• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Étape 2 : vérifier ou ajouter des autorisations d'instance pour Session Manager
Par défaut, AWS Systems Manager n'est pas autorisé à effectuer des actions sur vos instances. Vous pouvez fournir des autorisations d'instance au niveau du compte à l'aide d'un rôle Gestion des identités et des accès AWS (IAM), ou au niveau de l'instance à l'aide d'un profil d'instance. Si votre cas d'utilisation le permet, nous vous recommandons d'accorder l'accès au niveau du compte à l'aide de la configuration de gestion des hôtes par défaut. Si vous avez déjà configuré la configuration de gestion des hôtes par défaut pour votre compte à l'aide de la politique `AmazonSSMManagedEC2InstanceDefaultPolicy`, vous pouvez passer à l'étape suivante. Pour plus d'informations sur la Configuration de gestion des hôtes par défaut, consultez [Gestion automatique des instances EC2 avec la configuration par défaut de la gestion des hôtes](fleet-manager-default-host-management-configuration.md).
Vous pouvez également utiliser des profils d'instance pour fournir les autorisations requises à vos instances. Un profil d'instance transmet un rôle IAM à une instance Amazon EC2. Vous pouvez attacher un profil d'instance IAM à une instance Amazon EC2 lorsque vous la lancez ou à une instance préalablement lancée. Pour plus d'informations, consultez [Utilisation de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
Pour les serveurs locaux ou les machines virtuelles (VMs), les autorisations sont fournies par le rôle de service IAM associé à l'activation hybride utilisée pour enregistrer vos serveurs sur site et auprès de Systems VMs Manager. Serveurs sur site et n'utilisez VMs pas de profils d'instance.
Si vous utilisez déjà d’autres outils Systems Manager, comme Run Command ou Parameter Store, il est possible qu’un profil d’instance avec les autorisations de base requises pour Session Manager soit déjà attaché à vos instances Amazon EC2. Si un profil d'instance contenant la politique AWS gérée `AmazonSSMManagedInstanceCore` est déjà attaché à vos instances, les autorisations requises Session Manager sont déjà fournies. Cela est également vrai si la fonction du service IAM utilisée dans votre activation hybride contient la politique gérée `AmazonSSMManagedInstanceCore`.
Toutefois, dans certains cas, vous pouvez avoir besoin de modifier les autorisations attachées à votre profil d'instance. Par exemple, vous souhaitez fournir un ensemble plus restreint d'autorisations d'instance, vous avez créé une politique personnalisée pour votre profil d'instance ou vous souhaitez utiliser le chiffrement Amazon Simple Storage Service (Amazon S3) AWS Key Management Service ou les options de chiffrement AWS KMS() pour sécuriser les données de session. Pour ces cas, effectuez l'une des actions suivantes pour autoriser l'exécution d'actions Session Manager sur vos instances :
+ **Intégration des autorisations pour les actions Session Manager dans un rôle IAM personnalisé**
Pour ajouter des autorisations pour Session Manager des actions à un rôle IAM existant qui ne repose pas sur la politique par défaut AWS fournie`AmazonSSMManagedInstanceCore`, suivez les étapes décrites dans. [Ajouter des autorisations Session Manager à un rôle IAM existant](getting-started-add-permissions-to-existing-profile.md)
+ **Création d'un rôle IAM personnalisé contenant uniquement des autorisations Session Manager**
Pour créer un rôle IAM qui contient uniquement des autorisations relatives aux actions Session Manager, suivez les étapes décrites sur la page [Création d'un rôle IAM personnalisé pour Session Manager](getting-started-create-iam-instance-profile.md).
+ **Création et utilisation d'un rôle IAM autorisant toutes les actions Systems Manager**
Pour créer un rôle IAM pour les instances gérées par Systems Manager qui utilise une politique par défaut fournie par AWS pour accorder toutes les autorisations de Systems Manager, suivez les étapes décrites dans [Configurer les autorisations d'instance requises pour Systems Manager](setup-instance-permissions.md).
**Topics**
+ [Ajouter des autorisations Session Manager à un rôle IAM existant](getting-started-add-permissions-to-existing-profile.md)
+ [Création d'un rôle IAM personnalisé pour Session Manager](getting-started-create-iam-instance-profile.md)
# Ajouter des autorisations Session Manager à un rôle IAM existant
Utilisez la procédure suivante pour ajouter des autorisations Session Manager à un rôle (IAM) Gestion des identités et des accès AWS existant. En ajoutant des autorisations à un rôle existant, vous pouvez améliorer la sécurité de votre environnement informatique sans avoir à utiliser la AWS `AmazonSSMManagedInstanceCore` politique relative aux autorisations par exemple.
**Note**
Veuillez noter les informations suivantes :
Notez que cette procédure suppose que votre rôle existant comprend déjà d'autres autorisations `ssm` Systems Manager relatives aux actions auxquelles vous souhaitez accorder l'accès. Employée seule, cette politique ne s'avère pas suffisante pour utiliser Session Manager.
L'exemple de politique suivant inclut une action `s3:GetEncryptionConfiguration`. Cette action est requise si vous avez choisi l'option **Appliquer le chiffrement du journal S3** dans les préférences de journalisation de Session Manager.
Si l'`ssmmessages:OpenControlChannel`autorisation est supprimée des politiques associées à votre profil d'instance IAM ou à votre rôle de service IAM, SSM Agent le nœud géré perd la connectivité avec le service Systems Manager dans le cloud. Cependant, la résiliation d'une connexion peut prendre jusqu'à 1 heure après la suppression de l'autorisation. Il s'agit du même comportement que lorsque le rôle d'instance IAM ou le rôle de service IAM est supprimé.
**Pour ajouter des autorisations Session Manager à un rôle existant (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Choisissez le nom du rôle auquel vous souhaitez ajouter les autorisations.
1. Choisissez l'onglet **Permissions** (Autorisations).
1. Sélectionnez **Ajouter des autorisations**, puis **Créer la politique en ligne**.
1. Sélectionnez l'onglet **JSON**.
1. Remplacez le contenu de politique par défaut par le contenu suivant. *key-name*Remplacez-le par le Amazon Resource Name (ARN) de la AWS Key Management Service clé (AWS KMS key) que vous souhaitez utiliser.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Pour de plus amples informations sur l'utilisation d'une clé CMK pour chiffrer les données de session, consultez [Activer le chiffrement des données de session par clé KMS (console)](session-preferences-enable-encryption.md).
Si vous n'avez pas l'intention d'utiliser le AWS KMS chiffrement pour les données de votre session, vous pouvez supprimer le contenu suivant de la politique.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Choisissez **Suivant : Balises**.
1. (Facultatif) Ajoutez des identifications en choisissant **Add tag** (Ajouter une identification), et en saisissant les identifications préférées de la politique.
1. Choisissez **Suivant : Vérification**.
1. Sur la page **Examiner une politique**, dans le champ **Nom**, saisissez un nom pour la politique en ligne, tel que **SessionManagerPermissions**.
1. (Facultatif) Dans le champ **Description**, saisissez une description pour la politique.
Sélectionnez **Créer une politique**.
Pour de plus amples informations sur les actions `ssmmessages`, consultez [Référence : ec2messages, ssmmessages et autres opérations d'API](systems-manager-setting-up-messageAPIs.md).
# Création d'un rôle IAM personnalisé pour Session Manager
Vous pouvez créer un rôle Gestion des identités et des accès AWS (IAM) qui accorde Session Manager l'autorisation d'effectuer des actions sur vos instances gérées Amazon EC2. Vous pouvez également inclure une politique pour accorder les autorisations nécessaires pour que les journaux de session soient envoyés à Amazon Simple Storage Service (Amazon S3) et Amazon CloudWatch Logs.
Après avoir créé le rôle IAM, pour plus d'informations sur la façon d'attacher le rôle à une instance, voir [Attacher ou remplacer un profil d'instance](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/) sur le AWS re:Post site Web. Pour plus d'informations sur les profils d'instance et les rôles IAM, veuillez consulter les rubriques [Utilisation de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) dans le *Guide de l'utilisateur IAM* et [Rôles IAM pour Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) dans le *Guide de l'utilisateur Amazon Elastic Compute Cloud pour les instances Linux*. Pour plus d’informations sur la création d’un rôle de service IAM pour les ordinateurs sur site, consultez [Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html).
**Topics**
+ [Création d'un rôle IAM avec les autorisations Session Manager minimales (console)](#create-iam-instance-profile-ssn-only)
+ [Création d'un rôle IAM avec des autorisations pour Session Manager Amazon S3 et CloudWatch Logs (console)](#create-iam-instance-profile-ssn-logging)
## Création d'un rôle IAM avec les autorisations Session Manager minimales (console)
Procédez comme suit pour créer un rôle IAM personnalisé avec une politique qui autorise uniquement des actions Session Manager sur vos instances.
**Création d'un profil d'instance avec des autorisations Session Manager minimales**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, sélectionnez **Politiques**, puis **Créer une politique**. (Si un bouton **Get Started [Mise en route]** est affiché, sélectionnez-le, puis **Create Policy [Créer une politique]**.)
1. Sélectionnez l'onglet **JSON**.
1. Remplacez le contenu par défaut par la politique suivante. Pour chiffrer les données de session à l'aide de AWS Key Management Service (AWS KMS), *key-name* remplacez-le par le Amazon Resource Name (ARN) de AWS KMS key celui que vous souhaitez utiliser.
**Note**
Si l'`ssmmessages:OpenControlChannel`autorisation est supprimée des politiques associées à votre profil d'instance IAM ou à votre rôle de service IAM, SSM Agent le nœud géré perd la connectivité avec le service Systems Manager dans le cloud. Cependant, la résiliation d'une connexion peut prendre jusqu'à 1 heure après la suppression de l'autorisation. Il s'agit du même comportement que lorsque le rôle d'instance IAM ou le rôle de service IAM est supprimé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Pour de plus amples informations sur l'utilisation d'une clé CMK pour chiffrer les données de session, consultez [Activer le chiffrement des données de session par clé KMS (console)](session-preferences-enable-encryption.md).
Si vous n'avez pas l'intention d'utiliser le AWS KMS chiffrement pour les données de votre session, vous pouvez supprimer le contenu suivant de la politique.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Choisissez **Suivant : Balises**.
1. (Facultatif) Ajoutez des identifications en choisissant **Add tag** (Ajouter une identification), et en saisissant les identifications préférées de la politique.
1. Choisissez **Suivant : Vérification**.
1. Sur la page **Examiner une politique**, dans le champ **Nom**, saisissez un nom pour la politique en ligne, tel que **SessionManagerPermissions**.
1. (Facultatif) Dans le champ **Description**, saisissez une description pour la politique.
1. Sélectionnez **Créer une politique**.
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Sur la page **Créer un rôle**, choisissez **Service AWS **, et pour **Cas d'utilisation**, choisissez **EC2**.
1. Choisissez **Suivant**.
1. Sur la page **Attached permissions policy** (Politique d'autorisations attachée), cochez la case située à gauche du nom de la politique que vous venez de créer, tel que **SessionManagerPermissions**.
1. Choisissez **Suivant**.
1. Sur la page **Review** (Vérifier), pour **Role name** (Nom du rôle), saisissez un nom pour le rôle IAM, tel que **MySessionManagerRole**.
1. (Facultatif) Dans le champ **Description du rôle**, saisissez une description pour le profil d'instance.
1. (Facultatif) Ajoutez des identifications en choisissant **Add tag** (Ajouter une identification), et en saisissant les identifications préférées du rôle.
Choisissez **Créer un rôle**.
Pour de plus amples informations sur les actions `ssmmessages`, veuillez consulter [Référence : ec2messages, ssmmessages et autres opérations d'API](systems-manager-setting-up-messageAPIs.md).
## Création d'un rôle IAM avec des autorisations pour Session Manager Amazon S3 et CloudWatch Logs (console)
Procédez comme suit pour créer un rôle IAM personnalisé avec une politique qui autorise des actions Session Manager sur vos instances. La politique fournit également les autorisations nécessaires pour que les journaux de session soient stockés dans des compartiments Amazon Simple Storage Service (Amazon S3) et des groupes de journaux CloudWatch Amazon Logs.
**Important**
Pour produire les journaux de session dans un compartiment Amazon S3 appartenant à un autre Compte AWS, vous devez ajouter l'autorisation `s3:PutObjectAcl` à la politique de rôle IAM. En outre, vous devez vous assurer que la politique relative aux compartiments accorde un accès intercompte au rôle IAM utilisé par le compte propriétaire pour accorder des autorisations Systems Manager aux instances gérées. Si le compartiment utilise le chiffrement KMS (Key Management Service), la politique KMS du compartiment doit également accorder cet accès intercompte. Pour plus d'informations sur la configuration des autorisations de compartiment intercomptes dans Amazon S3, veuillez consulter la rubrique [Accorder des autorisations intercomptes sur un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) du *Guide de l'utilisateur Amazon Simple Storage Service*. Si les autorisations intercomptes ne sont pas ajoutées, le compte qui possède le compartiment Amazon S3 ne peut pas accéder aux journaux de sortie de la session.
Pour en savoir plus sur la spécification des préférences de stockage des journaux de session, consultez [Activation et désactivation de l’enregistrement de la session](session-manager-logging.md).
**Pour créer un rôle IAM avec des autorisations pour Session Manager Amazon S3 et CloudWatch Logs (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, sélectionnez **Politiques**, puis **Créer une politique**. (Si un bouton **Get Started [Mise en route]** est affiché, sélectionnez-le, puis **Create Policy [Créer une politique]**.)
1. Sélectionnez l'onglet **JSON**.
1. Remplacez le contenu par défaut par la politique suivante. Remplacez chaque *example resource placeholder* par vos propres informations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"ssm:UpdateInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
},
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "*"
}
]
}
```
------
1. Choisissez **Suivant : Balises**.
1. (Facultatif) Ajoutez des identifications en choisissant **Add tag** (Ajouter une identification), et en saisissant les identifications préférées de la politique.
1. Choisissez **Suivant : Vérification**.
1. Sur la page **Examiner une politique**, dans le champ **Nom**, saisissez un nom pour la politique en ligne, tel que **SessionManagerPermissions**.
1. (Facultatif) Dans le champ **Description**, saisissez une description pour la politique.
1. Sélectionnez **Créer une politique**.
1. Dans le volet de navigation, sélectionnez **Rôles**, puis **Créer un rôle**.
1. Sur la page **Créer un rôle**, choisissez **Service AWS **, et pour **Cas d'utilisation**, choisissez **EC2**.
1. Choisissez **Suivant**.
1. Sur la page **Attached permissions policy** (Politique d'autorisations attachée), cochez la case située à gauche du nom de la politique que vous venez de créer, tel que **SessionManagerPermissions**.
1. Choisissez **Suivant**.
1. Sur la page **Review** (Vérifier), pour **Role name** (Nom du rôle), saisissez un nom pour le rôle IAM, tel que **MySessionManagerRole**.
1. (Facultatif) Dans le champ **Role description** (Description du rôle), saisissez la description du nouveau rôle.
1. (Facultatif) Ajoutez des identifications en choisissant **Add tag** (Ajouter une identification), et en saisissant les identifications préférées du rôle.
1. Choisissez **Créer un rôle**.