ステップ 2: Session Manager のインスタンスのアクセス権限の確認または追加 - AWS Systems Manager

ステップ 2: Session Manager のインスタンスのアクセス権限の確認または追加

デフォルトでは、AWS Systems Manager にはインスタンスでアクションを実行する権限がありません。インスタンスのアクセス許可は、AWS Identity and Access Management (IAM) ロールを使用してアカウントレベルで付与するか、またはインスタンスプロファイルを使用してインスタンスレベルで付与することができます。可能であれば、デフォルトのホスト管理設定を使用してアカウントレベルでアクセスを付与することをお勧めします。AmazonSSMManagedEC2InstanceDefaultPolicy ポリシーを使用してアカウントのデフォルトホスト管理設定を既にセットアップしている場合は、次のステップに進むことができます。デフォルトのホスト管理設定の詳細については、「デフォルトのホスト管理設定の使用」を参照してください。

インスタンスプロファイルを使用してインスタンスに必要なアクセス権限を提供することもできます。インスタンスプロファイルは IAM ロールを Amazon EC2 インスタンスに渡します。IAM インスタンスプロファイルは、起動時の Amazon EC2 インスタンスまたは以前に起動したインスタンスにアタッチできます。詳細についてはインスタンスプロファイルの使用をご参照ください。

オンプレミスサーバーまたは仮想マシン (VM) の場合、アクセス許可はハイブリッドアクティベーションに関連付けられた IAM サービスロールによって付与されます。ハイブリッドアクティベーションは、Systems Manager 付きオンプレミスサーバーおよび VM の登録に使用します。オンプレミスサーバーと VM はインスタンスプロファイルを使用しません。

Run Command や Parameter Store など、他の Systems Manager 機能をすでに使用している場合、Session Manager に必要な基本許可を持つインスタンスプロファイルがすでにAmazon EC2インスタンスに添付されている可能性があります。AWS 管理ポリシー AmazonSSMManagedInstanceCore を含むインスタンスプロファイルが既にインスタンスにアタッチされている場合、Session Manager に必要なアクセス許可は既に付与されています。これはハイブリッドアクティベーションで使用される IAM サービスロールに AmazonSSMManagedInstanceCore 管理ポリシーが含まれる場合も適用されます。

重要

ハイブリッドアクティベーションに関連付けられた IAM サービスロールは変更できません。サービスロールに必要な許可が含まれていない場合、マネージドインスタンスを登録解除し、必要な許可を持つサービスロールを使用する新しいハイブリッドアクティベーションに登録する必要があります。マネージドインスタンスの登録解除の詳細については「ハイブリッドおよびマルチクラウド環境でのマネージドノードの登録解除」をご参照ください。オンプレミスマシンの IAM サービスロールの作成における詳細については、「ハイブリッド環境用の IAM サービスロールの作成」をご参照ください。

ただし、場合によっては、インスタンスプロファイルにアタッチされたアクセス許可を変更する必要があります。例えば、インスタンスのアクセス許可のセットを絞り込む場合、インスタンスプロファイルのカスタムポリシーを作成した場合、Amazon Simple Storage Service (Amazon S3) 暗号化オプションまたは AWS Key Management Service (AWS KMS) 暗号化オプションを使用してセッションデータを保護する場合などです。このような場合は、次のいずれかを実行して、インスタンスで Session Manager アクションを実行できるようにします。

  • カスタム IAM ロールの Session Manager アクション用の許可を埋め込む

    AWS が提供するデフォルトのポリシー AmazonSSMManagedInstanceCore に依存しない既存の IAM ロールに Session Manager アクションのアクセス許可を追加するには、次の 既存の IAM ロールに Session Manager 許可を追加 の手順に従います。

  • Session Manager の許可のみ付与したカスタム IAM ロールを作成

    Session Manager アクションのみの許可を含む IAM ロールを作成する場合、Session Manager のカスタム IAM ロールを作成 のステップにしたがいます。

  • すべての Systems Manager アクション用の許可を持った新しい IAM ロールの作成と使用

    AWS が提供するデフォルトポリシーを使用する Systems Manager マネージドインスタンスの IAM ロールを作成してすべての Systems Manager にアクセス許可を付与する場合は、「Systems Manager にインスタンスのアクセス許可を設定する」のステップに従います。