步驟 3:控制使用者工作階段存取執行個體 - AWS Systems Manager

步驟 3:控制使用者工作階段存取執行個體

AWS Systems Manager Session Manager 讓您能夠集中授與和撤銷使用者存取執行個體。使用 AWS Identity and Access Management (IAM) 政策,您可以控制哪些特定使用者或群組可以連接到哪些執行個體,以及您可以控制他們可以在允許存取的執行個體上使用哪一個 Session Manager API 操作。

關於工作階段 ID ARN 格式

IAM 存取權的 Session Manager 政策使用使用者名稱的變數做為工作階段 ID 的一部分。工作階段的 ID 將用於工作階段的 Amazon Resource Name (ARN),以控制存取。工作階段的 ARN 格式如下:

arn:aws:ssm:region-id:account-id:session/session-id

例如:

arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE

您可以使用兩個 AWS 提供的預設 IAM 政策,一個給最終使用者,一個給管理員,用於授與 Session Manager 活動許可。或者您也可以針對您所需不同的許可權限來建立自訂的 IAM 政策。

如需有關在 IAM 政策中使用變數的詳細資訊,請參閱 IAM 政策元素:變數

如需如何建立政策並將其連接至 IAM 使用者或群組的相關資訊,請參閱《IAM 使用者指南》中的建立 IAM 政策新增和移除 IAM 政策