• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Buat peran IAM khusus untuk Session Manager
Anda dapat membuat peran AWS Identity and Access Management (IAM) yang memberikan Session Manager izin untuk melakukan tindakan pada instans terkelola Amazon EC2 Anda. Anda juga dapat menyertakan kebijakan untuk memberikan izin yang diperlukan agar log sesi dikirim ke Amazon Simple Storage Service (Amazon S3) dan Amazon Logs. CloudWatch
Setelah Anda membuat peran IAM, untuk informasi tentang cara melampirkan peran ke instance, lihat [Melampirkan atau Mengganti Profil Instance](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/) di AWS re:Post situs web. Untuk informasi selengkapnya tentang profil dan peran instans IAM, lihat [Menggunakan profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) di *Panduan Pengguna IAM* dan [peran IAM untuk Amazon EC2 di Panduan Pengguna Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) *Elastic Compute Cloud* untuk Instans Linux. Untuk informasi selengkapnya tentang membuat peran layanan IAM untuk mesin lokal, lihat [Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html) multicloud.
**Topics**
+ [Membuat peran IAM dengan Session Manager izin minimal (konsol)](#create-iam-instance-profile-ssn-only)
+ [Membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)](#create-iam-instance-profile-ssn-logging)
## Membuat peran IAM dengan Session Manager izin minimal (konsol)
Gunakan prosedur berikut untuk membuat peran IAM kustom dengan kebijakan yang memberikan izin hanya untuk Session Manager tindakan pada instans Anda.
**Untuk membuat profil instance dengan Session Manager izin minimal (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dalam panel navigasi, pilih **Kebijakan**, dan kemudian pilih **Buat kebijakan**. (Jika tombol **Memulai** ditampilkan, pilih tombol tersebut, dan kemudian pilih **Buat kebijakan**.)
1. Pilih tab **JSON**.
1. Ganti konten default dengan kebijakan berikut. Untuk mengenkripsi data sesi menggunakan AWS Key Management Service (AWS KMS), ganti *key-name* dengan Amazon Resource Name (ARN) dari AWS KMS key yang ingin Anda gunakan.
**catatan**
Jika `ssmmessages:OpenControlChannel` izin dihapus dari kebijakan yang dilampirkan ke profil instans IAM atau peran layanan IAM Anda, SSM Agent pada node terkelola akan kehilangan konektivitas ke layanan Systems Manager di cloud. Namun, diperlukan waktu hingga 1 jam untuk koneksi dihentikan setelah izin dihapus. Ini adalah perilaku yang sama seperti ketika peran instans IAM atau peran layanan IAM dihapus.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Untuk informasi tentang menggunakan kunci KMS untuk mengenkripsi data sesi, lihat [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md).
Jika Anda tidak akan menggunakan AWS KMS enkripsi untuk data sesi, Anda dapat menghapus konten berikut dari kebijakan.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Pilih **Berikutnya: Tanda**.
1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.
1. Pilih **Berikutnya: Tinjauan**.
1. Pada halaman **Tinjau kebijakan**, untuk **Nama**, masukkan nama untuk kebijakan selaras, seperti **SessionManagerPermissions**.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk kebijakan.
1. Pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pada halaman **Buat peran**, pilih **AWS layanan**, dan untuk **kasus penggunaan**, pilih **EC2**.
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih kotak centang di sebelah kiri nama kebijakan yang baru saja Anda buat, seperti**SessionManagerPermissions**.
1. Pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, untuk **nama Peran**, masukkan nama untuk peran IAM, seperti**MySessionManagerRole**.
1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi untuk profil instans.
1. (Opsional) Tambahkan tag dengan memilih **Tambahkan tag**, dan masukkan tag pilihan untuk peran tersebut.
Pilih **Buat peran**.
Untuk informasi tentang `ssmmessages` tindakan, lihat[Referensi: ec2messages, ssmmessages, dan operasi API lainnya](systems-manager-setting-up-messageAPIs.md).
## Membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)
Gunakan prosedur berikut untuk membuat peran IAM kustom dengan kebijakan yang memberikan izin untuk Session Manager tindakan pada instans Anda. Kebijakan ini juga menyediakan izin yang diperlukan agar log sesi disimpan di bucket Amazon Simple Storage Service (Amazon S3) dan grup log Amazon Logs. CloudWatch
**penting**
Untuk menampilkan log sesi ke bucket Amazon S3 yang dimiliki oleh yang lain Akun AWS, Anda harus menambahkan `s3:PutObjectAcl` izin ke kebijakan peran IAM. Selain itu, Anda harus memastikan bahwa kebijakan bucket memberikan akses lintas akun ke peran IAM yang digunakan oleh akun pemilik untuk memberikan izin Systems Manager untuk instans terkelola. Jika bucket menggunakan enkripsi Key Management Service (KMS), maka kebijakan KMS bucket juga harus memberikan akses lintas akun ini. *Untuk informasi selengkapnya tentang mengonfigurasi izin bucket lintas akun di Amazon S3, lihat [Memberikan izin bucket lintas akun di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.* Jika izin lintas akun tidak ditambahkan, akun yang memiliki bucket Amazon S3 tidak dapat mengakses log keluaran sesi.
Untuk informasi tentang menentukan preferensi untuk menyimpan log sesi, lihat [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md).
**Untuk membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dalam panel navigasi, pilih **Kebijakan**, dan kemudian pilih **Buat kebijakan**. (Jika tombol **Memulai** ditampilkan, pilih tombol tersebut, dan kemudian pilih **Buat kebijakan**.)
1. Pilih tab **JSON**.
1. Ganti konten default dengan kebijakan berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"ssm:UpdateInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
},
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "*"
}
]
}
```
------
1. Pilih **Berikutnya: Tanda**.
1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.
1. Pilih **Berikutnya: Tinjauan**.
1. Pada halaman **Tinjau kebijakan**, untuk **Nama**, masukkan nama untuk kebijakan selaras, seperti **SessionManagerPermissions**.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk kebijakan.
1. Pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pada halaman **Buat peran**, pilih **AWS layanan**, dan untuk **kasus penggunaan**, pilih **EC2**.
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih kotak centang di sebelah kiri nama kebijakan yang baru saja Anda buat, seperti**SessionManagerPermissions**.
1. Pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, untuk **nama Peran**, masukkan nama untuk peran IAM, seperti**MySessionManagerRole**.
1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi untuk peran tersebut.
1. (Opsional) Tambahkan tag dengan memilih **Tambahkan tag**, dan masukkan tag pilihan untuk peran tersebut.
1. Pilih **Buat peran**.