrement de clé KMS pour vos données de session, supprimez le contenu suivant de la politique.
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-name"
}Pour plus d'informations sur l'utilisation AWS KMS pour le chiffrement des données de session, consultezActiver le chiffrement des données de session par clé KMS (console).
3 L'autorisation pour SendCommandest nécessaire dans les cas où un utilisateur tente de démarrer une session depuis la EC2 console Amazon, mais SSM Agent doit être mis à jour vers la version minimale requise pour Session Manager first. Run Command est utilisé pour envoyer une commande à l'instance afin de mettre à jour l'agent.
Politique d'administrateur Quickstart pour Session Manager
Utilisez les exemples suivants pour créer des politiques d'administrateur IAM pour Session Manager.
Ces politiques autorisent les administrateurs à démarrer une session sur les nœuds gérés qui sont balisées avec Key=Finance,Value=WebServers, à créer, mettre à jour et supprimer des préférences, et à mettre fin à leurs propres sessions uniquement. Consultez la page Exemples de politiques IAM supplémentaires pour Session Manager pour obtenir des exemples de personnalisation de la politique.
Vous pouvez créer une politique qui permet aux administrateurs d'effectuer ces tâches uniquement à partir du Session Manager console et AWS CLI, uniquement à partir de la EC2 console Amazon, ou à partir des trois.
Dans les exemples de politiques suivants, remplacez chacune example
resource placeholder par vos propres informations.
Sélectionnez parmi les onglets suivants pour voir l'exemple de politique pour le scénario d'accès que vous souhaitez prendre en charge.
Utilisez cet exemple de politique pour permettre aux administrateurs d'effectuer des tâches liées aux sessions uniquement à partir du Session Manager console et le AWS CLI. Cette politique ne fournit pas toutes les autorisations nécessaires pour effectuer des tâches liées à une session depuis la console Amazon. EC2
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument",
"ssm:StartSession"
],
"Resource": "arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}1 L'autorisation pour SendCommandest nécessaire dans les cas où un utilisateur tente de démarrer une session depuis la EC2 console Amazon, mais qu'une commande doit être envoyée pour la mettre à jour SSM Agent first.
