透過在 IAM 政策中指定預設的工作階段文件來啟動預設 Shell 工作階段 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過在 IAM 政策中指定預設的工作階段文件來啟動預設 Shell 工作階段

當您為您的 AWS 帳戶 設定 Session Manager 或當您在 Systems Manager 主控台中變更工作階段偏好設定時,系統會建立一個名稱為 SSM-SessionManagerRunShell 的 SSM 工作階段文件。這是預設的工作階段文件。Session Manager 使用此文件來儲存您的工作階段偏好設定,其中包含下列資訊:

  • 您想要儲存工作階段資料的位置,例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體或 Amazon CloudWatch Logs 日誌群組。

  • 用於加密工作階段資料的 AWS Key Management Service (AWS KMS) 金鑰 ID。

  • 您的工作階段是否允許「執行身分」支援。

以下是 SSM-SessionManagerRunShell 工作階段偏好設定文件中包含的資訊範例。

{
  "schemaVersion": "1.0",
  "description": "Document to hold regional settings for Session Manager",
  "sessionType": "Standard_Stream",
  "inputs": {
    "s3BucketName": "MyS3TestBucket",
    "s3KeyPrefix": "BucketPrefix",
    "s3EncryptionEnabled": true,
    "cloudWatchLogGroupName": "MyCWLogGroup",
    "cloudWatchEncryptionEnabled": false,
    "kmsKeyId": "1a2b3c4d",
    "runAsEnabled": true,
    "runAsDefaultUser": "RunAsUser"
  }
}

依預設,當使用者從 AWS Management Console 啟動工作階段時,Session Manager 會使用預設的工作階段文件。這適用於 Systems Manager 主控台中的 Fleet Manager 或 Session Manager,或適用於 Amazon EC2 主控台中的 EC2 Connect。當使用者使用如下範例所示的 AWS CLI 命令啟動工作階段時,Session Manager 也會使用預設的工作階段文件:

aws ssm start-session \
    --target i-02573cafcfEXAMPLE

如果您希望使用者或群組存取預設的 Shell 工作階段,建議您在 IAM 政策中也指定預設工作階段文件,如下列範例所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableSSMSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:us-west-2:123456789012:instance/i-02573cafcfEXAMPLE",
                "arn:aws:ssm:us-west-2:123456789012:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}