Menambahkan Session Manager izin ke peran IAM yang ada - AWS Systems Manager

AWS Systems ManagerChange Managertidak lagi terbuka untuk pelanggan baru. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat perubahan AWS Systems ManagerChange Manager ketersediaan.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambahkan Session Manager izin ke peran IAM yang ada

Gunakan prosedur berikut untuk menambahkan Session Manager izin ke peran AWS Identity and Access Management (IAM) yang ada. Dengan menambahkan izin ke peran yang ada, Anda dapat meningkatkan keamanan lingkungan komputasi tanpa harus menggunakan AWS AmazonSSMManagedInstanceCore kebijakan, misalnya izin.

catatan

Perhatikan informasi berikut:

  • Prosedur ini mengasumsikan bahwa peran Anda yang ada sudah menyertakan ssm izin Systems Manager lainnya untuk tindakan yang ingin Anda izinkan akses. Kebijakan ini saja tidak cukup untuk digunakanSession Manager.

  • Contoh kebijakan berikut mencakup s3:GetEncryptionConfiguration tindakan. Tindakan ini diperlukan jika Anda memilih opsi enkripsi log Enforce S3 di preferensi Session Manager logging.

  • Jika ssmmessages:OpenControlChannel izin dihapus dari kebijakan yang dilampirkan ke profil instans IAM atau peran layanan IAM Anda, SSM Agent pada node terkelola akan kehilangan konektivitas ke layanan Systems Manager di cloud. Namun, diperlukan waktu hingga 1 jam untuk koneksi dihentikan setelah izin dihapus. Ini adalah perilaku yang sama seperti ketika peran instans IAM atau peran layanan IAM dihapus.

Untuk menambahkan Session Manager izin ke peran yang ada (konsol)

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran.

  3. Pilih nama peran yang Anda tambahkan izin.

  4. Pilih tab Izin.

  5. Pilih Tambahkan izin, lalu pilih Buat kebijakan sebaris.

  6. Pilih tab JSON.

  7. Ganti konten kebijakan default dengan konten berikut. Ganti key-name dengan Amazon Resource Name (ARN) dari AWS Key Management Service key (AWS KMS key) yang ingin Anda gunakan.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
        }
    ]
}

    Untuk informasi tentang menggunakan kunci KMS untuk mengenkripsi data sesi, lihat Aktifkan enkripsi kunci KMS data sesi (konsol).

    Jika Anda tidak akan menggunakan AWS KMS enkripsi untuk data sesi, Anda dapat menghapus konten berikut dari kebijakan.

    ,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

  8. Pilih Berikutnya: Tanda.

  9. (Opsional) Tambahkan tag dengan memilih Tambah tag, dan masukkan tag pilihan untuk kebijakan tersebut.

  10. Pilih Berikutnya: Tinjauan.

  11. Pada halaman Tinjau kebijakan, untuk Nama, masukkan nama untuk kebijakan selaras, seperti SessionManagerPermissions.

  12. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk kebijakan.

    Pilih Buat kebijakan.

Untuk informasi tentang ssmmessages tindakan, lihatReferensi: ec2messages, ssmmessages, dan operasi API lainnya.