步驟 3：控制工作階段對受管節點的存取權

您可以使用 AWS Identity and Access Management (IAM) 政策授予或撤銷 Session Manager 對受管節點的存取權。您可以建立政策並將其連接到某個 IAM 使用者或群組，以指定該使用者或群組可連線到哪些受管節點。您也可以指定該使用者或群組可在這些受管節點上執行的 Session Manager API 操作。

為了協助您開始使用 Session Manager 的 IAM 許可政策，我們建立了適用於最終使用者和管理員使用者的範例政策。您只需對這些政策稍做變更便可加以利用。您也可以將它們用作建立自訂 IAM 政策時的指南。如需詳細資訊，請參閱 適用於 Session Manager 的範例 IAM 政策。如需有關如何建立 IAM 政策並將其連接至使用者或群組的相關資訊，請參閱《IAM 使用者指南》中的建立 IAM 政策和新增和移除 IAM 政策。

關於階段作業識別碼 ARN 格式

為 Session Manager 存取權建立 IAM 政策時，您需要將工作階段 ID 指定為 Amazon Resource Name (ARN) 的一部分。該工作階段 ID 包含使用者名稱做為變數。為了更好地說明，以下是 Session Manager ARN 的格式和一個範例：

arn:aws:ssm:region-id:account-id:session/session-id

例如：

arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE

如需有關在 IAM 政策中使用變數的詳細資訊，請參閱 IAM 政策元素：變數。

主題

• 透過在IAM策略中指定預設的工作階段文件來啟動預設 shell 工作階段
• 透過在 IAM 政策中指定工作階段文件使用文件啟動預工作階段
• 適用於 Session Manager 的範例 IAM 政策
• Session Manager 的其他 IAM 政策範例