• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager
Hat standardmäßig AWS Systems Manager keine Berechtigung, Aktionen auf Ihren Instances durchzuführen. Sie können Instance-Berechtigungen auf Kontoebene mithilfe einer AWS Identity and Access Management (IAM)-Rolle oder auf Instance-Ebene mithilfe eines Instance-Profils bereitstellen. Wenn Ihr Anwendungsfall dies zulässt, empfehlen wir, mithilfe der Standardkonfiguration für die Host-Verwaltung Zugriff auf Kontoebene zu gewähren. Wenn Sie die Standardkonfiguration für die Host-Verwaltung für Ihr Konto bereits mithilfe der `AmazonSSMManagedEC2InstanceDefaultPolicy`-Richtlinie eingerichtet haben, können Sie mit dem nächsten Schritt fortfahren. Weitere Informationen über die Standardkonfiguration für die Host-Verwaltung finden Sie unter [Automatisches Verwalten von EC2-Instances mit der Standard-Host-Management-Konfiguration](fleet-manager-default-host-management-configuration.md).
Alternativ können Sie auch Instance-Profile verwenden, um Ihren Instances die erforderlichen Berechtigungen zu erteilen. Ein Instance-Profil übergibt eine IAM-Rolle an eine Amazon-EC2-Instance. Sie können ein IAM-Instance-Profil einer Amazon-EC2-Instance beim Starten anfügen oder einer zuvor gestarteten Instance anfügen. Weitere Informationen finden Sie unter [Verwenden von Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
Für lokale Server oder virtuelle Maschinen (VMs) werden die Berechtigungen von der IAM-Dienstrolle bereitgestellt, die mit der Hybridaktivierung verknüpft ist, die zur Registrierung Ihrer lokalen Server verwendet wird, und VMs von Systems Manager. Lokale Server und verwenden VMs keine Instanzprofile.
Wenn Sie bereits andere Systems-Manager-Tools wie Run Command oder Parameter Store verwenden, ist Ihren Amazon-EC2-Instances möglicherweise bereits ein Instance-Profil mit den für Session Manager erforderlichen Grundberechtigungen angefügt. Wenn ein Instanzprofil, das die AWS verwaltete Richtlinie enthält, bereits an Ihre Instanzen angehängt `AmazonSSMManagedInstanceCore` ist, Session Manager sind die erforderlichen Berechtigungen für bereits bereitgestellt. Dies gilt auch, wenn die bei Ihrer Hybrid-Aktivierung verwendete IAM-Servicerolle die verwaltete Richtlinie `AmazonSSMManagedInstanceCore` enthält.
In einigen Fällen müssen Sie jedoch möglicherweise die Berechtigungen ändern, die Ihrem Instance-Profil zugeordnet sind. Sie möchten beispielsweise einen engeren Satz von Instance-Berechtigungen bereitstellen, Sie haben eine benutzerdefinierte Richtlinie für Ihr Instance-Profil erstellt oder Sie möchten die Verschlüsselungsoptionen Amazon Simple Storage Service (Amazon S3) oder AWS Key Management Service (AWS KMS) zur Sicherung von Sitzungsdaten verwenden. Führen Sie in diesen Fällen einen der folgenden Schritte aus, um Session Manager-Aktionen auf Ihren Instances auszuführen:
+ **Einbetten von Berechtigungen für Session Manager-Aktionen in einer benutzerdefinierten IAM-Rolle**
Um einer vorhandenen IAM-Rolle, die nicht auf der AWS bereitgestellten Standardrichtlinie basiert, Berechtigungen für Session Manager Aktionen hinzuzufügen`AmazonSSMManagedInstanceCore`, folgen Sie den Schritten unter. [Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen](getting-started-add-permissions-to-existing-profile.md)
+ **Erstellen einer benutzerdefinierten IAM-Rolle, die ausschließlich Session Manager-Berechtigungen besitzt**
Um eine IAM-Rolle zu erstellen, die ausschließlich Berechtigungen für Session Manager-Aktionen enthält, befolgen Sie die Schritte in [Erstellen einer benutzerdefinierten IAM-Rolle für Session Manager](getting-started-create-iam-instance-profile.md).
+ **Erstellen und Verwenden einer neuen IAM-Rolle mit Berechtigungen für alle Systems-Manager-Aktionen**
Um eine IAM-Rolle für von Systems Manager verwaltete Instanzen zu erstellen, die eine Standardrichtlinie verwendet, die bereitgestellt wird, AWS um allen Systems Manager-Berechtigungen zu gewähren, folgen Sie den Schritten [unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen](setup-instance-permissions.md).
**Topics**
+ [Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen](getting-started-add-permissions-to-existing-profile.md)
+ [Erstellen einer benutzerdefinierten IAM-Rolle für Session Manager](getting-started-create-iam-instance-profile.md)
# Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen
Gehen Sie wie folgt vor, um einer vorhandenen AWS Identity and Access Management (IAM)-Rolle Session Manager-Berechtigungen hinzuzufügen. Durch das Hinzufügen von Berechtigungen zu einer vorhandenen Rolle können Sie die Sicherheit Ihrer Computerumgebung verbessern, ohne die AWS `AmazonSSMManagedInstanceCore` Richtlinie für Instanzberechtigungen verwenden zu müssen.
**Anmerkung**
Notieren Sie die folgenden Informationen:
Dieses Verfahren setzt voraus, dass Ihre vorhandene Rolle bereits andere Systems-Manager-`ssm`-Berechtigungen für Aktionen enthält, für die Sie den Zugriff erlauben möchten. Diese Richtlinie reicht allein nicht aus, um Session Manager verwenden zu können.
Das folgende Richtlinienbeispiel beinhaltet eine `s3:GetEncryptionConfiguration`-Aktion. Diese Aktion ist erforderlich, wenn Sie in den Session Manager-Protokollierungseinstellungen die Option **S3-Protokollverschlüsselung erzwingen** gewählt haben.
Wenn die `ssmmessages:OpenControlChannel` Berechtigung aus den Richtlinien entfernt wird, die mit Ihrem IAM-Instanzprofil oder Ihrer IAM-Dienstrolle verknüpft sind, SSM Agent verliert der verwaltete Knoten die Konnektivität zum Systems Manager Manager-Dienst in der Cloud. Es kann jedoch bis zu 1 Stunde dauern, bis eine Verbindung beendet wird, nachdem die Berechtigung entfernt wurde. Dies ist dasselbe Verhalten wie beim Löschen der IAM-Instanzrolle oder der IAM-Servicerolle.
**So fügen Sie Session Manager-Berechtigungen einer vorhandenen Rolle hinzu (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Wählen Sie den Namen der Rolle aus, zu der Sie die Berechtigungen hinzufügen möchten.
1. Wählen Sie die Registerkarte **Berechtigungen**.
1. Wählen Sie **Berechtigungen hinzufügen** und dann **Eingebundene Richtlinie hinzufügen** aus.
1. Wählen Sie den Tab **JSON**.
1. Ersetzen Sie den Inhalt der Standardrichtlinie durch den folgenden Inhalt. *key-name*Ersetzen Sie es durch den Amazon-Ressourcennamen (ARN) des AWS Key Management Service Schlüssels (AWS KMS key), den Sie verwenden möchten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Weitere Informationen über die Verwendung eines KMS-Schlüssels zum Verschlüsseln von Sitzungsdaten finden Sie unter [So aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole)](session-preferences-enable-encryption.md).
Wenn Sie keine AWS KMS Verschlüsselung für Ihre Sitzungsdaten verwenden, können Sie den folgenden Inhalt aus der Richtlinie entfernen.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Fügen Sie Tags hinzu, indem Sie **Tag hinzufügen** auswählen und die bevorzugten Tags für die Richtlinie eingeben.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie auf der Seite **Richtlinie prüfen** im Feld **Name** einen Namen für die Inline-Richtlinie ein, z. B. **SessionManagerPermissions**.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für die Richtlinie ein.
Wählen Sie **Richtlinie erstellen** aus.
Weitere Informationen über die `ssmmessages`-Aktionen finden Sie unter [Referenz: ec2messages, ssmmessages und andere API-Operationen](systems-manager-setting-up-messageAPIs.md).
# Erstellen einer benutzerdefinierten IAM-Rolle für Session Manager
Sie können eine AWS Identity and Access Management (IAM-) Rolle erstellen, die Ihnen Session Manager die Berechtigung erteilt, Aktionen auf Ihren von Amazon EC2 verwalteten Instances durchzuführen. Sie können auch eine Richtlinie hinzufügen, um die Berechtigungen zu gewähren, die für das Senden von Sitzungsprotokollen an Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs erforderlich sind.
Nachdem Sie die IAM-Rolle erstellt haben, finden Sie Informationen dazu, wie Sie die Rolle an eine Instance [anhängen oder ersetzen können, auf der AWS re:Post Website unter Ein Instance-Profil](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/) anhängen oder ersetzen. Weitere Informationen über IAM-Instance-Profile und -Rollen finden Sie unter [Verwendung von Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) im *IAM-Benutzerhandbuch* und [IAM-Rollen für Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch für Linux-Instances*. Weitere Informationen zum Erstellen einer IAM-Servicerolle für On-Premises-Maschinen finden Sie unter [Erstellen der für Systems Manager erforderlichen IAM-Servicerolle in Hybrid- und Multi-Cloud-Umgebungen.](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html)
**Topics**
+ [Erstellen einer IAM-Rolle mit geringstmöglichen Session Manager-Berechtigungen (Konsole)](#create-iam-instance-profile-ssn-only)
+ [Erstellen einer IAM-Rolle mit Berechtigungen für Amazon S3 Session Manager und CloudWatch Logs (Konsole)](#create-iam-instance-profile-ssn-logging)
## Erstellen einer IAM-Rolle mit geringstmöglichen Session Manager-Berechtigungen (Konsole)
Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte IAM-Rolle mit einer Richtlinie zu erstellen, die ausschließlich Berechtigungen für Session Manager-Aktionen auf Ihren Instances bereitstellt.
**So erstellen Sie ein Instance-Profil mit den geringstmöglichen Session Manager-Berechtigungen (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen**. (Wenn die Schaltfläche **Get Started (Erste Schritte)** angezeigt wird, klicken Sie darauf und wählen Sie anschließend **Create Policy (Richtlinie erstellen)** aus.)
1. Wählen Sie den Tab **JSON**.
1. Ersetzen Sie den Standardinhalt durch folgende Richtlinie. Um Sitzungsdaten mit AWS Key Management Service (AWS KMS) zu verschlüsseln, ersetzen Sie *key-name* sie durch den Amazon-Ressourcennamen (ARN) der AWS KMS key , die Sie verwenden möchten.
**Anmerkung**
Wenn die `ssmmessages:OpenControlChannel` Berechtigung aus den Richtlinien entfernt wird, die mit Ihrem IAM-Instanzprofil oder Ihrer IAM-Dienstrolle verknüpft sind, SSM Agent verliert der verwaltete Knoten die Konnektivität zum Systems Manager Manager-Dienst in der Cloud. Es kann jedoch bis zu 1 Stunde dauern, bis eine Verbindung beendet wird, nachdem die Berechtigung entfernt wurde. Dies ist dasselbe Verhalten wie beim Löschen der IAM-Instanzrolle oder der IAM-Servicerolle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Weitere Informationen über die Verwendung eines KMS-Schlüssels zum Verschlüsseln von Sitzungsdaten finden Sie unter [So aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole)](session-preferences-enable-encryption.md).
Wenn Sie keine AWS KMS Verschlüsselung für Ihre Sitzungsdaten verwenden, können Sie den folgenden Inhalt aus der Richtlinie entfernen.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Fügen Sie Tags hinzu, indem Sie **Tag hinzufügen** auswählen und die bevorzugten Tags für die Richtlinie eingeben.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie auf der Seite **Richtlinie prüfen** im Feld **Name** einen Namen für die Inline-Richtlinie ein, z. B. **SessionManagerPermissions**.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für die Richtlinie ein.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.
1. Auf der Seite **Create Role** (Rolle erstellen) wählen Sie **AWS service** (-Service), und für**Use case** (Anwendungsfall), wählen Sie **EC2** aus.
1. Wählen Sie **Weiter** aus.
1. Aktivieren Sie auf der Seite **Attached permissions policy** (Richtlinie für angefügte Berechtigungen) das Kontrollkästchen links neben dem Namen der Richtlinie, die Sie gerade erstellt haben, z. B. **SessionManagerPermissions**.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Name, review, and create** (Benennen, überprüfen und erstellen) für **Role name** (Rollenname) einen Namen für die IAM-Rolle ein, z. B. **MySessionManagerRole**.
1. (Optional) Geben Sie in **Role description (Beschreibung der Rolle)** eine Beschreibung für das Instance-Profil ein.
1. (Optional) Fügen Sie Tags hinzu, indem Sie**Add tag** (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.
Wählen Sie **Rolle erstellen** aus.
Weitere Informationen zu `ssmmessages`-Aktionen finden Sie unter [Referenz: ec2messages, ssmmessages und andere API-Operationen](systems-manager-setting-up-messageAPIs.md).
## Erstellen einer IAM-Rolle mit Berechtigungen für Amazon S3 Session Manager und CloudWatch Logs (Konsole)
Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte IAM-Rolle mit einer Richtlinie zu erstellen, die Berechtigungen für Session Manager-Aktionen auf Ihren Instances bereitstellt. Die Richtlinie bietet auch die erforderlichen Berechtigungen für die Speicherung von Sitzungsprotokollen in Amazon Simple Storage Service (Amazon S3) -Buckets und Amazon CloudWatch Logs-Protokollgruppen.
**Wichtig**
Um Sitzungsprotokolle an einen Amazon S3-Bucket auszugeben, der zu einem anderen AWS-Konto gehört, müssen Sie die `s3:PutObjectAcl`-Berechtigung dieser IAM-Rollen-Richtlinie hinzufügen. Außerdem müssen Sie sicherstellen, dass die Bucket-Richtlinie kontenübergreifenden Zugriff auf die IAM-Rolle gewährt, die vom besitzenden Konto verwendet wird, um dem Systems Manager Berechtigungen für verwaltete Instances zu gewähren. Wenn der Bucket die Verschlüsselung des Key Management Service (KMS) verwendet, muss die KMS-Richtlinie des Buckets diesen kontoübergreifenden Zugriff ebenfalls gewähren. Weitere Informationen zur Konfiguration von kontoübergreifenden Bucket-Berechtigungen in Amazon S3 finden Sie unter [Gewährung von kontoübergreifenden Bucket-Berechtigungen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) im *Benutzerhandbuch zu Amazon Simple Storage Service*. Wenn die kontoübergreifenden Berechtigungen nicht hinzugefügt werden, kann das Konto, das Eigentümer des Amazon-S3-Buckets ist, nicht auf die Sitzungsausgabeprotokolle zugreifen.
Informationen zum Angeben von Präferenzen für das Speichern von Sitzungsprotokollen finden Sie unter [Protokollierung von Sitzungen aktivieren und deaktivieren](session-manager-logging.md).
**So erstellen Sie eine IAM-Rolle mit Berechtigungen für Session Manager Amazon S3 und CloudWatch Logs (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen**. (Wenn die Schaltfläche **Get Started (Erste Schritte)** angezeigt wird, klicken Sie darauf und wählen Sie anschließend **Create Policy (Richtlinie erstellen)** aus.)
1. Wählen Sie den Tab **JSON**.
1. Ersetzen Sie den Standardinhalt durch folgende Richtlinie. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"ssm:UpdateInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
},
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "*"
}
]
}
```
------
1. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Fügen Sie Tags hinzu, indem Sie **Tag hinzufügen** auswählen und die bevorzugten Tags für die Richtlinie eingeben.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie auf der Seite **Richtlinie prüfen** im Feld **Name** einen Namen für die Inline-Richtlinie ein, z. B. **SessionManagerPermissions**.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für die Richtlinie ein.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.
1. Auf der Seite **Create Role** (Rolle erstellen) wählen Sie **AWS service** (-Service), und für**Use case** (Anwendungsfall), wählen Sie **EC2** aus.
1. Wählen Sie **Weiter** aus.
1. Aktivieren Sie auf der Seite **Attached permissions policy** (Richtlinie für angefügte Berechtigungen) das Kontrollkästchen links neben dem Namen der Richtlinie, die Sie gerade erstellt haben, z. B. **SessionManagerPermissions**.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Name, review, and create** (Benennen, überprüfen und erstellen) für **Role name** (Rollenname) einen Namen für die IAM-Rolle ein, z. B. **MySessionManagerRole**.
1. (Optional) Geben Sie im Feld **Role description** (Rollenbeschreibung) eine Beschreibung für die Rolle ein.
1. (Optional) Fügen Sie Tags hinzu, indem Sie**Add tag** (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.
1. Wählen Sie **Rolle erstellen** aus.