步驟 2：為 Session Manager 確認或新增執行個體許可

根據預設， AWS Systems Manager 沒有對執行個體執行動作的權限。您可以使用 AWS Identity and Access Management (IAM) 角色在帳戶層級提供執行個體權限，或使用執行個體設定檔在執行個體層級提供執行個體權限。如果您的使用案例允許，建議您使用預設主機管理組態在帳戶層級授予存取權。如果您已經使用 AmazonSSMManagedEC2InstanceDefaultPolicy 政策設定帳戶的預設主機管理組態，則可以執行下一個步驟。如需有關預設主機管理組態的詳細資訊，請參閱 使用預設主機管理組態設定。

您也可以使用執行個體設定檔為執行個體提供必要的許可。執行個體設定檔會將IAM角色傳遞給 Amazon EC2 執行個體。您可以在啟動 Amazon IAM 執行個體時將EC2執行個體設定檔附加到該執行個體或先前啟動的執行個體。如需詳細資訊，請參閱使用執行個體設定檔。

對於內部部署伺服器或虛擬機器 (VMs)，權限是由與用於註冊內部部署伺IAM服器的混合式啟用相關聯的服務角色提VMs供，以及 Systems Manager。內部部署伺服器且VMs不使用執行個體設定檔。

如果您已經使用其他 Systems Manager 功能 (例如Run Command或)Parameter Store，具有所需基本許可的執行個體設定檔Session Manager可能已附加至您的 Amazon EC2 執行個體。若包含 AWS 管理的政策 AmazonSSMManagedInstanceCore 的執行個體設定檔已連接到您的執行個體，則已提供 Session Manager 的必要許可。如果混合啟用中使用的IAM服務角色包含AmazonSSMManagedInstanceCore受管理策略，則也會發生這種情況。

但是，在某些案例中，您可能需要修改連接到您執行個體設定檔的許可。例如，您想要提供較窄的執行個體許可集、已為執行個體設定檔建立自訂政策，或者想要使用 Amazon 簡單儲存服務 (Amazon S3) 加密或 AWS Key Management Service (AWS KMS) 加密選項來保護工作階段資料。針對這些案例，請執行以下其中一項作業，允許在您的執行個體上執行 Session Manager 動作：

• 內嵌自訂IAM角色中Session Manager動作的權限

  若要將Session Manager動作的權限新增至不依賴 AWS-提供的預設原則的現有IAM角色AmazonSSMManagedInstanceCore，請遵循中將Session Manager權限新增至現有IAM角色的步驟。

• 建立僅具有Session Manager權限的自訂IAM角色

  若要建立僅包含Session Manager動作權限的IAM角色，請遵循中的步驟建立自訂IAM角色 Session Manager。

• 建立並使用具有所有 Systems Manager 動作權限的新IAM角色

  若要為使用由 AWS 提供的預設原則授與所有系統管理員權限的 Systems Manager 受管理執行個體建立IAM角色，請依照設定系 Systems Manager 員所需的執行個體權限中的步驟執行。

主題

• 將Session Manager權限新增至現有IAM角色
• 建立自訂IAM角色 Session Manager