ステップ 2: Session Manager 許可を持つ IAM ロールを確認または作成する - AWS Systems Manager

ステップ 2: Session Manager 許可を持つ IAM ロールを確認または作成する

デフォルトでは、AWS Systems Manager にはインスタンスでアクションを実行する権限がありません。AWS Identity and Access Management (IAM) でアクセスを許可する必要があります。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの場合、許可はインスタンスプロファイルで付与されます。インスタンスプロファイルは IAM ロールを Amazon EC2 インスタンスに渡します。IAM インスタンスプロファイルは、起動時の Amazon EC2 インスタンスまたは以前に起動したインスタンスに添付できます。詳細についてはインスタンスプロファイルの使用をご参照ください。

オンプレミスサーバーまたは仮想マシン (VM) の場合、アクセス許可はハイブリッドアクティベーションに関連付けられた IAM サービスロールによって付与されます。ハイブリッドアクティベーションは、Systems Manager 付きオンプレミスサーバーおよび VM の登録に使用します。オンプレミスサーバーと VM はインスタンスプロファイルを使用しません。

Run Command や Parameter Store など、他の Systems Manager 機能をすでに使用している場合、Session Manager に必要な基本許可を持つインスタンスプロファイルがすでにAmazon EC2インスタンスに添付されている可能性があります。AWS 管理ポリシー AmazonSSMManagedInstanceCore を含むインスタンスプロファイルが既にインスタンスにアタッチされている場合、Session Manager に必要なアクセス許可は既に付与されています。これはハイブリッドアクティベーションで使用される IAM サービスロールに AmazonSSMManagedInstanceCore 管理ポリシーが含まれる場合も適用されます。

重要

ハイブリッドアクティベーションに関連付けられた IAM サービスロールは変更できません。サービスロールに必要な許可が含まれていない場合、マネージドインスタンスを登録解除し、必要な許可を持つサービスロールを使用する新しいハイブリッドアクティベーションに登録する必要があります。マネージドインスタンスの登録解除の詳細については「ハイブリッド環境でのマネージドノードの登録解除」をご参照ください。オンプレミスマシンの IAM サービスロールの作成における詳細については、「ハイブリッド環境用の IAM サービスロールの作成」をご参照ください。

ただし、場合によっては、インスタンスプロファイルにアタッチされたアクセス許可を変更する必要があります。例えば、インスタンスのアクセス許可のセットを絞り込む場合、インスタンスプロファイルのカスタムポリシーを作成した場合、Amazon Simple Storage Service (Amazon S3) 暗号化オプションまたは AWS Key Management Service (AWS KMS) 暗号化オプションを使用してセッションデータを保護する場合などです。このような場合は、次のいずれかを実行して、インスタンスで Session Manager アクションを実行できるようにします。

  • カスタム IAM ロールの Session Manager アクション用の許可を埋め込む

    AWS が提供するデフォルトのポリシー AmazonSSMManagedInstanceCore に依存しない既存の IAM ロールに Session Manager アクションのアクセス許可を追加するには、次の 既存の IAM ロールに Session Manager 許可を追加 の手順に従います。

  • Session Manager の許可のみ付与したカスタム IAM ロールを作成

    Session Manager アクションのみの許可を含む IAM ロールを作成する場合、Session Manager のカスタム IAM ロールを作成 のステップにしたがいます。

  • すべての Systems Manager アクション用の許可を持った新しい IAM ロールの作成と使用

    AWS が提供するデフォルトポリシーを使用する Systems Manager マネージドインスタンス用の IAM ロールを作成してすべてのSystems Manager に許可を付与する場合、Systems Manager 用の IAM インスタンスプロファイルを作成のステップにしたがいます。