本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
新增 Session Manager 許可至現有 IAM 角色
請使用下列程序來加入Session Manager對現有的權限AWS Identity and Access Management(IAM) 角色。藉由將權限新增至現有角色,您可以增強運算環境的安全性,而不必使用AWS AmazonSSMManagedInstanceCore執行個體權限的原則。
注意
請注意下列資訊:
-
這個程序假設您現有的角色已經包含其他您希望允許存取動作的 Systems Manager
ssm許可。這個政策無法獨立使用 Session Manager。 -
下列政策範例包括
s3:GetEncryptionConfiguration動作。如果您選擇強制執行 S3 日誌加密中的選項Session Manager記錄偏好設定。
將 Session Manager 許可新增至現有角色 (主控台)
登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
在導覽窗格中,選擇 Roles (角色)。
-
選取您要為其新增許可的角色名稱。
-
選擇 許可 標籤。
-
選擇新增許可,然後選取建立內嵌政策。
-
請選擇 JSON 標籤。
-
將預設政策內容取代為以下內容。將
key-name取代為您想要使用的 AWS Key Management Service 金鑰 (AWS KMS key) 的 Amazon Resource Name (ARN)。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }如需使用 KMS 金鑰來加密工作階段資料的詳細資訊,請參閱 開啟工作階段資料的 KMS 金鑰加密 (主控台)。
如果您不使用 AWS KMS 來加密工作階段資料,您可以將以下內容從政策中移除:
, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } -
選擇 下一步:標籤 。
-
(選用) 透過選擇 Add tag (新增標籤),然後輸入政策的首選標籤來新增標籤。
-
選擇 下一步:檢閱 。
-
在 Review Policy (檢閱政策) 頁面上 Name (名稱)中,輸入該內嵌政策的名稱,例如
SessionManagerPermissions。 -
(選用) Description (說明),輸入政策的說明。
選擇 建立政策。
如需有關 ssmmessages 動作的資訊,請參閱 參考:ec2messages、ssmmessages 和其他 API 操作。
