Fase 2: Verifica o aggiungi le autorizzazioni delle istanze per Session Manager

Per impostazione predefinita, AWS Systems Manager non dispone dell'autorizzazione per eseguire azioni sulle tue istanze. È possibile fornire le autorizzazioni di istanza a livello di account utilizzando un ruolo AWS Identity and Access Management (IAM) o a livello di istanza utilizzando un profilo dell'istanza. Se il tuo caso d'uso lo consente, ti consigliamo di concedere l'accesso a livello di account utilizzando la configurazione di gestione host predefinita. Se hai già impostato la configurazione di gestione host predefinita per il tuo account utilizzando la policy AmazonSSMManagedEC2InstanceDefaultPolicy, puoi procedere con il passaggio successivo. Per ulteriori informazioni sulla configurazione di gestione host predefinita, consulta Utilizzo dell'impostazione di configurazione predefinita della gestione host.

In alternativa, puoi utilizzare i profili di istanza per fornire le autorizzazioni necessarie alle tue istanze. Un profilo dell'istanza passa un ruolo IAM a un'istanza Amazon EC2. È possibile collegare un profilo dell'istanza IAM a un'istanza Amazon EC2 all'avvio o a un'istanza avviata in precedenza. Per ulteriori informazioni, consulta Utilizzo dei profili dell'istanza.

Per i server On-Premises o le macchine virtuali (VM), le autorizzazioni sono fornite dal ruolo di servizio IAM associato all'attivazione ibrida utilizzata per registrare i server e le VM locali con Systems Manager. I server e le macchine virtuali On-premises non utilizzano i profili delle istanze.

Se utilizzi già altre funzionalità di Systems Manager, ad esempio Run Command o Parameter Store, un profilo dell'istanza con le autorizzazioni di base richieste per il Session Manager potrebbe essere già associato alle tue istanze Amazon EC2. Se un profilo dell'istanza contenente la policy AmazonSSMManagedInstanceCore gestita da AWS è già associato alle tue istanze, le autorizzazioni richieste per Session Manager sono già fornite. Ciò vale anche se il ruolo di servizio IAM utilizzato nell'attivazione ibrida contiene la policy gestita AmazonSSMManagedInstanceCore.

Tuttavia, in alcuni casi, potrebbe essere necessario modificare le autorizzazioni collegate al profilo dell'istanza. Ad esempio, desideri fornire un set più ristretto di autorizzazioni per l'istanza, hai creato una policy personalizzata per il tuo profilo di istanza o desideri utilizzare le opzioni di crittografia o () di crittografia di Amazon Simple Storage Service (Amazon S3) AWS Key Management Service o AWS KMS() per proteggere i dati della sessione. Per questi casi, procedi in uno dei seguenti modi per consentire l'esecuzione di operazioni Session Manager sulle istanze:

• Incorpora autorizzazioni per azioni Session Manager in un ruolo IAM personalizzato

  Per aggiungere Session Manager autorizzazioni per azioni a un ruolo IAM esistente che non si basa sulla policy predefinita AWS fornita, segui la procedura riportata di seguito. AmazonSSMManagedInstanceCore Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente

• Crea un ruolo IAM personalizzato solo con le autorizzazioni del Session Manager

  Per creare un ruolo IAM che contenga solo le autorizzazioni per le operazioni del Session Manager, segui i passaggi riportati in Crea un IAM ruolo personalizzato per Session Manager.

• Crea e utilizza un nuovo ruolo IAM con le autorizzazioni per tutte le operazioni di Systems Manager

  Per creare un ruolo IAM per le istanze gestite di Systems Manager che utilizza una policy predefinita fornita da AWS per concedere tutte le autorizzazioni di Systems Manager, segui i passaggi in Configurare le autorizzazioni delle istanze richieste per Systems Manager.

Argomenti

• Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente
• Crea un IAM ruolo personalizzato per Session Manager