Ajouter des autorisations Session Manager à un rôle IAM existant

Utilisez la procédure suivante pour ajouter des autorisations Session Manager à un rôle (IAM) AWS Identity and Access Management existant. En ajoutant des autorisations à un rôle existant, vous pouvez améliorer la sécurité de votre environnement informatique sans avoir à utiliser la AWS AmazonSSMManagedInstanceCore politique relative aux autorisations par exemple.

Note

Veuillez noter les informations suivantes :

Notez que cette procédure suppose que votre rôle existant comprend déjà d'autres autorisations ssm Systems Manager relatives aux actions auxquelles vous souhaitez accorder l'accès. Employée seule, cette politique ne s'avère pas suffisante pour utiliser Session Manager.
L'exemple de politique suivant inclut une action s3:GetEncryptionConfiguration. Cette action est requise si vous avez choisi l'option Appliquer le chiffrement du journal S3 dans les préférences de journalisation de Session Manager.
Si l'ssmmessages:OpenControlChannelautorisation est supprimée des politiques associées à votre profil d'instance IAM ou à votre rôle de service IAM, SSM Agent le nœud géré perd la connectivité avec le service Systems Manager dans le cloud. Cependant, la résiliation d'une connexion peut prendre jusqu'à 1 heure après la suppression de l'autorisation. Il s'agit du même comportement que lorsque le rôle d'instance IAM ou le rôle de service IAM est supprimé.

Pour ajouter des autorisations Session Manager à un rôle existant (console)

Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.
Dans le panneau de navigation, choisissez Roles (Rôles).
Choisissez le nom du rôle auquel vous souhaitez ajouter les autorisations.
Choisissez l'onglet Permissions (Autorisations).
Sélectionnez Ajouter des autorisations, puis Créer la politique en ligne.
Sélectionnez l'onglet JSON.

Remplacez le contenu de politique par défaut par le contenu suivant. key-nameRemplacez-le par le Amazon Resource Name (ARN) de la AWS Key Management Service clé (AWS KMS key) que vous souhaitez utiliser.

Pour de plus amples informations sur l'utilisation d'une clé CMK pour chiffrer les données de session, consultez Activer le chiffrement des données de session par clé KMS (console).

Si vous n'avez pas l'intention d'utiliser le AWS KMS chiffrement pour les données de votre session, vous pouvez supprimer le contenu suivant de la politique.


,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

Choisissez Suivant : Balises.
(Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées de la politique.
Choisissez Suivant : Vérification.
Sur la page Examiner une politique, dans le champ Nom, saisissez un nom pour la politique en ligne, tel que SessionManagerPermissions.
(Facultatif) Dans le champ Description, saisissez une description pour la politique.

Sélectionnez Créer une politique.

Pour de plus amples informations sur les actions ssmmessages, consultez Référence : ec2messages, ssmmessages et autres opérations d'API.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Étape 2 : vérifier ou ajouter des autorisations d'instance pour Session Manager

Création d'un rôle IAM personnalisé pour Session Manager