ステップ 2: Session Manager のアクセス許可を持つ IAM インスタンスプロファイルを確認または作成する - AWS Systems Manager

ステップ 2: Session Manager のアクセス許可を持つ IAM インスタンスプロファイルを確認または作成する

デフォルトでは、AWS Systems Manager にはインスタンスでアクションを実行する権限がありません。AWS Identity and Access Management (IAM) インスタンスプロファイルを使用してアクセスを許可する必要があります。インスタンスプロファイルは、起動時に IAM ロール情報を Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに渡すコンテナです。この要件は、Session Manager 固有のアクセス権限だけでなく、すべての AWS Systems Manager 機能のアクセス権限に適用されます。

Run Command や Parameter Store などの他の Systems Manager 機能を既に使用している場合は、Session Manager に必要な基本的なアクセス許可を持つインスタンスプロファイルが既にインスタンスにアタッチされている可能性があります。AWS 管理ポリシー [AmazonSSMManagedInstanceCore] を含むインスタンスプロファイルが既にインスタンスにアタッチされている場合、Session Manager に必要なアクセス許可は既に付与されています。

ただし、場合によっては、インスタンスプロファイルにアタッチされたアクセス許可を変更する必要があります。例えば、インスタンスのアクセス許可のセットを絞り込む場合、インスタンスプロファイルのカスタムポリシーを作成した場合、Amazon Simple Storage Service (Amazon S3) 暗号化オプションまたは AWS Key Management Service (AWS KMS) 暗号化オプションを使用してセッションデータを保護する場合などです。このような場合は、次のいずれかを実行して、インスタンスで Session Manager アクションを実行できるようにします。

  • カスタムインスタンスプロファイルに Session Manager アクションのアクセス許可を埋め込む

    AWS 提供のデフォルトポリシー [AmazonSSMManagedInstanceCore] に依存しない、既存の IAM インスタンスプロファイルに Session Manager アクションのアクセス許可を追加するには、「既存のインスタンスプロファイルに Session Manager アクセス許可を追加する」の手順に従います。

  • Session Manager のアクセス許可のみを持つカスタム IAM インスタンスプロファイルを作成する

    Session Manager アクションのみのアクセス許可を含む IAM インスタンスプロファイルを作成するには、Session Manager 用のカスタム IAM インスタンスプロファイルを作成する の手順に従います。

  • すべての Systems Manager アクションに対するアクセス許可を持つ、新しいインスタンスプロファイルを作成して使用する

    AWS が提供するデフォルトのポリシーを使用する Systems Manager マネージドインスタンスの IAM インスタンスプロファイルを作成し、Systems Manager のすべてのアクセス許可を付与するには、「Systems Manager の IAM インスタンスプロファイルを作成する」の手順に従います。

注記

IAM インスタンスプロファイルは、起動時の EC2 インスタンスまたは以前に起動したインスタンスにアタッチできます。詳細については、「インスタンスプロファイル」を参照してください。