As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Políticas padrão do IAM do Quickstart para o Session Manager
Use os exemplos nesta seção para ajudá-lo a criar políticas do AWS Identity and Access Management (IAM) que fornecem as permissões necessárias mais comuns para Session Manager acesso ao .
Você também pode usar uma política de chaves do AWS Key Management Service (AWS KMS) para controlar quais IAM usuários, IAM funções e AWS contas recebem acesso à sua chave mestra de cliente (CMK). Para obter informações, consulte Visão geral do gerenciamento do acesso aos seus recursos do AWS KMS e Usar políticas de chaves no AWS KMS no AWS Key Management Service Developer Guide.
Tópicos
Políticas do usuário final do Quickstart para o Session Manager
Use os exemplos a seguir para criar políticas de usuário final do IAM para o Session Manager.
Você pode criar uma política que permita que os usuários iniciem sessões apenas do Session Manager console do e do AWS Command Line Interface (AWS CLI), apenas do console do Amazon Elastic Compute Cloud (Amazon EC2) ou dos três.
Essas políticas fornecem aos usuários finais a capacidade de iniciar uma sessão para uma instância específica e encerrar apenas suas próprias sessões. Consulte o Exemplos adicionais de políticas do IAM para o Session Manager para obter exemplos de customização que você pode querer fazer na política.
Em todas as políticas de exemplo a seguir, substitua instance-id
com o ID da instância à qual você deseja conceder acesso, no formato i-02573cafcfEXAMPLE
. Substituir region
e account-id
com sua AWS região e ID da conta da AWS, como us-east-2
e 111122223333
.
Escolha entre as guias a seguir para exibir a política de exemplo para o intervalo de acesso à sessão que você deseja fornecer.
1 SSM-SessionManagerRunShell
é o nome padrão do documento do SSM que o Session Manager cria para armazenar suas
preferências de configuração de sessão. Você pode criar um documento de sessão personalizado
e especificá-lo nessa política. Você também pode especificar o documento fornecido
AWSpelo AWS-StartSSHSession
para usuários que estão iniciando sessões usando SSH. Para obter informações sobre
as etapas de configuração necessárias para oferecer suporte a sessões que usam SSH,
consulte (Opcional) Habilitar conexões SSH por meio do Session Manager.
2 Se você especificar o elemento de condição, ssm:SessionDocumentAccessCheck
, como true
, o sistema verificará se um usuário tem acesso explícito ao documento de sessão definido,
neste exemplo, o SSM-SessionManagerRunShell
, antes de uma sessão ser estabelecida. Para obter mais informações, consulte Impor uma verificação de permissão de documento de sessão para a AWS CLI.
3 A permissão kms:GenerateDataKey
permite a criação de uma chave de criptografia de dados que será usada para criptografar
dados de sessão. Se você usar a criptografia do AWS Key Management Service (AWS KMS)
para os dados da sessão, substitua key-name
com o nome de recurso da Amazon (ARN) da chave mestra de cliente (CMK) que você deseja
usar, no formato arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE
. Se você não for usar a criptografia de AWS KMS chaves do para dados de sessão, remova
o conteúdo a seguir da política.
, { "Effect": "Allow", "Action": [ "kms:GenerateDataKey" ], "Resource": "
key-name
" }
Para obter informações sobre AWS KMS o e CMKs o para criptografar dados de sessão, consulte Habilitar a criptografia de chaves do AWS KMS de dados de sessão (console).
4 A permissão para SendCommand é necessária nos casos em que um usuário tenta iniciar uma sessão do console do Amazon EC2, mas um comando deve ser enviado para atualizar o Agente do SSM primeiro.
Política do administrador do Quickstart para o Session Manager
Use os exemplos a seguir para criar políticas de administrador do IAM para o Session Manager.
Essas políticas fornecem aos administradores a capacidade de iniciar uma sessão para
instâncias marcadas com Key=Finance,Value=WebServers
, a permissão para criar, atualizar e excluir preferências e a permissão para encerrar
apenas suas próprias sessões. Consulte o Exemplos adicionais de políticas do IAM para o Session Manager para obter exemplos de customização que você pode querer fazer na política.
É possível criar uma política que permita que os administradores executem essas tarefas apenas do console do Session Manager e da AWS CLI, apenas do console do Amazon EC2 ou dos três.
Substituir region
e account-id
com sua AWS região e ID da conta da AWS, como us-east-2
e 111122223333
.
Escolha entre as guias a seguir para exibir a política de exemplo para o cenário de acesso ao qual você deseja oferecer suporte.
1 A permissão para SendCommand é necessária nos casos em que um usuário tenta iniciar uma sessão do console do Amazon EC2, mas um comando deve ser enviado para atualizar o Agente do SSM primeiro.