步驟 2:使用 Session Manager 許可驗證或建立 IAM 角色 - AWS Systems Manager

步驟 2:使用 Session Manager 許可驗證或建立 IAM 角色

在預設情況下,AWS Systems Manager 沒有在您執行個體上執行動作的許可。您必須使用 AWS Identity and Access Management (IAM) 授予存取。對於 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,許可由執行個體設定檔提供。使用執行個體設定檔將 IAM 角色傳遞給 Amazon EC2 執行個體。您可以將 IAM 執行個體設定檔連接至啟動的 Amazon EC2 執行個體或先前啟動的執行個體。如需詳細資訊,請參閱使用執行個體設定檔

對於內部部署伺服器或虛擬機器 (VM),許可由與混合式啟用相關聯的 IAM 服務角色提供,該角色可用來向 Systems Manager 註冊您的內部部署伺服器和 VM。內部部署伺服器和 VM 不使用執行個體設定檔。

若您已使用其他 Systems Manager 功能 (例如 Run Command 或 Parameter Store),您的 Amazon EC2 執行個體便可能已經連接具備 Session Manager 必要基本許可的執行個體設定檔。若包含 AWS 受管政策 AmazonSSMManagedInstanceCore 的執行個體設定檔已連接到您的執行個體,則已提供 Session Manager 的必要許可。如果混合式啟用中使用的 IAM 服務角色包含 AmazonSSMManagedInstanceCore 受管政策,則這也會是 True。

重要

您無法變更與混合式啟用相關聯的 IAM 服務角色。如果發現服務角色不包含必要的許可,則您必須取消註冊受管執行個體,並使用具有所需許可之服務角色的新混合式啟用來註冊該執行個體。如需取消註冊受管執行個體的詳細資訊,請參閱 在混合式環境中取消註冊受管節點。如需為內部部署機器建立 IAM 服務角色的詳細資訊,請參閱為混合式環境建立 IAM 服務角色

但是,在某些案例中,您可能需要修改連接到您執行個體設定檔的許可。例如,您希望提供更窄的一組執行個體許可、您已為執行個體設定檔建立自訂政策,或是您希望使用 Amazon Simple Storage Service (Amazon S3) 加密或 AWS Key Management Service (AWS KMS) 加密來保護工作階段資料的安全。針對這些案例,請執行以下其中一項作業,允許在您的執行個體上執行 Session Manager 動作:

  • 在自訂 IAM 角色中為 Session Manager 動作內嵌許可

    若要新增 Session Manager 動作權限到現有的 IAM 角色,其動作不倚賴 AWS 提供的預設政策 AmazonSSMManagedInstanceCore,請依照 新增 Session Manager 許可至現有 IAM 角色 中的步驟執行。

  • 建立只有 Session Manager 許可的自訂 IAM 角色

    若要建立只有包含 Session Manager 動作許可在 IAM 角色中,請依照 建立 Session Manager 的自訂 IAM 角色 中的步驟操作。

  • 建立和使用新的 IAM 角色,該角色具有對所有 Systems Manager 動作的許可

    若要建立 Systems Manager 受管執行個體的 IAM 角色,其使用 AWS 提供的預設政策授與所有 Systems Manager 許可,請按照建立 Systems Manager 的 IAM 執行個體設定檔中的步驟。