AWS Systems Manager
Guia do usuário

Tarefa 4: criar um perfil de instância do IAM para o Systems Manager.

Por padrão, o AWS Systems Manager não tem permissão para executar ações em suas instâncias. Você deve conceder acesso usando um perfil de instância do AWS Identity and Access Management (IAM). Um perfil de instância é um contêiner que transmite as informações da função do IAM para uma instância do Amazon Elastic Compute Cloud (Amazon EC2) na execução. Você pode criar um perfil de instância para o Systems Manager anexando uma ou mais políticas do IAM que definem as permissões necessárias para uma nova função ou uma função que você já criou.

nota

Essa abordagem de adicionar várias políticas do IAM necessárias e opcionais a um perfil de instância substitui a prática de usar uma única política gerenciada, AmazonEC2RoleforSSM.

Depois de criar o perfil de instância, anexe-o às instâncias que você deseja usar com o Systems Manager, conforme descrito na etapa a seguir, Etapa 5: vincular um perfil de instância do IAM a uma instância do Amazon EC2.

Observe os seguintes detalhes sobre a criação de um perfil de instância do IAM:

  • Se estiver configurando servidores ou máquinas virtuais (VMs) em um ambiente híbrido para o Systems Manager, não é necessário criar um perfil de instância para eles. Em vez disso, você deve configurar seus servidores e VMs para usar uma função de serviço do IAM. Para obter mais informações, consulte Criar uma função de serviço do IAM para um ambiente híbrido.

  • Se você alterar o perfil de instância do IAM, poderá levar algum tempo até as credenciais da instância serem atualizadas. O Agente do SSM não processará solicitações até que isso aconteça. Para acelerar o processo de atualização, reinicie o Agente do SSM ou a instância.

Sobre políticas para um perfil de instância do Systems Manager

Esta seção descreve as políticas que você pode adicionar ao seu perfil de instância do EC2 para o Systems Manager. A primeira política, AmazonSSMManagedInstanceCore, é necessária para gerenciar suas instâncias usando o Systems Manager. Dependendo do seu plano de operações, talvez seja necessário uma ou mais das outras três políticas.

Política: AmazonSSMManagedInstanceCore

Obrigatória.

Essa política gerenciada da AWS permite que uma instância use a funcionalidade básica do serviço Systems Manager.

Política: uma política personalizada para acesso ao bucket do Amazon S3

Obrigatória em um dos seguintes casos:

  • Caso 1: você está usando um VPC endpoint para conectar de forma privada sua VPC a serviços da AWS com suporte e a serviços do VPC endpoint com a tecnologia PrivateLink.

    Agente do SSM é um software da Amazon que está instalado em suas instâncias e executa tarefas do Systems Manager. Esse agente requer acesso a buckets do S3 específicos de propriedade da Amazon. Esses buckets são acessíveis publicamente. No entanto, em um ambiente de VPC endpoint privado, você deve fornecer explicitamente o acesso a esses buckets. Para obter mais informações, consulte Etapa 6: (opcional) criar um Virtual Private Cloud (VPC) endpoint e VPC endpoints no Amazon VPC User Guide.

  • Caso 2: você planeja usar um bucket do Amazon S3 que você cria como parte de suas operações do Systems Manager.

    Seu perfil de instância do EC2 para o Systems Manager deve conceder acesso a um bucket do S3 de sua propriedade para tarefas como as seguintes:

    • Para acessar scripts que você armazena no bucket do S3 para usar em comandos que você executa.

    • Para armazenar a saída completa de comandos do Executar comando ou sessões do Session Manager.

    • Para acessar as listas de patch personalizadas para usar quando aplicar patch às suas instâncias.

nota

Salvar os dados de log de saída em um bucket do S3 é opcional, mas recomendamos configurá-lo no início do seu processo de configuração do Systems Manager caso tenha decidido usá-lo. Para obter mais informações, consulte Criar um bucket no Amazon Simple Storage Service Getting Started Guide.

Política: AmazonSSMDirectoryServiceAccess

Obrigatória somente se você planejar incluir a instância do EC2 para Windows Server em um diretório do Microsoft AD.

Essa política gerenciada da AWS permite que o Agente do SSM acesse o AWS Directory Service em seu nome para solicitações para ingressar no domínio pela instância gerenciada. Para obter mais informações, consulte Ingressar perfeitamente uma instância do Windows do EC2 no AWS Directory Service Administration Guide.

Política: CloudWatchAgentServerPolicy

Obrigatória somente se você planeja instalar e executar o Agente do CloudWatch nas suas instâncias para ler dados de métrica e de log em uma instância e gravá-los no Amazon CloudWatch. Eles ajudam você a monitorar, analisar e responder rapidamente a problemas ou alterações em seus recursos da AWS.

Seu perfil de instância precisará dessa política somente se você pretende usar recursos do CloudWatch, como o CloudWatch Events ou o CloudWatch Logs. (Você também pode criar uma política mais restritiva que, por exemplo, limita o acesso à gravação a um determinado fluxo de logs do CloudWatch Logs.)

nota

Usar os recursos do CloudWatch é opcional, mas recomendamos configurá-los no início do seu processo de configuração do Systems Manager se você decidiu usá-los. Para obter mais informações, consulte o Amazon CloudWatch Events User Guide e o Amazon CloudWatch Logs User Guide

Tarefa 1: (Opcional) criar uma política personalizada de bucket do S3 para um perfil de instância

A criação de uma política de bucket do S3 para seu perfil de instância será necessária somente se você estiver usando um VPC endpoint ou usando um bucket do S3 de sua propriedade em suas operações do Systems Manager.

Para obter informações sobre os buckets do S3 gerenciados pela AWS aos quais você fornece acesso na política abaixo, consulte Sobre as permissões mínimas de buckets do S3 para o Agente do SSM.

  1. Open the IAM console at https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies (Políticas) e Create policy (Criar política).

  3. Escolha a guia JSON e substitua o texto padrão conforme a seguir:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-ssm-region/*", "arn:aws:s3:::aws-windows-downloads-region/*", "arn:aws:s3:::amazon-ssm-region/*", "arn:aws:s3:::amazon-ssm-packages-region/*", "arn:aws:s3:::region-birdwatcher-prod/*", "arn:aws:s3:::patch-baseline-snapshot-region/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::my-bucket-name/*" } ] }

    1 O primeiro elemento Statement será necessário somente se você estiver usando um VPC endpoint.

    2 O segundo elemento Statement será necessário somente se você estiver usando um bucket do S3 que você criou para usar em suas operações do Systems Manager.

    3 A permissão PutObjectAcl da lista de controle de acesso será necessária somente se você planeja oferecer suporte ao acesso entre contas para buckets do S3 em outras contas.

  4. Se você estiver usando um VPC endpoint em suas operações, faça o seguinte:

    No primeiro elemento Statement, substitua cada espaço reservado região pelo identificador da região da AWS na qual essa política será usada. Por exemplo, use us-east-2 para a US East (Ohio) Region. Para obter uma lista de valores de região com suporte, consulte a coluna Região no tópico Tabela de regiões e endpoints do AWS Systems Manager na AWS General Reference.

    Importante

    Recomendamos que você evite usar caracteres curinga (*) no lugar das regiões específicas nessa política. Por exemplo, use arn:aws:s3:::aws-ssm-us-east-2/* e não use arn:aws:s3:::aws-ssm-*/*. Usar curingas pode fornecer acesso a buckets do Amazon S3 aos quais você não pretende conceder acesso. Se você quiser usar o perfil de instância para mais de uma região, recomendamos repetir o primeiro elemento Statement para cada região.

    — ou —

    Se não estiver usando um VPC endpoint em suas operações, você poderá excluir o primeiro elemento Statement.

  5. Se você estiver usando um bucket do S3 de sua propriedade em suas operações do Systems Manager, faça o seguinte:

    No segundo elemento Statement, substitua my-bucket-name pelo nome de um bucket do S3 em sua conta. Você usará esse bucket para suas operações do Systems Manager. Ele fornecerá permissão para objetos no bucket, usando "arn:aws:s3:::my-bucket-name/*" como o recurso. Para obter mais informações sobre como fornecer permissões para buckets ou objetos em buckets, consulte o tópico Especificar permissões em uma política no Amazon Simple Storage Service Developer Guide e a postagem do blog da AWS Políticas do IAM e políticas e ACLs de bucket! Nossa! (Controlar acesso aos recursos do S3)

    nota

    Se você usar mais de um bucket, forneça o ARN de cada um. Por exemplo, para permissões em buckets:

    "Resource": [ "arn:aws:s3:::my-first-bucket-name/*", "arn:aws:s3:::my-second-bucket-name/*" ]

    — ou —

    Se não estiver usando um bucket do S3 de sua propriedade em suas operações do Systems Manager, você poderá excluir o segundo elemento Statement.

  6. Escolha Review policy (Revisar política).

  7. Em Name (Nome), insira um nome para identificar essa política, como SSMInstanceProfileS3Policy ou outro nome que preferir.

  8. Escolha Create policy (Criar política).

Tarefa 2: adicionar permissões a um perfil de instância do Systems Manager (console)

Se você estiver criando uma nova função para seu perfil de instância ou adicionando as permissões necessárias a uma função existente, use um dos procedimentos a seguir.

Para criar um perfil de instância para instâncias gerenciadas do Systems Manager (console)

  1. Open the IAM console at https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Roles (Funções) e Create role (Criar função).

  3. Em Select type of trusted entity (Selecionar tipo de entidade confiável), selecione AWS service (Serviço da AWS).

  4. Imediatamente em Choose the service that will use this role (Escolher o serviço que usará esta função), selecione EC2 e Next: Permissions (Próximo: permissões).

  5. Na página Attached permissions policy (Política de permissões anexada), faça o seguinte:

    • Marque a caixa ao lado da política gerenciada AmazonSSMManagedInstanceCore.

    • Se você tiver criado uma política de bucket do S3 personalizada no procedimento anterior, Tarefa 1: (Opcional) criar uma política personalizada de bucket do S3 para um perfil de instância, marque a caixa ao lado do nome dela.

    • Se você planeja ingressar instâncias em um Active Directory gerenciado pelo AWS Directory Service, marque a caixa ao lado de AmazonSSMDirectoryServiceAccess.

    • Se você planeja usar o CloudWatch Events ou o CloudWatch Logs para gerenciar ou monitorar sua instância, marque a caixa ao lado de CloudWatchAgentServerPolicy.

  6. Escolha Next: Tags (Próximo: tags).

  7. (Opcional) Adicione um ou mais pares de chave-valor para organizar, rastrear ou controlar o acesso a esta função e escolha Next: Review (Próximo: revisar).

  8. Em Role name (Nome da função), insira um nome para a nova função, como SSMInstanceProfile ou outro nome que preferir.

    nota

    Anote o nome da função. Você escolherá essa função quando criar novas instâncias que quiser gerenciar usando o Systems Manager.

  9. (Opcional) Em Role description (Descrição da função), insira uma descrição para o perfil de instância.

  10. Escolha Create role (Criar função). O sistema faz com que você retorne para a página Roles (Funções).

Para adicionar permissões de perfil de instância para o Systems Manager a uma função existente (console)

  1. Open the IAM console at https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Roles (Funções) e escolha a função existente que você deseja associar a um perfil de instância para operações do Systems Manager.

  3. Na guia Permissions (Permissões), escolha Attach policies (Anexar políticas).

  4. Na página Attach permission policies (Anexar políticas de permissão), faça o seguinte:

    • Marque a caixa ao lado da política gerenciada AmazonSSMManagedInstanceCore.

    • Se você tiver criado uma política de bucket do S3 personalizada, marque a caixa ao lado do nome dela. Para obter informações sobre políticas de bucket do S3 personalizadas para um perfil de instância, consulte Tarefa 1: (Opcional) criar uma política personalizada de bucket do S3 para um perfil de instância.

    • Se você planeja ingressar instâncias em um Active Directory gerenciado pelo AWS Directory Service, marque a caixa ao lado de AmazonSSMDirectoryServiceAccess.

    • Se você planeja usar o CloudWatch Events ou o CloudWatch Logs para gerenciar ou monitorar sua instância, marque a caixa ao lado de CloudWatchAgentServerPolicy.

  5. Escolha Attach policy (Anexar política).

Para obter mais informações sobre como atualizar uma função para incluir uma entidade confiável ou restringir ainda mais o acesso, consulte Modificar uma função no IAM User Guide.

Avance para Etapa 5: vincular um perfil de instância do IAM a uma instância do Amazon EC2.