ステップ 2: Session Manager アクセス許可を使用して、IAM インスタンスプロファイルを確認または作成する - AWS Systems Manager

ステップ 2: Session Manager アクセス許可を使用して、IAM インスタンスプロファイルを確認または作成する

デフォルトでは、AWS Systems Manager にはインスタンスでアクションを実行する権限がありません。AWS Identity and Access Management (IAM) インスタンスプロファイルを使用してアクセスを許可する必要があります。インスタンスプロファイルは、起動時に IAM ロール情報を Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに渡すコンテナです。この要件は、AWS Systems Manager 固有のアクセス権限だけでなく、すべての Session Manager 機能のアクセス権限に適用されます。

Run Command や Parameter Store など他の Systems Manager 機能をすでに使用している場合は、Session Manager のために必要な基本的なアクセス許可を持つインスタンスプロファイルがすでにインスタンスにアタッチされている可能性があります。AWS 管理ポリシー [AmazonSSMManagedInstanceCore] を含むインスタンスプロファイルがすでにインスタンスにアタッチされている場合、Session Manager に必要なアクセス許可はすでに付与されています。

ただし、場合によっては、インスタンスプロファイルにアタッチされたアクセス許可を変更する必要があります。例えば、インスタンスのアクセス許可のセットを絞り込む場合、インスタンスプロファイルのカスタムポリシーを作成した場合、Amazon Simple Storage Service (Amazon S3) 暗号化オプションまたは AWS Key Management Service (AWS KMS) 暗号化オプションを使用してセッションデータを保護する場合などです。このような場合は、次のいずれかを実行して、インスタンスで Session Manager アクションを実行できるようにします。

  • カスタムインスタンスプロファイルに Session Manager アクションのアクセス権限を埋め込む

    AWS 提供のデフォルトポリシー [AmazonSSMManagedInstanceCore] に依存しない、既存の IAM インスタンスプロファイルに Session Manager アクションのアクセス許可を追加するには、「既存のインスタンスプロファイルに Session Manager アクセス許可を追加する」の手順に従います。

  • Session Manager アクセス許可のみを使用してカスタム IAM インスタンスプロファイルを作成する

    Session Manager アクションのみのアクセス許可を含む インスタンスプロファイルを作成するには、「Session Manager のカスタム IAM インスタンスプロファイルを作成する」の手順に従います。

  • すべての Systems Manager アクションに対するアクセス許可を持つ、新しいインスタンスプロファイルを作成して使用する

    AWS が提供するデフォルトのポリシーを使用する Systems Manager マネージドインスタンスの IAM インスタンスプロファイルを作成し、Systems Manager のすべてのアクセス許可を付与するには、「Systems Manager の IAM インスタンスプロファイルを作成する」の手順に従います。

注記

IAM インスタンスプロファイルは、起動時の EC2 インスタンスまたは以前に起動したインスタンスにアタッチできます。詳細については、「インスタンスプロファイル」を参照してください。