Buat IAM peran khusus untuk Session Manager - AWS Systems Manager
Membuat IAM peran dengan Session Manager izin minimal (konsol)Membuat IAM peran dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat IAM peran khusus untuk Session Manager

Anda dapat membuat peran AWS Identity and Access Management (IAM) yang memberikan Session Manager izin untuk melakukan tindakan pada instans EC2 terkelola Amazon Anda. Anda juga dapat menyertakan kebijakan untuk memberikan izin yang diperlukan agar log sesi dikirim ke Amazon Simple Storage Service (Amazon S3) dan Amazon Logs. CloudWatch

Setelah Anda membuat IAM peran, untuk informasi tentang cara melampirkan peran ke instance, lihat Melampirkan atau Mengganti Profil Instance di AWS re:Post situs web. Untuk informasi selengkapnya tentang profil dan peran IAM instans, lihat Menggunakan profil instans di Panduan IAM Pengguna dan IAMperan untuk Amazon EC2 di Panduan Pengguna Amazon Elastic Compute Cloud untuk Instans Linux. Untuk informasi selengkapnya tentang membuat peran IAM layanan untuk mesin lokal, lihat Membuat peran IAM layanan yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud.

Membuat IAM peran dengan Session Manager izin minimal (konsol)

Gunakan prosedur berikut untuk membuat IAM peran kustom dengan kebijakan yang memberikan izin hanya untuk Session Manager tindakan pada instans Anda.

Untuk membuat profil instance dengan Session Manager izin minimal (konsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Dalam panel navigasi, pilih Kebijakan, dan kemudian pilih Buat kebijakan. (Jika tombol Memulai ditampilkan, pilih tombol tersebut, dan kemudian pilih Buat kebijakan.)

  3. Pilih JSONtab.

  4. Ganti konten default dengan kebijakan berikut. Untuk mengenkripsi data sesi menggunakan AWS Key Management Service (AWS KMS), ganti key-name dengan Amazon Resource Name (ARN) dari AWS KMS key yang ingin Anda gunakan.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

    Untuk informasi tentang menggunakan KMS kunci untuk mengenkripsi data sesi, lihatAktifkan enkripsi kunci KMS data sesi (konsol).

    Jika Anda tidak akan menggunakan AWS KMS enkripsi untuk data sesi, Anda dapat menghapus konten berikut dari kebijakan.

    ,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

  5. Pilih Berikutnya: Tag

  6. (Opsional) Tambahkan tag dengan memilih Tambah tag, dan masukkan tag pilihan untuk kebijakan tersebut.

  7. Pilih Berikutnya: Tinjau.

  8. Pada halaman Tinjau kebijakan, untuk Nama, masukkan nama untuk kebijakan selaras, seperti SessionManagerPermissions.

  9. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk kebijakan.

  10. Pilih Buat kebijakan.

  11. Di panel navigasi, pilih Peran, lalu pilih Buat peran.

  12. Pada halaman Buat peran, pilih AWS layanan, dan untuk kasus penggunaan, pilih EC2.

  13. Pilih Berikutnya.

  14. Pada halaman Tambahkan izin, pilih kotak centang di sebelah kiri nama kebijakan yang baru saja Anda buat, sepertiSessionManagerPermissions.

  15. Pilih Berikutnya.

  16. Pada halaman Nama, tinjau, dan buat, untuk nama Peran, masukkan nama untuk IAM peran tersebut, sepertiMySessionManagerRole.

  17. (Opsional) Untuk Deskripsi peran, masukkan deskripsi untuk profil instans.

  18. (Opsional) Tambahkan tag dengan memilih Tambahkan tag, dan masukkan tag pilihan untuk peran tersebut.

    Pilih Buat peran.

Untuk informasi tentang ssmmessages tindakan, lihatReferensi: ec2messages, ssmmessages, dan operasi lainnya API.

Membuat IAM peran dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)

Gunakan prosedur berikut untuk membuat IAM peran kustom dengan kebijakan yang memberikan izin untuk Session Manager tindakan pada instans Anda. Kebijakan ini juga menyediakan izin yang diperlukan agar log sesi disimpan di bucket Amazon Simple Storage Service (Amazon S3) dan grup log Amazon Logs. CloudWatch

penting

Untuk menampilkan log sesi ke bucket Amazon S3 yang dimiliki oleh yang lain Akun AWS, Anda harus menambahkan s3:PutObjectAcl izin ke kebijakan IAM peran. Selain itu, Anda harus memastikan bahwa kebijakan bucket memberikan akses lintas akun ke IAM peran yang digunakan oleh akun pemilik untuk memberikan izin Systems Manager untuk instans terkelola. Jika bucket menggunakan enkripsi Key Management Service (KMS), KMS kebijakan bucket juga harus memberikan akses lintas akun ini. Untuk informasi selengkapnya tentang mengonfigurasi izin bucket lintas akun di Amazon S3, lihat Memberikan izin bucket lintas akun di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Jika izin lintas akun tidak ditambahkan, akun yang memiliki bucket Amazon S3 tidak dapat mengakses log keluaran sesi.

Untuk informasi tentang menentukan preferensi untuk menyimpan log sesi, lihat Mengaktifkan dan menonaktifkan pencatatan sesi.

Untuk membuat IAM peran dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Dalam panel navigasi, pilih Kebijakan, dan kemudian pilih Buat kebijakan. (Jika tombol Memulai ditampilkan, pilih tombol tersebut, dan kemudian pilih Buat kebijakan.)

  3. Pilih JSONtab.

  4. Ganti konten default dengan kebijakan berikut. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel",
                "ssm:UpdateInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        },
        {
            "Effect": "Allow",
            "Action": "kms:GenerateDataKey",
            "Resource": "*"
        }
    ]
}

  5. Pilih Berikutnya: Tag

  6. (Opsional) Tambahkan tag dengan memilih Tambah tag, dan masukkan tag pilihan untuk kebijakan tersebut.

  7. Pilih Berikutnya: Tinjau.

  8. Pada halaman Tinjau kebijakan, untuk Nama, masukkan nama untuk kebijakan selaras, seperti SessionManagerPermissions.

  9. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk kebijakan.

  10. Pilih Buat kebijakan.

  11. Di panel navigasi, pilih Peran, lalu pilih Buat peran.

  12. Pada halaman Buat peran, pilih AWS layanan, dan untuk kasus penggunaan, pilih EC2.

  13. Pilih Berikutnya.

  14. Pada halaman Tambahkan izin, pilih kotak centang di sebelah kiri nama kebijakan yang baru saja Anda buat, sepertiSessionManagerPermissions.

  15. Pilih Berikutnya.

  16. Pada halaman Nama, tinjau, dan buat, untuk nama Peran, masukkan nama untuk IAM peran tersebut, sepertiMySessionManagerRole.

  17. (Opsional) Untuk Deskripsi peran, masukkan deskripsi untuk peran tersebut.

  18. (Opsional) Tambahkan tag dengan memilih Tambahkan tag, dan masukkan tag pilihan untuk peran tersebut.

  19. Pilih Buat peran.