Adicionar permissões do Session Manager a uma função do IAM existente

Use o procedimento a seguir para adicionar permissões do Session Manager a um perfil do AWS Identity and Access Management (IAM) já existente. Ao adicionar permissões a um perfil já existente, você pode aprimorar a segurança do ambiente de computação sem precisar usar a política AmazonSSMManagedInstanceCore da AWS para obter permissões de instância.

nota

Observe as seguintes informações:

Esse procedimento pressupõe que sua função existente já inclui outras permissões ssm do Systems Manager para ações que você deseja permitir o acesso. Essa política não é suficiente para usar o Session Manager.
O exemplo de política a seguir contém uma ação s3:GetEncryptionConfiguration. Essa ação será obrigatória se você escolher a opção Aplicar criptografia de log do S3 nas preferências de registro em log do Session Manager.

Para adicionar permissões do Session Manager a uma função existente (console)

Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação, escolha Roles.
Selecione o nome do perfil ao qual você está adicionando as permissões.
Escolha a aba Permissions (permissões).
Escolha Adicionar permissões e, em seguida, selecione Criar política em linha.
Escolha a guia JSON.

Substitua o conteúdo da política padrão pelo conteúdo a seguir. Substitua key-name pelo nome do recurso da Amazon (ARN) da chave do AWS Key Management Service (AWS KMS key) que você deseja usar.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

Para obter informações sobre como usar uma chave KMS para criptografar dados de sessão, consulte Ativar a criptografia de chaves do KMS de dados de sessão (console).

Se você não or usar a criptografia do AWS KMS para sua sessão de dados, poderá remover o seguinte conteúdo da política:


,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

Escolha Next: Tags (Próximo: tags).
(Opcional) Adicione tags escolhendo Add tag (Adicionar tag) e inserindo as tags preferenciais para a política.
Escolha Next: Review (Próximo: revisar).
Na página Revisar política, em Nome, digite um nome para a política em linha, como SessionManagerPermissions.
(Opcional) Em Descrição, digite uma descrição para a política.

Escolha Create policy (Criar política).

Para obter informações sobre as ações ssmmessages, consulte Referência: ec2messages, ssmmessages e outras operações da API.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Etapa 2: verificar ou adicionar permissões de instância para o Session Manager

Crie uma função do IAM personalizada para o Session Manager