Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud
Mesin non-EC2 (Amazon Elastic Compute Cloud) dalam lingkungan hybrid dan multicloud memerlukan peran layanan AWS Identity and Access Management (IAM) untuk berkomunikasi dengan layanan. AWS Systems Manager Memberikan kepercayaan peran AWS Security Token Service
(AWS STS)AssumeRole untuk layanan Systems Manager. Anda hanya perlu membuat peran layanan untuk lingkungan hybrid dan multicloud sekali untuk masing-masing. Akun AWS Namun, Anda dapat memilih untuk membuat beberapa peran layanan untuk aktivasi hibrida yang berbeda jika mesin di lingkungan hybrid dan multicloud Anda memerlukan izin yang berbeda.
Prosedur berikut menjelaskan cara membuat peran layanan yang diperlukan menggunakan konsol Systems Manager atau alat baris perintah pilihan Anda.
Menggunakan AWS Management Console
untuk membuat peran layanan IAM untuk aktivasi hybrid Systems Manager
Gunakan prosedur berikut untuk membuat peran layanan untuk aktivasi hibrida. Prosedur ini menggunakan AmazonSSMManagedInstanceCore kebijakan untuk fungsionalitas inti Systems Manager. Bergantung pada kasus penggunaan, Anda mungkin perlu menambahkan kebijakan tambahan ke peran layanan agar mesin lokal dapat mengakses kemampuan lain atau Layanan AWS. Misalnya, tanpa akses ke bucket Patch Manager Amazon Simple Storage Service (Amazon S3) AWS
terkelola yang diperlukan, operasi penambalan gagal.
Untuk membuat peran layanan (konsol)
Buka konsol IAM di https://console.aws.amazon.com/iam/.
-
Di panel navigasi, pilih Peran, lalu pilih Buat peran.
-
Untuk Pilih entitas tepercaya, buat pilihan berikut:
-
Untuk jenis entitas Tepercaya, pilih Layanan AWS.
-
Untuk kasus Penggunaan lainnya Layanan AWS, pilih Systems Manager.
-
Pilih Systems Manager, seperti yang ditunjukkan pada gambar berikut.
-
Pilih Selanjutnya.
-
Pada halaman Tambahkan izin, lakukan hal berikut:
-
Gunakan bidang Pencarian untuk menemukan kebijakan Inti AmazonSSM ManagedInstance. Pilih kotak centang di sebelah namanya.
-
Konsol mempertahankan pilihan Anda bahkan jika Anda mencari kebijakan lain.
-
Jika Anda membuat kebijakan bucket S3 kustom dalam prosedur(Opsional) Buat kebijakan khusus untuk akses bucket S3, cari kebijakan tersebut dan pilih kotak centang di samping namanya.
-
Jika Anda berencana untuk bergabung dengan mesin non-EC2 ke Active Directory yang dikelola oleh AWS Directory Service, cari AmazonSSM DirectoryService Access dan pilih kotak centang di samping namanya.
-
Jika Anda berencana untuk menggunakan EventBridge atau CloudWatch Log untuk mengelola atau memantau node terkelola Anda, cari CloudWatchAgentServerKebijakan dan pilih kotak centang di samping namanya.
-
Pilih Selanjutnya.
-
Untuk nama Peran, masukkan nama untuk peran server IAM baru Anda, sepertiSSMServerRole.
Buat catatan tentang nama peran. Anda akan memilih peran ini ketika Anda mendaftarkan mesin baru yang ingin Anda kelola dengan menggunakan Systems Manager.
-
(Opsional) Untuk Deskripsi, perbarui deskripsi untuk peran server IAM ini.
-
(Opsional) Untuk Tag, tambahkan satu atau beberapa pasangan nilai tag-key untuk mengatur, melacak, atau mengontrol akses untuk peran ini.
-
Pilih Buat peran. Sistem mengembalikan Anda ke halaman Peran.
Menggunakan AWS CLI untuk membuat peran layanan IAM untuk aktivasi hybrid Systems Manager
Gunakan prosedur berikut untuk membuat peran layanan untuk aktivasi hibrida. Prosedur ini menggunakan fungsionalitas inti Systems Manager AmazonSSMManagedInstanceCore kebijakan. Bergantung pada kasus penggunaan Anda, Anda mungkin perlu menambahkan kebijakan tambahan ke peran layanan Anda untuk mesin non-EC2 Anda di lingkungan hybrid dan multicloud untuk dapat mengakses kemampuan lain atau. Layanan AWS
Persyaratan kebijakan bucket S3
Jika salah satu dari kasus berikut ini benar, Anda harus membuat kebijakan izin IAM khusus untuk bucket Amazon Simple Storage Service (Amazon S3) sebelum menyelesaikan prosedur ini:
-
Kasus 1 — Anda menggunakan titik akhir VPC untuk menghubungkan VPC Anda secara pribadi ke layanan endpoint VPC yang didukung Layanan AWS dan didukung oleh VPC. AWS PrivateLink
-
Kasus 2 - Anda berencana menggunakan bucket Amazon S3 yang Anda buat sebagai bagian dari operasi Systems Manager, seperti untuk menyimpan output untuk Run Command perintah atau Session Manager sesi ke bucket S3. Sebelum melanjutkan, ikuti langkah-langkah di Membuat kebijakan bucket S3 kustom untuk profil instans. Informasi tentang kebijakan bucket S3 dalam topik tersebut juga berlaku untuk peran layanan Anda.
- AWS CLI
-
Untuk membuat peran layanan IAM untuk lingkungan hybrid dan multicloud ()AWS CLI
Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.
Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI.
-
Di mesin lokal Anda, buat file teks dengan nama seperti SSMService-Trust.json dengan kebijakan kepercayaan berikut. Pastikan Anda menyimpan file dengan ekstensi file .json. Pastikan untuk menentukan Anda Akun AWS dan Wilayah AWS di ARN tempat Anda membuat aktivasi hybrid Anda.
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-2:123456789012:*"
}
}
}
]
}
-
Buka AWS CLI, dan di direktori tempat Anda membuat file JSON, jalankan perintah create-role untuk membuat peran layanan. Contoh ini membuat peran bernama SSMServiceRole. Anda dapat memilih nama lain jika Anda suka.
Linux & macOSWindows
- Linux & macOS
aws iam create-role \
--role-name SSMServiceRole \
--assume-role-policy-document file://SSMService-Trust.json
- Windows
aws iam create-role ^
--role-name SSMServiceRole ^
--assume-role-policy-document file://SSMService-Trust.json
-
Jalankan perintah attach-role-policy sebagai berikut untuk memungkinkan peran layanan yang baru saja Anda buat untuk membuat token sesi. Token sesi memberikan izin node terkelola Anda untuk menjalankan perintah menggunakan Systems Manager.
Kebijakan yang Anda tambahkan untuk profil layanan untuk node terkelola di lingkungan hybrid dan multicloud adalah kebijakan yang sama yang digunakan untuk membuat profil instans untuk instans Amazon Elastic Compute Cloud (Amazon EC2). Untuk informasi selengkapnya tentang AWS
kebijakan yang digunakan dalam perintah berikut, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.
(Wajib) Jalankan perintah berikut untuk memungkinkan node terkelola menggunakan fungsionalitas inti AWS Systems Manager layanan.
Linux & macOSWindows
- Linux & macOS
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
- Windows
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
Jika Anda membuat kebijakan bucket S3 khusus untuk peran layanan Anda, jalankan perintah berikut untuk mengizinkan AWS Systems Manager Agen (SSM Agent) mengakses bucket yang Anda tentukan dalam kebijakan. Ganti account-id dan DOC-EXAMPLE-BUCKET dengan ID dan nama bucket Anda Akun AWS .
Linux & macOSWindows
- Linux & macOS
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::account-id:policy/DOC-EXAMPLE-BUCKET
- Windows
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::account-id:policy/DOC-EXAMPLE-BUCKET
(Opsional) Jalankan perintah berikut SSM Agent untuk mengizinkan akses AWS Directory Service atas nama Anda untuk permintaan bergabung dengan domain oleh node terkelola. Peran layanan Anda memerlukan kebijakan ini hanya jika Anda menggabungkan node ke direktori Microsoft AD.
Linux & macOSWindows
- Linux & macOS
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
- Windows
aws iam attach-role-policy ^
--role-name SSMServiceRole ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
(Opsional) Jalankan perintah berikut untuk memungkinkan CloudWatch agen berjalan di node terkelola Anda. Perintah ini memungkinkan untuk membaca informasi pada node dan menuliskannya ke CloudWatch. Profil layanan Anda memerlukan kebijakan ini hanya jika Anda akan menggunakan layanan seperti Amazon EventBridge atau Amazon CloudWatch Logs.
aws iam attach-role-policy \
--role-name SSMServiceRole \
--policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
- Tools for PowerShell
-
Untuk membuat peran layanan IAM untuk lingkungan hybrid dan multicloud ()AWS Tools for Windows PowerShell
Instal dan konfigurasikan AWS Tools for PowerShell (Alat untuk Windows PowerShell), jika Anda belum melakukannya.
Untuk selengkapnya, lihat Menginstal AWS Tools for PowerShell.
-
Di mesin lokal Anda, buat file teks dengan nama seperti SSMService-Trust.json dengan kebijakan kepercayaan berikut. Pastikan Anda menyimpan file dengan ekstensi file .json. Pastikan untuk menentukan Anda Akun AWS dan Wilayah AWS di ARN tempat Anda membuat aktivasi hybrid Anda.
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:region:123456789012:*"
}
}
}
]
}
-
Buka PowerShell dalam mode administratif, dan di direktori tempat Anda membuat file JSON, jalankan New-iamRole sebagai berikut untuk membuat peran layanan. Contoh ini membuat peran bernama SSMServiceRole. Anda dapat memilih nama lain jika Anda suka.
New-IAMRole `
-RoleName SSMServiceRole `
-AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
-
Gunakan Register-IAM RolePolicy sebagai berikut untuk mengizinkan peran layanan yang Anda buat untuk membuat token sesi. Token sesi memberikan izin node terkelola Anda untuk menjalankan perintah menggunakan Systems Manager.
Kebijakan yang Anda tambahkan untuk profil layanan untuk node terkelola di lingkungan hybrid dan multicloud adalah kebijakan yang sama yang digunakan untuk membuat profil instans untuk instans EC2. Untuk informasi selengkapnya tentang AWS kebijakan yang digunakan dalam perintah berikut, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager.
(Wajib) Jalankan perintah berikut untuk memungkinkan node terkelola menggunakan fungsionalitas inti AWS Systems Manager layanan.
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
Jika Anda membuat kebijakan bucket S3 khusus untuk peran layanan Anda, jalankan perintah berikut SSM Agent untuk memungkinkan mengakses bucket yang Anda tentukan dalam kebijakan. Ganti ID akun dan my-bucket-policy-name dengan ID Akun AWS dan nama kelompok Anda.
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::account-id:policy/my-bucket-policy-name
(Opsional) Jalankan perintah berikut SSM Agent untuk mengizinkan akses AWS Directory Service atas nama Anda untuk permintaan bergabung dengan domain oleh node terkelola. Peran server Anda memerlukan kebijakan ini hanya jika Anda menggabungkan node ke direktori Microsoft AD.
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
(Opsional) Jalankan perintah berikut untuk memungkinkan CloudWatch agen berjalan di node terkelola Anda. Perintah ini memungkinkan untuk membaca informasi pada node dan menuliskannya ke CloudWatch. Profil layanan Anda memerlukan kebijakan ini hanya jika Anda akan menggunakan layanan seperti Amazon EventBridge atau Amazon CloudWatch Logs.
Register-IAMRolePolicy `
-RoleName SSMServiceRole `
-PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
Lanjutkan ke Buat aktivasi hybrid untuk mendaftarkan node dengan Systems Manager.
