빠른 시작 기본값 IAM 정책 Session Manager - AWS 시스템 관리자

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

빠른 시작 기본값 IAM 정책 Session Manager

이 섹션의 샘플을 사용하면 IAM 정책들을 가장 일반적으로 필요한 권한 Session Manager 에 액세스합니다.

참고

또한 AWS KMS 제어해야 하는 주요 정책은 IAM 사용자, IAM 역할 및 AWS 계정에는 CMK 에 대한 액세스 권한이 부여됩니다. 자세한 내용은 를 참조하십시오. 개요 귀하의 개인 정보에 대한 액세스 관리 AWS KMS 리소스에서 주요 정책 사용 AWS KMS 에서 AWS Key Management Service Developer Guide.

빠른 시작 최종 사용자 정책 Session Manager

다음 예를 사용하여 IAM 최종 사용자 정책 Session Manager.

사용자가 다음 위치에서만 세션을 시작할 수 있는 정책을 만들 수 있습니다. Session Manager 콘솔 및 AWS CLI, 단 에서 Amazon EC2 콘솔 또는 모든 세 개.

이러한 정책을 통해 최종 사용자는 해당 세션만 종료할 수 있습니다. 참고: 추가 검체 IAM 정책 Session Manager 예를 보려면 사용자 지정 중 정책을 만들 수 있습니다.

참고

다음의 모든 샘플 정책에서 instance-id 인스턴스의 ID와 함께 액세스 권한을 부여하고자 하는 경우 i-02573cafcfEXAMPLE. 교체 regionaccount-id 함께 AWS 지역 및 AWS 계정 ID(예: us-east-2111122223333.

샘플 정책을 보려면 다음 탭에서 선택하십시오. 을 참조하십시오.

Session Manager and CLI

이 샘플 정책을 사용하여 세션 시작 Session Manager 콘솔 및 AWS CLI. 이 정책이 시작에 필요한 모든 권한을 제공하지는 않습니다. 세션 Amazon EC2 콘솔.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:*:instance/instance-id", "arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" } } }, { "Effect": "Allow", "Action": [ "ssm:DescribeSessions", "ssm:GetConnectionStatus", "ssm:DescribeInstanceProperties", "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": [ "arn:aws:ssm:*:*:session/${aws:username}-*" ] }, { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "key-name" } ] }
Amazon EC2

이 샘플 정책을 사용하여 세션 시작 Amazon EC2 콘솔. 이 정책은 에서 세션을 시작하는 데 필요한 모든 권한을 제공합니다. Session Manager 콘솔 및 AWS CLI.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/instance-id" ] }, { "Effect": "Allow", "Action": [ "ssm:GetConnectionStatus", "ssm:DescribeInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": [ "arn:aws:ssm:*:*:session/${aws:username}-*" ] } ] }
Session Manager, CLI, and Amazon EC2

이 샘플 정책을 사용하여 세션 시작 Session Manager 콘솔, AWS CLI, 및 Amazon EC2 콘솔.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/instance-id", "arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell" ], "Condition": { "BoolIfExists": { "ssm:SessionDocumentAccessCheck": "true" } } }, { "Effect": "Allow", "Action": [ "ssm:DescribeSessions", "ssm:GetConnectionStatus", "ssm:DescribeInstanceInformation", "ssm:DescribeInstanceProperties", "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": [ "arn:aws:ssm:*:*:session/${aws:username}-*" ] }, { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "key-name" } ] }

1 SSM-SessionManagerRunShell 은 의 기본 이름입니다. SSM 문서 Session Manager 세션 구성을 저장하기 위해 만들기 기본 설정. 사용자 지정 세션 문서를 생성하고 이 문서에 지정할 수 있습니다. 대신. AWS에서 제공한 문서를 지정할 수도 있습니다. AWS-StartSSHSession, 시작 중인 사용자 SSH를 사용하는 세션입니다. 에 필요한 구성 단계에 대한 자세한 내용은 SSH를 사용하는 지원 세션은 (선택 사항) Session Manager을 통한 SSH 연결 활성화.

2 만약 조건 요소 지정, ssm:SessionDocumentAccessCheck, (으)로 true, 시스템은 사용자가 다음에 대한 명시적 액세스 권한을 가지고 있는지 확인합니다. 정의된 세션 문서(이 예에서는 SSM-SessionManagerRunShell, 세션 전 을(를) 설정했습니다. 자세한 내용은 을 참조하십시오. 세션 적용 문서 권한 확인 AWS CLI.

3kms:GenerateDataKey 권한을 사용하면 세션 데이터를 암호화하는 데 사용할 데이터 암호화 키 귀하가 사용 AWS Key Management Service (AWS KMS) 세션 데이터에 대한 암호화, 대체 key-name 고객 마스터의 ARN과 함께 사용할 키(CMK)를 arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE. 사용하지 않을 경우 AWS KMS 세션 데이터에 대한 키 암호화, 정책의 다음 콘텐츠:

, { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "key-name" }

에 대한 정보 AWS KMS 세션 데이터를 암호화하기 위한 CMK는 활성화 AWS KMS 키 세션 데이터 암호화(콘솔).

4 더 에 대한 권한 SendCommand 사용자가 시도한 경우에 필요합니다. 세션을 시작하려면 Amazon EC2 콘솔을 사용하지만 명령을 업데이트 SSM 에이전트 첫 번째.

빠른 시작 관리자 정책 Session Manager

다음 예를 사용하여 IAM 관리자 정책 Session Manager.

이러한 정책을 통해 관리자는 태그가 지정된 인스턴스 Key=Finance,Value=WebServers, 기본 설정을 생성, 업데이트 및 삭제할 수 있는 권한 및 자신의 세션만. 참고: 추가 검체 IAM 정책 Session Manager 예를 보려면 사용자 지정 중 정책을 만들 수 있습니다.

관리자가 이러한 작업을 수행할 수 있는 정책을 만들 수 있습니다. 오직 Session Manager 콘솔 및 AWS CLI, 단 에서 Amazon EC2 콘솔 또는 세 개 모두.

참고

교체 regionaccount-id 함께 AWS 지역 및 AWS 계정 ID(예: us-east-2111122223333.

샘플 정책을 보려면 다음 탭에서 선택하십시오. 를 지원합니다.

Session Manager and CLI

이 샘플 정책을 사용하여 에서 세션 관련 작업을 수행할 수 있는 기능 Session Manager 콘솔 및 AWS CLI. 이 정책은 에서 세션 관련 작업을 수행하는 데 필요한 권한 Amazon EC2 콘솔.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringLike": { "ssm:resourceTag/Finance": [ "WebServers" ] } } }, { "Effect": "Allow", "Action": [ "ssm:DescribeSessions", "ssm:GetConnectionStatus", "ssm:DescribeInstanceProperties", "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:CreateDocument", "ssm:UpdateDocument", "ssm:GetDocument" ], "Resource": "arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell" }, { "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": [ "arn:aws:ssm:*:*:session/${aws:username}-*" ] } ] }
Amazon EC2

이 샘플 정책을 사용하여 에서 세션 관련 작업을 수행할 수 있는 기능 Amazon EC2. 이 정책은 다음에 필요한 모든 권한을 제공하지 않습니다. 에서 세션 관련 작업을 수행합니다. Session Manager 콘솔 및 AWS CLI.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringLike": { "ssm:resourceTag/tag-key": [ "tag-value" ] } } }, { "Effect": "Allow", "Action": [ "ssm:GetConnectionStatus", "ssm:DescribeInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": [ "arn:aws:ssm:*:*:session/${aws:username}-*" ] } ] }
Session Manager, CLI, and Amazon EC2

이 샘플 정책을 사용하여 에서 세션 관련 작업을 수행할 수 있는 기능 Session Manager 콘솔, 을 AWS CLI, 및 Amazon EC2 콘솔.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:SendCommand" ], "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringLike": { "ssm:resourceTag/tag-key": [ "tag-value" ] } } }, { "Effect": "Allow", "Action": [ "ssm:DescribeSessions", "ssm:GetConnectionStatus", "ssm:DescribeInstanceInformation", "ssm:DescribeInstanceProperties", "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:CreateDocument", "ssm:UpdateDocument", "ssm:GetDocument" ], "Resource": "arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell" }, { "Effect": "Allow", "Action": [ "ssm:TerminateSession" ], "Resource": [ "arn:aws:ssm:*:*:session/${aws:username}-*" ] } ] }

1 더 에 대한 권한 SendCommand 사용자가 시도한 경우에 필요합니다. 세션을 시작하려면 Amazon EC2 콘솔을 사용하지만 명령을 업데이트 SSM 에이전트 첫 번째.