Passo 2: Verificar ou criar um perfil de instância do IAM com permissões do Session Manager - AWS Systems Manager

Passo 2: Verificar ou criar um perfil de instância do IAM com permissões do Session Manager

Por padrão, o AWS Systems Manager não tem permissão para executar ações em suas instâncias. Você deve conceder acesso usando um perfil de instância do IAM. Um perfil de instância é um contêiner que transmite as informações da função do IAM para uma instância do EC2 na inicialização. Esse requisito se aplica a permissões para todos os recursos do AWS Systems Manager, não apenas as específicas do Session Manager.

Se você já usar outros recursos do Systems Manager, como o Executar comando ou o Parameter Store, um perfil de instância com as permissões básicas necessárias para o Session Manager pode já estar anexado às suas instâncias. Se um perfil de instância que contém a política gerenciada da AWS AmazonSSMManagedInstanceCore já estiver anexado às suas instâncias, as permissões para Session Manager já estarão fornecidas.

No entanto, em alguns casos, pode ser necessário modificar as permissões anexadas ao seu perfil de instância. Por exemplo, você quer fornecer um conjunto mais restrito de permissões de instância, você criou uma política personalizada para seu perfil de instância ou você quer usar as opções de criptografia do Amazon S3 ou do AWS KMS para proteger os dados da sessão. Nesses casos, para permitir que as ações do Session Manager sejam executadas em suas instâncias, proceda de uma das seguintes maneiras:

  • Incorporar permissões para Session Manager ações num perfil de instância personalizado

    Para adicionar permissões para ações do Session Manager a um perfil de instância do IAM existente que não dependa da política padrão AmazonSSMManagedInstanceCore fornecida pela AWS, siga as etapas em Adicionar permissões do Session Manager a um perfil de instância existente.

  • Criar um personalizado IAM exemplo de perfil com Session Manager permissões apenas

    Para criar um perfil de instância IAM que contém permissões apenas para ações do Session Manager, siga as etapas em Criar um perfil de instância do IAM para o Session Manager.

  • Criar e utilizar um novo perfil de instância com permissões para todos Systems Manager ações

    Para criar um perfil de instância do IAM para instâncias gerenciadas pelo Systems Manager que usam uma política padrão fornecida pela AWS para conceder todas as permissões do Systems Manager, siga as etapas em Criar um perfil de instância do IAM para o Systems Manager.

nota

Você pode anexar um perfil de instância do IAM a uma instância do EC2 ao executá-la ou a uma instância executada anteriormente. Para obter mais informações, consulte Perfis de instância.