新增 Session Manager 許可至現有 IAM 角色 - AWS Systems Manager

新增 Session Manager 許可至現有 IAM 角色

請依照這些步驟將 Session Manager 許可嵌入至現有的 AWS Identity and Access Management (IAM) 角色,其角色並不依靠 AWS 提供給執行個體許可的預設政策 AmazonSSMManagedInstanceCore。這個程序假設您現有的角色已經包含其他您希望允許存取動作的 Systems Manager ssm 許可。這個政策無法獨立使用 Session Manager。

將 Session Manager 許可新增至現有角色 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Roles (角色)。

  3. 選擇要內嵌政策的角色名稱。

  4. 選擇 Permissions (許可) 索引標籤。

  5. 選擇 Add inline policy (新增內嵌政策)。連結位於頁面右側。

  6. 請選擇 JSON 標籤。

  7. 將預設內容取代為以下內容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }

    關於「ssmmessages」

    如需 ssmmessages 的資訊,請參閱「參考:ec2messages、ssmmessages 和其他 API 操作」。

    關於「kms:Decrypt」

    在這個政策中,kms:Decrypt 許可會啟用對工作階段資料的客戶金鑰加密和解密。如果您將使用 AWS Key Management Service (AWS KMS) 來加密工作階段資料,將 key-name 取代為您希望使用的 KMS 金鑰 的 Amazon 資源名稱 (ARN),格式為 arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

    如果您不使用 AWS KMS 來加密工作階段資料,您可以將以下內容從政策中移除:

    , { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }

    如需使用 KMS 金鑰來加密工作階段資料的詳細資訊,請參閱 開啟工作階段資料的 KMS 金鑰加密 (主控台)

  8. 選擇 Review policy (檢閱政策)。

  9. Review Policy (檢閱政策) 頁面上 Name (名稱)中,輸入該內嵌政策的名稱,例如 SessionManagerPermissions

  10. 選擇 Create policy (建立政策)