既存のインスタンスプロファイルに Session Manager アクセス許可を追加する
インスタンスのアクセス許可に対して AWS 提供のデフォルトポリシー [AmazonSSMManagedInstanceCore] に依存しない既存の IAM インスタンスプロファイルに Session Manager のアクセス許可を埋め込むには、以下の手順に従います。この手順では、アクセスを許可するアクションに対する他の
Systems Manager の ssm アクセス権限が既存のプロファイルにすでに含まれていることを前提としています。このポリシーだけでは、Session Manager を使用するには十分ではありません。
既存のインスタンスプロファイル (コンソール) に Session Manager アクセス権限を追加するには
-
Sign in to the AWS Management Console and open the IAM console at https://console.aws.amazon.com/iam/
. -
ナビゲーションペインで [Roles (ロール) ] を選択します。
-
ポリシーを埋め込むロールの名前を選択します。
-
[Permissions] タブを選択します。
-
ページ下部までスクロールし、[インラインポリシーの追加] を選択します。
-
[JSON] タブを選択します。
-
デフォルトコンテンツを以下のものと置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }「ssmmessages」について
ssmmessagesの詳細については、「リファレンス: ec2messages、ssmmessages と他の API コール」を参照してください。「kms:Decrypt」について
このポリシーでは、
kms:Decryptアクセス権限によってセッションデータの顧客キーの暗号化と復号が有効になります。セッションデータに AWS Key Management Service (AWS KMS) 暗号化を使用する場合は、key-nameをarn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE形式で、使用するカスタマーマスターキー (CMK) のARN に置き換えてください。セッションデータに AWS KMS 暗号化を使用しない場合は、ポリシーから以下のコンテンツを削除できます。
, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }セッションデータを暗号化するための AWS KMS と CMK の使用については、「セッションデータの AWS KMS キー暗号化を有効にする (コンソール)」を参照してください。
-
[ポリシーの確認] を選択します。
-
[Review policy (ポリシーの確認)] ページで、[Name (名前)] にインラインポリシーの名前を入力します (
SessionManagerPermissionsなど)。 -
[Create policy] を選択します。
