Criar um perfil de instância do IAM para o Session Manager - AWS Systems Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um perfil de instância do IAM para o Session Manager

Você pode criar um perfil de instância do AWS Identity and Access Management (IAM) personalizado que fornece permissões apenas para ações do Session Manager em suas instâncias. Você também pode criar uma política para fornecer as permissões necessárias para que logs de atividades de sessão sejam enviados ao Amazon S3 e ao CloudWatch Logs.

Depois de criar um perfil de instância, consulte Anexar uma função do IAM a uma instância e Anexar ou substituir um perfil de instância para obter informações sobre como anexar o perfil de instância a uma instância. Para obter mais informações sobre os perfis de instância e funções do IAM, consulte Usar perfil de instância e Funções do IAM para o Amazon EC2 no Guia do usuário do IAM.

Criar um perfil de instância com permissões mínimas do Session Manager (console)

Use o procedimento a seguir para criar um perfil de instância do IAM personalizado com uma política que fornece permissões somente para ações do Session Manager em suas instâncias.

Para criar um perfil de instância com permissões mínimas do Session Manager (console)

  1. Faça login no Console de gerenciamento da AWS e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Políticas e, em seguida, Criar política. (Se aparecer um botão Get Started, selecione-o e, em seguida, Create Policy.)

  3. Escolha a guia JSON.

  4. Substitua o conteúdo padrão pela declaração a seguir:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:UpdateInstanceInformation", "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }

    Sobre 'ssmmessages'

    Para obter informações sobre o ssmmessages, consulte Referência: ec2messages, ssmmessages e outras chamadas de API.

    Sobre 'kms:Decrypt'

    Nesta política, a permissão kms:Decrypt permite que a criptografia e a descriptografia de chaves do cliente para os dados da sessão. Se você usar a criptografia do AWS Key Management Service (AWS KMS) para seus dados de sessão, substitua key-name pelo nome de recurso da Amazon (ARN) da chave mestra de cliente (CMK) que você deseja usar, no formato arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE.

    Se você não for usar a criptografia do AWS KMS para dados de sessão, poderá remover o conteúdo a seguir da política.

    , { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }

    Para obter informações sobre como usar o AWS KMS e uma CMK para criptografar dados de sessão, consulte Habilitar a criptografia de chaves do AWS KMS de dados de sessão (console).

  5. Escolha Review policy (Revisar política).

  6. Na página Revisar política, em Nome, digite um nome para a política em linha, como SessionManagerPermissions.

  7. (Opcional) Em Description (Descrição), insira uma descrição para a política.

  8. Escolha Create policy (Criar política).

  9. No painel de navegação, escolha Roles e Create role.

  10. Na página Create role (Criar função), escolha Serviço da AWS e, na lista Choose the service that will use this role (Escolher o serviço que usará essa função), escolha EC2.

  11. Escolha Próximo: Permissões.

  12. Na página Attached permissions policy (Políticas de permissões anexadas), marque a caixa de seleção à esquerda do nome da política que acabou de criar, por exemplo, SessionManagerPermissions.

  13. Selecione Next: Review.

  14. Na página Review (Revisar), em Role name (Nome da função), digite um nome para o perfil de instância do IAM, por exemplo, MySessionManagerInstanceProfile.

  15. (Opcional) Em Role description (Descrição da função), insira uma descrição para o perfil de instância.

  16. Selecione Create role (Criar função).

Criar um perfil de instância com permissões para o Session Manager, o Amazon S3 e o CloudWatch Logs (console)

Use o procedimento a seguir para criar um perfil de instância do IAM personalizado com uma política que fornece permissões para ações do Session Manager em suas instâncias. A política também fornece as permissões necessárias para que logs de sessão sejam armazenados em buckets do Amazon Simple Storage Service (Amazon S3) e em grupos de logs do Amazon CloudWatch Logs.

Para obter informações sobre como especificar as preferências para armazenar logs de sessão, consulte Registrar em log a atividade da sessão.

Para criar um perfil de instância com permissões para o Session Manager, o Amazon S3 e o CloudWatch Logs (console)

  1. Faça login no Console de gerenciamento da AWS e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Políticas e, em seguida, Criar política. (Se aparecer um botão Get Started, selecione-o e, em seguida, Create Policy.)

  3. Escolha a guia JSON.

  4. Substitua o conteúdo padrão pela declaração a seguir. Lembre-se de substituir DOC-EXAMPLE-BUCKET e s3-bucket-prefix pelos nomes do bucket e seu prefixo (se houver). Para obter informações sobre ssmmessages na política a seguir, consulte Referência: ec2messages, ssmmessages e outras chamadas de API.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel", "ssm:UpdateInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/s3-bucket-prefix" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": "kms:GenerateDataKey", "Resource": "*" } ] }
    Importante

    Para gerar logs de sessão em um bucket do S3 pertencente a outra conta da AWS, você deve adicionar a permissão IAM s3:PutObjectAcl a essa política. Se essa permissão não for adicionada, a conta que possui o bucket do S3 não poderá acessar os logs de saída da sessão.

  5. Escolha Review policy (Revisar política).

  6. Na página Revisar política, em Nome, digite um nome para a política em linha, como SessionManagerPermissions.

  7. (Opcional) Em Description (Descrição), insira uma descrição para a política.

  8. Escolha Create policy (Criar política).

  9. No painel de navegação, escolha Roles e Create role.

  10. Na página Create role (Criar função), escolha Serviço da AWS e, na lista Choose the service that will use this role (Escolher o serviço que usará essa função), escolha EC2.

  11. Escolha Próximo: Permissões.

  12. Na página Attached permissions policy (Políticas de permissões anexadas), marque a caixa de seleção à esquerda do nome da política que acabou de criar, por exemplo, SessionManagerPermissions.

  13. Selecione Next: Review.

  14. Na página Review (Revisar), em Role name (Nome da função), digite um nome para o perfil de instância do IAM, por exemplo, MySessionManagerInstanceProfile.

  15. (Opcional) Em Role description (Descrição da função), insira uma descrição para o perfil de instância.

  16. Selecione Create role (Criar função).