Étape 4 : Créer un rôle de profil d'instance IAM pour Systems Manager - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 4 : Créer un rôle de profil d'instance IAM pour Systems Manager

Par défaut, AWS Systems Manager n'a pas le droit d'effectuer des actions sur vos instances. Accorder l'accès à l'aide d'unAWS Identity and Access Management(IAM). Un profil d'instance est un conteneur qui transmet des informations sur le rôle IAM à une instance Amazon Elastic Compute Cloud (Amazon EC2) lors du lancement. Vous pouvez créer un profil d'instance pour Systems Manager en attachant une ou plusieurs stratégies IAM qui définissent les autorisations nécessaires pour un nouveau rôle ou pour un rôle que vous avez déjà créé.

Note

Vous pouvez utiliserQuick Setup, une capacité deAWS Systems Manager, afin de configurer rapidement un profil d'instance sur toutes les instances de votre Compte AWS .Quick Setupcrée également un rôle de service IAM (ouassument), qui permet à Systems Manager d'exécuter en toute sécurité des commandes sur vos instances en votre nom. En utilisantQuick Setup, vous pouvez ignorer cette étape (Étape 4) et l'étape 5. Pour de plus amples informations, veuillez consulter AWS Systems Manager Quick Setup.

Veuillez noter les détails suivants sur la création d'un profil d'instance IAM :

  • Si vous configurez des serveurs ou des machines virtuelles dans un environnement hybride pour Systems Manager, vous n'avez pas besoin de leur créer de profil d'instance. À la place, configurez vos machines virtuelles et serveurs pour qu'ils puissent utiliser un rôle de service IAM. Pour de plus amples informations, veuillez consulterCréer un rôle de service IAM pour un environnement hybride.

  • Si vous modifiez le profil d'instance IAM, l'actualisation des informations d'identification de l'instance peut prendre un certain temps.SSM Agentne traitera pas les demandes tant que cela ne sera pas terminé. Pour accélérer le processus d'actualisation, vous pouvez redémarrer l'SSM Agent ou redémarrer l'instance.

À propos de stratégies pour un profil d'instance de Systems Manager

Cette section décrit les stratégies que vous pouvez ajouter à votre profil d'instance EC2 pour Systems Manager. Pour autoriser la communication entre les instances et l'API Systems Manager, nous vous recommandons de créer des stratégies personnalisées prenant en compte les besoins de votre système et les exigences de sécurité. Toutefois, comme point de départ, vous pouvez utiliser une ou plusieurs des stratégies suivantes pour accorder à Systems Manager à interagir avec vos instances. La première politique,AmazonSSMManagedInstanceCore, permet à une instance d'utiliserAWS Systems Managerfonctionnalité de base du service. En fonction de votre plan d'opérations, vous pouvez avoir besoin des autorisations représentées dans une ou plusieurs des trois autres stratégies.

Stratégie : AmazonSSMManagedInstanceCore

Autorisations nécessaires.

CetteAWSpermet à une instance d'utiliser les fonctions de base du service Systems Manager.

Stratégie : Stratégie personnalisée pour l'accès au compartiment S3

Autorisations requises dans l'un des cas suivants :

  • Cas 1 : Vous utilisez un point de terminaison d'un VPC afin de connecter confidentiellement votre VPC à unAWSet services de points de terminaison d'un VPC optimisés par AWS PrivateLink .

    SSM Agentest un logiciel Amazon qui est installé sur vos instances et effectue des tâches Systems Manager. Cet agent a besoin d'accéder à des compartiments Amazon Simple Storage Service (Amazon S3) appartenant à Amazon spécifiques. Ces compartiments sont accessibles publiquement.

    Toutefois, dans un environnement de point de terminaison d'un VPC privé, fournissez explicitement l'accès à ces compartiments :

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    Pour de plus amples informations, veuillez consulterÉtape 6 : (Facultatif) Créer un point de terminaison de VPC,SSM AgentCommunications avecAWSCompartiments S3 gérés, etPoints de terminaison d'un VPCdans leAmazon VPC User Guide.

  • Cas 2 : Vous prévoyez d'utiliser un compartiment Amazon S3 que vous créez dans le cadre de vos opérations Systems Manager.

    Votre profil d'instance Amazon EC2 pour Systems Manager doit accorder l'accès à un compartiment Amazon S3 que vous possédez pour des tâches comme les suivantes :

    • Pour accéder aux scripts que vous stockez dans le compartiment S3 pour les utiliser dans les commandes que vous exécutez.

    • Pour stocker la sortie complète des commandes Run Command ou des sessions Session Manager.

    • Pour accéder aux listes de correctifs personnalisés à utiliser lors de l'application de correctifs à vos instances.

Note

L'enregistrement des données de journal de sortie dans un compartiment S3 est facultatif, mais nous vous recommandons de le configurer au début de votre processus de configuration de Systems Manager si vous avez décidé de l'utiliser. Pour de plus amples informations, veuillez consulterCréer un compartimentdans leGuide de mise en route Amazon Simple Storage Service.

Stratégie : AmazonSSMDirectoryServiceAccess

Obligatoire uniquement si vous envisagez de joindre des instances Amazon EC2 pourWindows Serververs un annuaire Microsoft AD.

Cette stratégie gérée AWS permet à SSM Agent d'accéder à AWS Directory Service en votre nom pour les demandes de jonction de domaine par l'instance gérée. Pour de plus amples informations, veuillez consulterJonction facile d'une instance EC2 Windowsdans leAWS Directory ServiceGuide d'administration.

Stratégie : CloudWatchAgentServerPolicy

Obligatoire uniquement si vous prévoyez d'installer et d'exécuter l'agent CloudWatch sur vos instances pour lire les métriques et les données de journal sur une instance et de les écrire dans Amazon CloudWatch. Celles-ci vous permettent de surveiller, d'analyser et de répondre rapidement aux problèmes ou aux modifications apportées à votreAWSAWS.

Votre profil d'instance a besoin de cette stratégie uniquement si vous utilisez des fonctions comme Amazon EventBridge ou CloudWatch Logs. (Vous pouvez également créer une stratégie plus restrictive qui, par exemple, limite l'accès en écriture à un flux de CloudWatch Logs spécifique.)

Note

L'utilisation des fonctions EventBridge et CloudWatch Logs est facultative, mais nous vous recommandons de les configurer au début de votre processus de configuration de Systems Manager si vous avez décidé de les utiliser. Pour plus d'informations, consultez le .Guide de l'utilisateur Amazon EventBridgeet l'Guide de l'utilisateur Amazon CloudWatch Logs.

Pour créer un profil d'instance avec des autorisations pour des services Systems Manager supplémentaires, consultez les ressources suivantes.

Tâche 1 : (Facultatif) Création d'une stratégie personnalisée pour l'accès au compartiment S3

La création d'une stratégie personnalisée pour l'accès Amazon S3 est obligatoire uniquement si vous utilisez un point de terminaison d'un VPC ou votre propre compartiment S3 dans vos opérations de Systems Manager.

Pour plus d'informations sur leAWSLes compartiments S3 gérés auxquels vous fournissez l'accès dans la stratégie suivante, consultezSSM AgentCommunications avecAWSCompartiments S3 gérés.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Stratégies, puis Créer une stratégie.

  3. Choisissez l'onglet JSON et remplacez le texte par défaut avec le texte suivant :

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-ssm-region/*", "arn:aws:s3:::aws-windows-downloads-region/*", "arn:aws:s3:::amazon-ssm-region/*", "arn:aws:s3:::amazon-ssm-packages-region/*", "arn:aws:s3:::region-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-distributor-file-region/*", "arn:aws:s3:::aws-ssm-document-attachments-region/*", "arn:aws:s3:::patch-baseline-snapshot-region/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl", "s3:GetEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET" ] } ] }

    1Les premières colonnesStatementest obligatoire uniquement si vous utilisez un point de terminaison VPC.

    2La secondeStatementn'est obligatoire que si vous utilisez un compartiment S3 que vous avez créé pour l'utiliser dans vos opérations Systems Manager.

    3 L'autorisation de liste de contrôle d'accès PutObjectAcl est obligatoire uniquement si vous prévoyez de prendre en charge l'accès entre comptes à des compartiments S3 d'autres comptes.

    4 L'élément GetEncryptionConfiguration est obligatoire si votre compartiment S3 est configuré pour utiliser le chiffrement.

    Si votre compartiment S3 est configuré pour utiliser le chiffrement, la racine du compartiment S3 (par exemple,arn:aws:s3:::DOC-EXAMPLE-BUCKET) doit être répertorié dans leRessourceSection. Votre utilisateur, groupe ou rôle IAM doit être configuré avec l'accès au compartiment racine.

  4. Si vous utilisez un point de terminaison d'un VPC dans vos opérations, procédez comme suit :

    Dans le premierStatement, remplacez chaque élémentregionavec l'identifiant de la propriété Région AWS cette politique sera utilisée dans. Par exemple, utilisezus-east-2Pour la région USA Est (Ohio). Pour obtenir une liste desregion, consultez laRegion (Région)column inPoints de terminaison du service Systems Managerdans leRéférence Amazon Web Services.

    Important

    Dans cette stratégie, nous vous recommandons d'éviter d'utiliser des caractères génériques (*) à la place des régions spécifiques. Par exemple, utilisez arn:aws:s3:::aws-ssm-us-east-2/* et n'utilisez pas arn:aws:s3:::aws-ssm-*/*. L'utilisation de caractères génériques pourrait fournir l'accès aux compartiments S3 vers lesquels vous ne prévoyez pas d'accorder l'accès. Si vous souhaitez utiliser le profil d'instance pour plusieurs régions, nous vous recommandons de répéter le premier élément Statement pour chaque région.

    -ou-

    Si vous n'utilisez pas un point de terminaison d'un VPC dans vos opérations, vous pouvez supprimer le premierStatementélément.

  5. Si vous utilisez votre propre compartiment S3 dans vos opérations Systems Manager, procédez comme suit :

    Dans la secondeStatementélément, remplacerDOC-EXEMPLE-BUCKETAvec le nom d'un compartiment S3 dans votre compte. Vous utiliserez ce compartiment pour vos opérations de Systems Manager. Il fournit des autorisations pour les objets du compartiment, en utilisant "arn:aws:s3:::my-bucket-name/*" comme ressource. Pour plus d'informations sur l'octroi d'autorisations pour des compartiments ou des objets dans des compartiments, consultez la rubriqueSpécification d'autorisations dans une stratégiedans leManuel du développeur Amazon Simple Storage Serviceet l'AWSpost de blogStratégies IAM, stratégies de compartiment et listes d'accès d'accès ! Oh My! (Controlling Access to S3 Resources).

    Note

    Si vous utilisez plusieurs compartiments, fournissez l'ARN de chacun d'entre eux. Par exemple, pour les autorisations sur les compartiments :

    "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*" ]

    -ou-

    Si vous n'utilisez pas votre propre compartiment S3 dans vos opérations Systems Manager, vous pouvez supprimer le second compartimentStatementélément.

  6. Choisissez Examiner une stratégie.

  7. Pour Nom, saisissez un nom pour identifier cette stratégie, par exemple SSMInstanceProfileS3Policy ou tout autre nom de votre choix.

  8. Choisissez Créer une stratégie.

Tâche 2 : Pour ajouter des autorisations au profil d'instance de Systems Manager (console)

Selon que créez un rôle pour votre profil d'instance ou que vous ajoutez les autorisations nécessaires à un rôle existant, utilisez l'une des procédures suivantes.

Pour créer un profil d'instance pour les instances gérées Systems Manager (console)

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Rôles, puis Créer un rôle.

  3. Sous Select type of trusted entity (Sélectionner un type d'entité de confiance), choisissez AWS service (Service AWS).

  4. Immédiatement sousChoisissez le service qui utilisera ce rôle, choisissezEC2, puisSuivant: Permissions (Autorisations).

    
                                Choix du service EC2 dans la console IAM
  5. Sur la page Attacher des stratégies d'autorisation, procédez comme suit :

    • Utilisez le champ Recherche pour localiser l'instance AmazonSSMManagedInstanceCore. Cochez la case en regard de son nom.

      
                                        Choix du service EC2 dans la console IAM

      La console conserve votre sélection même si vous recherchez d'autres stratégies.

    • Si vous avez créé une stratégie de compartiment S3 personnalisée au cours de la procédure précédente, Tâche 1 : (Facultatif) Création d'une stratégie personnalisée pour l'accès au compartiment S3, recherchez-la et cochez la case en regard de son nom.

    • Si vous prévoyez de joindre des instances à un domaine Active Directory géré par AWS Directory Service, recherchez AmazonSSMDirectoryServiceAccess et cochez la case en regard de son nom.

    • Si vous prévoyez d'utiliser EventBridge ou CloudWatch Logs pour gérer ou surveiller votre instance, recherchezCloudWatchAgentServerPolicyet cochez la case en regard de son nom.

  6. Choisissez Next (Suivant) Tags (Balises).

  7. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur de balise afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis choisissezSuivant: Review (Examiner).

  8. Pour Nom du rôle, entrez un nom pour votre nouveau profil d'instance, par exemple SSMInstanceProfile ou un autre nom en fonction de vos préférences.

    Note

    Notez le nom de rôle. Choisissez ce rôle lorsque vous créerez de nouvelles instances à gérer à l'aide de Systems Manager.

  9. (Facultatif) Dans le champ Description du rôle, saisissez une description pour ce profil d'instance.

  10. Sélectionnez Créer un rôle. Le système vous renvoie à la page Rôles.

Pour ajouter des autorisations de profil d'instance pour Systems Manager à un rôle existant (console)

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissezRôles, puis choisissez le rôle existant à associer à un profil d'instance pour des opérations Systems Manager.

  3. Sous l'onglet Autorisations, choisissez Attach policies (Attacher des stratégies).

  4. Sur la page Attach permission policies (Attacher des stratégies d'autorisation), procédez comme suit :

    • Cochez la case en regard de la stratégie gérée AmazonSSMManagedInstanceCore requise.

    • Si vous avez créé une stratégie de compartiment S3 personnalisée, cochez la case en regard de son nom. Pour plus d'informations sur les stratégies de compartiment S3 personnalisés pour un profil d'instance, consultez Tâche 1 : (Facultatif) Création d'une stratégie personnalisée pour l'accès au compartiment S3.

    • Si vous prévoyez de joindre des instances à un domaine Active Directory géré par AWS Directory Service, cochez la case en regard de AmazonSSMDirectoryServiceAccess.

    • Si vous prévoyez d'utiliser EventBridge ou CloudWatch Logs pour gérer ou surveiller votre instance, cochez la case en regard deCloudWatchAgentServerPolicy.

  5. Choisissez Attacher la stratégie.

Pour plus d'informations sur la mise à jour d'un rôle pour inclure une entité de confiance ou limiter davantage l'accès, consultezModification d'un rôledans leIAM User Guide.

Passez au Étape 5 : Attachement d'un profil d'instance IAM à une instance Amazon EC2.