本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將Session Manager權限新增至現有IAM角色
請遵循下列程序,將Session Manager權限新增至現有 AWS Identity and Access Management (IAM) 角色。透過將權限新增至現有角色,您可以增強運算環境的安全性,而不必使用執行個體權限的 AWS AmazonSSMManagedInstanceCore
原則。
注意
記下以下資訊:
-
這個程序假設您現有的角色已經包含其他您希望允許存取動作的 Systems Manager
ssm
許可。這個政策無法獨立使用 Session Manager。 -
下列政策範例包含一個
s3:GetEncryptionConfiguration
動作。如果您在 Session Manager 記錄偏好設定中選擇了強制 S3 日誌加密選項,則需要執行此動作。
將 Session Manager 許可新增至現有角色 (主控台)
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇角色。
-
選取您要為其新增許可的角色名稱。
-
選擇許可索引標籤標籤。
-
選擇新增許可,然後選取建立內嵌政策。
-
選擇索JSON引標籤。
-
將預設政策內容取代為以下內容。Replace (取代)
key-name
使用您要使用的 AWS Key Management Service 密鑰(AWS KMS key)的 Amazon 資源名稱()。ARN{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "
key-name
" } ] }如需有關使用KMS金鑰加密工作階段資料的資訊,請參閱開啟工作階段資料的 KMS 金鑰加密 (主控台)。
如果您不會對工作階段資料使用 AWS KMS 加密,則可以從政策中移除以下內容。
, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "
key-name
" } -
選擇下一步:標籤。
-
(選用) 透過選擇 Add tag (新增標籤),然後輸入政策的首選標籤來新增標籤。
-
選擇下一步:檢閱。
-
在 Review Policy (檢閱政策) 頁面上 Name (名稱)中,輸入該內嵌政策的名稱,例如
SessionManagerPermissions
。 -
(選用) Description (說明),輸入政策的說明。
選擇 建立政策。
如需有關 ssmmessages
動作的資訊,請參閱 參考:ec2 消息,消息消息和其他操作 API。