AWS Systems Manager
ユーザーガイド

ステップ 2: Session Manager アクセス権限を使用して、IAM インスタンスプロファイルロールを確認し、作成する

デフォルトでは、AWS Systems Manager にはインスタンスでアクションを実行する権限がありません。IAM インスタンスプロファイルを使用してアクセスを許可する必要があります。インスタンスプロファイルは、起動時に Amazon EC2 インスタンスに IAM ロール情報を渡すコンテナです。この要件は、Session Manager 固有のアクセス権限だけでなく、すべての AWS Systems Manager 機能のアクセス権限に適用されます。

Run Command や パラメータストア などの他の Systems Manager 機能をすでに使用している場合は、Session Manager のために必要な基本的なアクセス許可を持つインスタンスプロファイルがすでにインスタンスにアタッチされている可能性があります。AWS 管理ポリシー [AmazonSSMManagedInstanceCore] を含むインスタンスプロファイルがすでにインスタンスにアタッチされている場合、Session Manager に必要なアクセス許可はすでに付与されています。

ただし、場合によっては、インスタンスプロファイルにアタッチされたアクセス許可を変更する必要があります。たとえば、インスタンスのアクセス許可のセットを絞り込む場合、インスタンスプロファイルのカスタムポリシーを作成した場合、Amazon S3 暗号化オプションまたは AWS KMS 暗号化オプションを使用してセッションデータを保護する場合などです。このような場合は、次のいずれかを実行して、インスタンスで Session Manager アクションを実行できるようにします。

  • カスタムインスタンスプロファイルに Session Manager アクションのアクセス権限を埋め込む

    AWS 提供のデフォルトポリシー [AmazonSSMManagedInstanceCore] に依存しない、既存の IAM インスタンスプロファイルに Session Manager アクションのアクセス許可を追加するには、「既存のインスタンスプロファイルに Session Manager アクセス権限を追加する」の手順に従います。

  • Session Manager アクセス権限のみを使用してカスタム IAM インスタンスプロファイルを作成する

    Session Manager アクションのみのアクセス権限を含む IAM インスタンスプロファイルを作成するには、「Session Manager 用のカスタム IAM インスタンスプロファイルを作成する」の手順に従います。

  • すべての Systems Manager アクションに対するアクセス権限を持つ、新しいインスタンスプロファイルを作成して使用する

    AWS でサポートされているデフォルトのポリシー (Systems Manager のすべてのアクセス許可を付与) を使用する IAM インスタンスプロファイルを Systems Manager マネージドインスタンス用に作成するには、「Systems Manager の IAM インスタンスプロファイルの作成」のステップに従います。

注記

IAM インスタンスプロファイルは、起動時の Amazon EC2 インスタンスまたは以前に起動したインスタンスにアタッチできます。詳細については、「インスタンスプロファイル」を参照してください。