Étape 2 : vérifier ou ajouter des autorisations d'instance pour Session Manager
Par défaut, AWS Systems Manager n'a pas le droit d'effectuer des actions sur vos instances. Vous pouvez fournir des autorisations d'instance au niveau du compte à l'aide d'un rôle AWS Identity and Access Management (IAM), ou au niveau de l'instance à l'aide d'un profil d'instance. Si votre cas d'utilisation le permet, nous vous recommandons d'accorder l'accès au niveau du compte à l'aide de la configuration de gestion des hôtes par défaut. Si vous avez déjà configuré la configuration de gestion des hôtes par défaut pour votre compte à l'aide de la politique AmazonSSMManagedEC2InstanceDefaultPolicy, vous pouvez passer à l'étape suivante. Pour plus d'informations sur la Configuration de gestion des hôtes par défaut, consultez Gestion automatique des instances EC2 avec la configuration par défaut de la gestion des hôtes.
Vous pouvez également utiliser des profils d'instance pour fournir les autorisations requises à vos instances. Un profil d'instance transmet un rôle IAM à une instance Amazon EC2. Vous pouvez attacher un profil d'instance IAM à une instance Amazon EC2 lorsque vous la lancez ou à une instance préalablement lancée. Pour plus d'informations, consultez Utilisation de profils d'instance.
Pour les serveurs sur site ou les machines virtuelles, les autorisations sont fournies par la fonction du service IAM associé à l'activation hybride utilisée pour enregistrer vos serveurs sur site et machines virtuelles auprès de Systems Manager. Les serveurs sur site et les machines virtuelles n'utilisent pas les profils d'instance.
Si vous utilisez déjà d'autres fonctionnalités Systems Manager, comme Run Command ou Parameter Store, il est possible qu'un profil d'instance avec les autorisations de base requises pour Session Manager soit déjà attaché à vos instances Amazon EC2. Si un profil d'instance contenant la politique gérée par AWS AmazonSSMManagedInstanceCoreest déjà attaché à vos instances, les autorisations requises pour Session Manager sont déjà fournies. Cela est également vrai si la fonction du service IAM utilisée dans votre activation hybride contient la politique gérée AmazonSSMManagedInstanceCore.
Toutefois, dans certains cas, vous pouvez avoir besoin de modifier les autorisations attachées à votre profil d'instance. Par exemple, vous souhaitez fournir un ensemble plus restreint d'autorisations d'instance, vous avez créé une politique personnalisée pour votre profil d'instance ou vous souhaitez utiliser des options de chiffrement Amazon Simple Storage Service (Amazon S3) ou AWS Key Management Service (AWS KMS) pour sécuriser les données de session. Pour ces cas, effectuez l'une des actions suivantes pour autoriser l'exécution d'actions Session Manager sur vos instances :
-
Intégration des autorisations pour les actions Session Manager dans un rôle IAM personnalisé
Pour ajouter des autorisations relatives aux actions Session Manager à un rôle IAM existant qui ne s'appuie pas sur la politique par défaut fournie par AWS
AmazonSSMManagedInstanceCore, suivez les étapes décrites dans Ajouter des autorisations Session Manager à un rôle IAM existant. -
Création d'un rôle IAM personnalisé contenant uniquement des autorisations Session Manager
Pour créer un rôle IAM qui contient uniquement des autorisations relatives aux actions Session Manager, suivez les étapes décrites sur la page Création d'un rôle IAM personnalisé pour Session Manager.
-
Création et utilisation d'un rôle IAM autorisant toutes les actions Systems Manager
Pour créer un rôle IAM pour les instances gérées par Systems Manager utilisant une stratégie par défaut fournie par AWS afin d’octroyer toutes les autorisations Systems Manager, suivez les étapes décrites dans Configurer des autorisations d’instance requises pour Systems Manager.
Rubriques
