Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager

Standardmäßig hat AWS Systems Manager keine Berechtigung zur Ausführung von Aktionen auf Ihren Instances. Sie können Instance-Berechtigungen auf Kontoebene mithilfe einerAWS Identity and Access Management (IAM)-Rolle oder auf Instance-Ebene mithilfe eines Instance-Profils bereitstellen. Wenn Ihr Anwendungsfall dies zulässt, empfehlen wir, mithilfe der Standardkonfiguration für die Host-Verwaltung Zugriff auf Kontoebene zu gewähren. Wenn Sie die Standardkonfiguration für die Host-Verwaltung für Ihr Konto bereits mithilfe der AmazonSSMManagedEC2InstanceDefaultPolicy-Richtlinie eingerichtet haben, können Sie mit dem nächsten Schritt fortfahren. Weitere Informationen über die Standardkonfiguration für die Host-Verwaltung finden Sie unter Automatisches Verwalten von EC2 Instanzen mit der Standard-Host-Management-Konfiguration.

Alternativ können Sie auch Instance-Profile verwenden, um Ihren Instances die erforderlichen Berechtigungen zu erteilen. Ein Instance-Profil übergibt eine IAM-Rolle an eine Amazon-EC2-Instance. Sie können ein IAM-Instance-Profil einer Amazon-EC2-Instance beim Starten anfügen oder einer zuvor gestarteten Instance anfügen. Weitere Informationen finden Sie unter Verwenden von Instance-Profilen.

Für On-Premises-Server oder virtuelle Maschinen (VMs) werden Berechtigungen von der IAM-Servicerolle bereitgestellt, die der Hybrid-Aktivierung zugeordnet ist, die zum Anmelden Ihrer On-Premises-Server und VMs bei Systems Manager verwendet wird. On-Premises-Server und VMs verwenden keine Instance-Profile.

Wenn Sie bereits andere Systems-Manager-Tools wie Run Command oder Parameter Store verwenden, ist Ihren Amazon-EC2-Instances möglicherweise bereits ein Instance-Profil mit den für Session Manager erforderlichen Grundberechtigungen angefügt. Wenn Ihren Instances bereits ein Instance-Profil angefügt ist, das die AWS-verwaltete Richtlinie AmazonSSMManagedInstanceCore enthält, sind die erforderlichen Berechtigungen für Session Manager bereits vorhanden. Dies gilt auch, wenn die bei Ihrer Hybrid-Aktivierung verwendete IAM-Servicerolle die verwaltete Richtlinie AmazonSSMManagedInstanceCore enthält.

In einigen Fällen müssen Sie jedoch möglicherweise die Berechtigungen ändern, die Ihrem Instance-Profil zugeordnet sind. Sie möchten beispielsweise eine engere Gruppe von Instance-Berechtigungen bereitstellen, Sie haben eine benutzerdefinierte Richtlinie für Ihr Instance-Profil erstellt oder Sie möchten Amazon Simple Storage Service (Amazon S3)-Verschlüsselung oder AWS Key Management Service (AWS KMS)-Verschlüsselungsoptionen zum Sichern von Sitzungsdaten verwenden. Führen Sie in diesen Fällen einen der folgenden Schritte aus, um Session Manager-Aktionen auf Ihren Instances auszuführen:

  • Einbetten von Berechtigungen für Session Manager-Aktionen in einer benutzerdefinierten IAM-Rolle

    Um einer vorhandenen IAM-Rolle, die die von AWS bereitgestellte Standardrichtlinie AmazonSSMManagedInstanceCore nicht verwendet, Berechtigungen für Session Manager-Aktionen hinzuzufügen, befolgen Sie die Schritte in Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen.

  • Erstellen einer benutzerdefinierten IAM-Rolle, die ausschließlich Session Manager-Berechtigungen besitzt

    Um eine IAM-Rolle zu erstellen, die ausschließlich Berechtigungen für Session Manager-Aktionen enthält, befolgen Sie die Schritte in Erstellen einer benutzerdefinierten IAM-Rolle für Session Manager.

  • Erstellen und Verwenden einer neuen IAM-Rolle mit Berechtigungen für alle Systems-Manager-Aktionen

    Um eine IAM-Rolle für von Systems Manager verwaltete Instances zu erstellen, die eine von AWS bereitgestellte Standardrichtlinie verwendet, die alle Systems-Manager-Berechtigungen erteilt, befolgen Sie die Schritte unter Konfigurieren von erforderlichen IAM-Instance-Berechtigungen für Systems Manager.

Themen