新增 Session Manager 許可至現有 IAM 角色
請依照這些步驟將 Session Manager 許可嵌入至現有的 AWS Identity and Access Management (IAM) 角色,其角色並不依靠 AWS 提供給執行個體許可的預設政策 AmazonSSMManagedInstanceCore。這個程序假設您現有的角色已經包含其他您希望允許存取動作的 Systems Manager ssm
許可。這個政策無法獨立使用 Session Manager。
將 Session Manager 許可新增至現有角色 (主控台)
登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
在導覽窗格中,選擇 Roles (角色)。
-
選擇要內嵌政策的角色名稱。
-
選擇 Permissions (許可) 索引標籤。
-
選擇 Add inline policy (新增內嵌政策)。連結位於頁面右側。
-
請選擇 JSON 標籤。
-
將預設內容取代為以下內容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "
key-name
" } ] }關於「ssmmessages」
如需
ssmmessages
的資訊,請參閱「參考:ec2messages、ssmmessages 和其他 API 操作」。關於「kms:Decrypt」
在這個政策中,
kms:Decrypt
許可會啟用對工作階段資料的客戶金鑰加密和解密。如果您將使用 AWS Key Management Service (AWS KMS) 來加密工作階段資料,將key-name
取代為您希望使用的 KMS 金鑰 的 Amazon 資源名稱 (ARN),格式為arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE
。如果您不使用 AWS KMS 來加密工作階段資料,您可以將以下內容從政策中移除:
, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "
key-name
" }如需使用 KMS 金鑰來加密工作階段資料的詳細資訊,請參閱 開啟工作階段資料的 KMS 金鑰加密 (主控台)。
-
選擇 Review policy (檢閱政策)。
-
在 Review Policy (檢閱政策) 頁面上 Name (名稱)中,輸入該內嵌政策的名稱,例如
SessionManagerPermissions
。 -
選擇 Create policy (建立政策)。