Etapa 2: verificar ou adicionar permissões de instância para o Session Manager - AWS Systems Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 2: verificar ou adicionar permissões de instância para o Session Manager

Por padrão, o AWS Systems Manager não tem permissão para executar ações em suas instâncias. É possível fornecer permissões de instância no nível da conta usando um perfil do AWS Identity and Access Management (IAM) ou no nível da instância usando um perfil de instância. Se o seu caso de uso permitir, recomendamos conceder acesso no nível da conta usando a configuração de gerenciamento de host padrão. Se já definiu a configuração de gerenciamento do host padrão para sua conta usando a política AmazonSSMManagedEC2InstanceDefaultPolicy, você pode avançar para a próxima etapa. Para obter mais informações sobre a configuração de gerenciamento do host padrão, consulte Usando a configuração padrão de gerenciamento de host.

Se preferir, você pode usar perfis de instância para fornecer as permissões necessárias às suas instâncias. Um perfil da instância passa uma função do IAM para uma instância do Amazon EC2. Você pode anexar um perfil da instância do IAM a uma instância do Amazon EC2 ao executá-la ou a uma instância executada anteriormente. Para obter mais informações, consulte Usar os perfis da instância.

Para servidores on-premises ou máquinas virtuais (VMs), as permissões são fornecidas pela função de serviço do IAM associada à ativação híbrida usada para registrar seus servidores e VMs on-premises com o Systems Manager. Servidores on-premises e VMs locais não usam perfis da instância.

Se você já usou outros recursos do Systems Manager, como o Run Command ou o Parameter Store, um perfil da instância com as permissões básicas necessárias para o Session Manager poderá já estar anexado às suas instâncias do Amazon EC2. Se um perfil da instância que contém a política gerenciada AmazonSSMManagedInstanceCore da AWS já estiver anexado às suas instâncias, as permissões para Session Manager já estarão fornecidas. Isso também é verdade se a função de serviço do IAM usada na ativação híbrida contiver a política gerenciada AmazonSSMManagedInstanceCore.

Importante

Você não pode alterar a função de serviço do IAM associada a uma ativação híbrida. Se você achar que a função de serviço não contém as permissões necessárias, você deverá cancelar o registro da instância gerenciada e registrá-la com uma nova ativação híbrida que usa uma função de serviço com as permissões necessárias. Para obter mais informações sobre como cancelar o registro de instâncias gerenciadas, consulte Cancelar o registro de nós gerenciados em um ambiente híbrido e multinuvem. Para obter mais informações sobre como criar uma função de serviço do IAM para máquinas on-premises, consulteCriar uma função de serviço do IAM para um ambiente híbrido.

No entanto, em alguns casos, pode ser necessário modificar as permissões anexadas ao seu perfil de instância. Por exemplo, você quer fornecer um conjunto mais restrito de permissões de instância, você criou uma política personalizada para seu perfil da instância ou você quer usar as opções de criptografia do Amazon Simple Storage Service (Amazon S3) ou do AWS Key Management Service (AWS KMS) para proteger os dados da sessão. Nesses casos, para permitir que as ações do Session Manager sejam executadas em suas instâncias, proceda de uma das seguintes maneiras:

  • Incorpore permissões para as ações do Session Manager em uma função do IAM personalizada

    Para adicionar permissões para ações do Session Manager a uma função do IAM existente que não dependa da política padrão AmazonSSMManagedInstanceCore fornecida pela AWS, siga as etapas em Adicionar permissões do Session Manager a uma função do IAM existente.

  • Crie uma função do IAM personalizada apenas com permissões do Session Manager

    Para criar uma função do IAM que contenha permissões somente para ações do Session Manager, siga as etapas em Crie uma função do IAM personalizada para o Session Manager.

  • Crie e use uma nova função do IAM com permissões para todas as ações do Systems Manager

    Para criar um perfil do IAM para as instâncias gerenciadas do Systems Manager que usam uma política padrão fornecida pela AWS para conceder todas as permissões do Systems Manager, siga as etapas em Configurar permissões de instância para o Systems Manager.

Tópicos