建立自訂IAM角色 Session Manager

您可以建立 AWS Identity and Access Management (IAM) 角色，授與Session Manager在 Amazon EC2 受管執行個體上執行動作的權限。您還可以包括一項政策，以授予將工作階段日誌傳送到 Amazon 簡單儲存服務 (Amazon S3) 和 Amazon CloudWatch 日誌所需的許可。

建立角色後，如需如何將IAM角色附加至執行個體的詳細資訊，請參閱 AWS re:Post 網站上的附加或取代執行個體設定檔。如需有關IAM執行個體設定檔和角色的詳細資訊，請參閱使用IAM者指南中的使用執行個體設定檔和 IAMAmazon 彈性運算雲端使用者指南EC2中的 Linux 執行個體使用者指南。如需為內部部署機器建立IAM服務角色的詳細資訊，請參閱建立混合式和多雲端環境中 Systems Manager 所需的IAM服務角色。

建立具有最低Session Manager權限的IAM角色 (主控台)

使用下列程序建立自訂IAM角色，其原則僅提供執行個體Session Manager動作的權限。

建立含最小 Session Manager 許可的執行個體設定檔 (主控台)

1. 登入 AWS Management Console 並開啟IAM主控台，位於https://console.aws.amazon.com/iam/。

2. 在導覽窗格中，選擇 Policies (政策)，然後選擇 Create policy (建立政策)。(顯示 Get Started (開始使用) 按鈕時先選擇它，然後選擇 Create Policy (建立政策)。)

3. 選擇索JSON引標籤。

4. 將預設內容取代為以下政策。若要使用 AWS Key Management Service (AWS KMS) 加密工作階段資料，請取代 key-name 使用您要使用的 Amazon 資源名稱（ARN）。 AWS KMS key

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:UpdateInstanceInformation",
                   "ssmmessages:CreateControlChannel",
                   "ssmmessages:CreateDataChannel",
                   "ssmmessages:OpenControlChannel",
                   "ssmmessages:OpenDataChannel"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "key-name"
           }
       ]
   }

   如需有關使用KMS金鑰加密工作階段資料的資訊，請參閱開啟工作階段資料的 KMS 金鑰加密 (主控台)。

   如果您不會對工作階段資料使用 AWS KMS 加密，則可以從政策中移除以下內容。

   ,
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "key-name"
           }

5. 選擇下一步：標籤。

6. (選用) 透過選擇 Add tag (新增標籤)，然後輸入政策的首選標籤來新增標籤。

7. 選擇下一步：檢閱。

8. 在 Review Policy (檢閱政策) 頁面上 Name (名稱)中，輸入該內嵌政策的名稱，例如 SessionManagerPermissions。

9. (選用) Description (說明)，輸入政策的說明。

10. 選擇 建立政策。

11. 在導覽窗格中，選擇 Roles (角色)，然後選擇 Create role (建立角色)。

12. 在 [建立角色] 頁面上，選擇 [AWS 服務]，然後針對 [使用案例] 選擇EC2。

13. 選擇 Next (下一步)。

14. 在 Add permissions (新增許可) 頁面，選取您剛建立政策左側的核取方塊，例如 SessionManagerPermissions。

15. 選擇 Next (下一步)。

16. 在名稱、檢閱和建立頁面上，為角色名稱輸入IAM角色的名稱，例如MySessionManagerRole。

17. (選用) Role description (角色說明)，輸入執行個體設定檔的說明。

18. (選用) 透過選擇 Add tag (新增標籤)，然後輸入角色的首選標籤來新增標籤。

    選擇建立角色。

如需有關 ssmmessages 動作的資訊，請參閱 參考：ec2 消息，消息消息和其他操作 API。

建立具有 Amazon S3 Session Manager 和日 CloudWatch 誌 (主控台) 許可的IAM角色

使用下列程序來建立具有針對執行個體Session Manager動作權限的原則的自訂IAM角色。該政策還提供存放在 Amazon 簡單儲存服務 (Amazon S3) 儲存貯體和 Amazon 日誌日誌群組中的工作階段 CloudWatch 日誌所需的許可。

重要

若要將工作階段日誌輸出到其他儲存貯體擁有的 Amazon S3 儲存貯體 AWS 帳戶，您必須將s3:PutObjectAcl權限新增至IAM角色政策。此外，您必須確保儲存貯體政策授與擁有帳戶所使用IAM角色的跨帳戶存取權，以授與受管理執行個體的 Systems Manager 權限。如果值區使用金鑰管理服務 (KMS) 加密，則值區的KMS政策也必須授予此跨帳戶存取權。如需有關在 Amazon S3 中設定跨帳戶儲存貯體許可的更多資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的授予跨帳戶儲存貯體許可一節。如果未新增此許可，則擁有該 Amazon Simple Storage Service (Amazon S3) 儲存貯體的帳戶無法存取工作階段輸出日誌。

如需有關指定儲存工作階段日誌偏好的更多資訊，請參閱啟用和停用工作階段記錄。

若要建立具有 Amazon S3 Session Manager 和日 CloudWatch 誌 (主控台) 許可的IAM角色

1. 登入 AWS Management Console 並開啟IAM主控台，位於https://console.aws.amazon.com/iam/。

2. 在導覽窗格中，選擇 Policies (政策)，然後選擇 Create policy (建立政策)。(顯示 Get Started (開始使用) 按鈕時先選擇它，然後選擇 Create Policy (建立政策)。)

3. 選擇索JSON引標籤。

4. 將預設內容取代為以下政策。替換每個 example resource placeholder 使用您自己的信息。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssmmessages:CreateControlChannel",
                   "ssmmessages:CreateDataChannel",
                   "ssmmessages:OpenControlChannel",
                   "ssmmessages:OpenDataChannel",
                   "ssm:UpdateInstanceInformation"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents",
                   "logs:DescribeLogGroups",
                   "logs:DescribeLogStreams"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetEncryptionConfiguration"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "key-name"
           },
           {
               "Effect": "Allow",
               "Action": "kms:GenerateDataKey",
               "Resource": "*"
           }
       ]
   }

5. 選擇下一步：標籤。

6. (選用) 透過選擇 Add tag (新增標籤)，然後輸入政策的首選標籤來新增標籤。

7. 選擇下一步：檢閱。

8. 在 Review Policy (檢閱政策) 頁面上 Name (名稱)中，輸入該內嵌政策的名稱，例如 SessionManagerPermissions。

9. (選用) Description (說明)，輸入政策的說明。

10. 選擇 建立政策。

11. 在導覽窗格中，選擇 Roles (角色)，然後選擇 Create role (建立角色)。

12. 在 [建立角色] 頁面上，選擇 [AWS 服務]，然後針對 [使用案例] 選擇EC2。

13. 選擇 Next (下一步)。

14. 在 Add permissions (新增許可) 頁面，選取您剛建立政策左側的核取方塊，例如 SessionManagerPermissions。

15. 選擇 Next (下一步)。

16. 在名稱、檢閱和建立頁面上，為角色名稱輸入IAM角色的名稱，例如MySessionManagerRole。

17. (選用) 在 Role description (角色說明) 中，輸入角色的說明。

18. (選用) 透過選擇 Add tag (新增標籤)，然後輸入角色的首選標籤來新增標籤。

19. 選擇建立角色。