步驟 2:驗證或建立含 Session Manager 許可的 IAM 執行個體描述檔 - AWS Systems Manager

步驟 2:驗證或建立含 Session Manager 許可的 IAM 執行個體描述檔

在預設情況下,AWS Systems Manager 沒有在您執行個體上執行動作的許可。您必須使用 AWS Identity and Access Management (IAM) 執行個體描述檔授予存取。執行個體描述檔是在啟動時將 IAM 角色資訊傳遞到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的容器。此要求適用於所有 AWS Systems Manager 功能的許可,而非僅限 Session Manager 的特定許可。

若您已使用其他 Systems Manager 功能 (例如 Run Command 或 Parameter Store),您的執行個體便可能已經連接具備 Session Manager 必要基本許可的執行個體描述檔。若包含 AWS 受管政策 AmazonSSMManagedInstanceCore 的執行個體描述檔已連接到您的執行個體,則已提供 Session Manager 的必要許可。

但是,在某些案例中,您可能需要修改連接到您執行個體描述檔的許可。例如,您希望提供更窄的一組執行個體許可、您已為執行個體描述檔建立自訂政策,或是您希望使用 Amazon Simple Storage Service (Amazon S3) 加密或 AWS Key Management Service (AWS KMS) 加密來保護工作階段資料的安全。針對這些案例,請執行以下其中一項作業,允許在您的執行個體上執行 Session Manager 動作:

  • 自訂執行個體描述檔中 Session Manager 動作的內嵌許可

    若要新增 Session Manager 動作權限到現有的 AWS 執行個體描述檔,其動作不倚賴 提供的預設政策 AmazonSSMManagedInstanceCore,請依照 將Session Manager許可新增到現有的執行個體描述檔 中的步驟執行。

  • 建立只有 Session Manager 許可的自訂 IAM 執行個體描述檔

    若要建立只有包含 Session Manager 動作權限在 IAM 執行個體描述檔中,請依照 為 Session Manager 建立自訂 IAM 執行個體描述檔 中的步驟操作。

  • 透過對所有 Systems Manager 動作的許可權限建立和使用新的執行個體描述檔的

    若要建立 Systems Manager 受管執行個體的 IAM 執行個體描述檔,其使用 AWS 提供的預設政策授與所有 Systems Manager 權限,請按照建立 Systems Manager 的 IAM 執行個體描述檔中的步驟。

注意

您可以將 IAM 執行個體描述檔連接至啟動的 EC2 執行個體或先前啟動的執行個體。如需詳細資訊,請參閱執行個體描述檔