Adicionar permissões do Session Manager a um perfil do IAM existente - AWS Systems Manager

Adicionar permissões do Session Manager a um perfil do IAM existente

Use o procedimento a seguir para adicionar permissões do Session Manager a um perfil do AWS Identity and Access Management (IAM) já existente. Ao adicionar permissões a um perfil já existente, você pode aprimorar a segurança do ambiente de computação sem precisar usar a política AmazonSSMManagedInstanceCore da AWS para obter permissões de instância.

nota

Observe as seguintes informações:

  • Esse procedimento pressupõe que sua função existente já inclui outras permissões ssm do Systems Manager para ações que você deseja permitir o acesso. Essa política não é suficiente para usar o Session Manager.

  • O exemplo de política a seguir contém uma ação s3:GetEncryptionConfiguration. Essa ação será obrigatória se você escolher a opção Aplicar criptografia de log do S3 nas preferências de registro em log do Session Manager.

Para adicionar permissões do Session Manager a uma função existente (console)

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Perfis.

  3. Selecione o nome do perfil ao qual você está adicionando as permissões.

  4. Escolha a aba Permissões.

  5. Escolha Adicionar permissões e, em seguida, selecione Criar política em linha.

  6. Selecione a guia JSON.

  7. Substitua o conteúdo da política padrão pelo conteúdo a seguir. Substitua key-name pelo nome do recurso da Amazon (ARN) da chave do AWS Key Management Service (AWS KMS key) que você deseja usar.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
        }
    ]
}

    Para obter informações sobre como usar uma chave KMS para criptografar dados de sessão, consulte Ativar a criptografia de chaves do KMS de dados de sessão (console).

    Se você não or usar a criptografia do AWS KMS para sua sessão de dados, poderá remover o seguinte conteúdo da política:

    ,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

  8. Escolha Próximo: tags.

  9. (Opcional) Adicione tags escolhendo Add tag (Adicionar tag) e inserindo as tags preferenciais para a política.

  10. Escolha Próximo: revisar.

  11. Na página Revisar política, em Nome, digite um nome para a política em linha, como SessionManagerPermissions.

  12. (Opcional) Em Descrição, digite uma descrição para a política.

    Escolha Criar política.

Para obter informações sobre as ações ssmmessages, consulte Referência: ec2messages, ssmmessages e outras operações da API.