AWS Systems Manager
ユーザーガイド

ステップ 3: インスタンスへのユーザーセッションアクセスを制御する

Session Manager を使用すると、インスタンスへのユーザーアクセスを一元的に許可および取り消すことができます。IAM ポリシーを使用することで、特定のユーザーまたはグループが接続できるインスタンスを制御し、アクセスが許可されたインスタンスで実行可能な Session Manager API アクションを制御できます。

セッション ID の ARN 形式について

Session Manager アクセスの IAM ポリシーでは、セッション ID の一部としてユーザー名の変数を使用します。セッション ID は、アクセスを制御するためにセッション Amazon リソースネーム (ARN) で使用されます。セッション ARN の形式は次のようになります。

arn:aws:ssm:region-id:account-id:session/session-id

次に例を示します。

arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE

エンドユーザー用と管理者用に AWS が提供するデフォルト IAM ポリシーのペアを使用して、Session Manager アクティビティのアクセス権限を提供できます。または、必要なアクセス権限の要件ごとにカスタム IAM ポリシーを作成することもできます。

IAM ポリシーで変数を使用する方法の詳細については、「IAM ポリシーエレメント: 変数」を参照してください。

ポリシーの作成方法、およびポリシーを IAM ユーザーまたはグループにアタッチする方法については、IAM User Guide の「IAM ポリシーの作成」および「IAM ポリシーの追加と削除」を参照してください。