• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager
Secara default, AWS Systems Manager tidak memiliki izin untuk melakukan tindakan pada instance Anda. Anda dapat memberikan izin instans di tingkat akun menggunakan peran AWS Identity and Access Management (IAM), atau di tingkat instans menggunakan profil instance. Jika kasus penggunaan Anda memungkinkan, kami sarankan untuk memberikan akses di tingkat akun menggunakan Konfigurasi Manajemen Host Default. Jika Anda telah menyiapkan Konfigurasi Manajemen Host Default untuk akun menggunakan `AmazonSSMManagedEC2InstanceDefaultPolicy` kebijakan, Anda dapat melanjutkan ke langkah berikutnya. Untuk informasi selengkapnya tentang Konfigurasi Manajemen Host Default, lihat[Mengelola instans EC2 secara otomatis dengan Konfigurasi Manajemen Host Default](fleet-manager-default-host-management-configuration.md).
Atau, Anda dapat menggunakan profil instans untuk memberikan izin yang diperlukan untuk instance Anda. Profil instans meneruskan peran IAM ke instans Amazon EC2. Anda dapat melampirkan profil instans IAM ke instans Amazon EC2 saat meluncurkannya atau ke instans yang diluncurkan sebelumnya. Untuk informasi selengkapnya, lihat [Menggunakan profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
Untuk server lokal atau mesin virtual (VMs), izin disediakan oleh peran layanan IAM yang terkait dengan aktivasi hibrid yang digunakan untuk mendaftarkan server lokal Anda dan dengan Systems VMs Manager. Server lokal dan VMs tidak menggunakan profil instans.
Jika Anda sudah menggunakan alat Systems Manager lainnya, seperti Run Command atauParameter Store, profil instans dengan izin dasar yang diperlukan untuk Session Manager mungkin sudah dilampirkan ke instans Amazon EC2 Anda. Jika profil instans yang berisi kebijakan AWS terkelola `AmazonSSMManagedInstanceCore` sudah dilampirkan ke instans Anda, izin yang diperlukan untuk sudah Session Manager disediakan. Ini juga berlaku jika peran layanan IAM yang digunakan dalam aktivasi hibrid Anda berisi kebijakan `AmazonSSMManagedInstanceCore` terkelola.
Namun, dalam beberapa kasus, Anda mungkin perlu memodifikasi izin yang terlampir ke profil instans Anda. Misalnya, Anda ingin memberikan kumpulan izin instans yang lebih sempit, Anda telah membuat kebijakan khusus untuk profil instans, atau Anda ingin menggunakan enkripsi Amazon Simple Storage Service (Amazon S3) AWS Key Management Service atau enkripsi AWS KMS() untuk mengamankan data sesi. Untuk kasus ini, lakukan salah satu hal berikut untuk memungkinkan Session Manager tindakan dilakukan pada instans Anda:
+ **Menyematkan izin untuk Session Manager tindakan dalam peran IAM kustom**
Untuk menambahkan izin Session Manager tindakan ke peran IAM yang ada yang tidak bergantung pada kebijakan default yang AWS disediakan`AmazonSSMManagedInstanceCore`, ikuti langkah-langkahnya. [Menambahkan Session Manager izin ke peran IAM yang ada](getting-started-add-permissions-to-existing-profile.md)
+ **Buat peran IAM khusus dengan Session Manager izin saja**
Untuk membuat peran IAM yang berisi izin hanya untuk Session Manager tindakan, ikuti langkah-langkahnya. [Buat peran IAM khusus untuk Session Manager](getting-started-create-iam-instance-profile.md)
+ **Membuat dan menggunakan peran IAM baru dengan izin untuk semua tindakan Systems Manager**
Untuk membuat peran IAM untuk instans terkelola Systems Manager yang menggunakan kebijakan default yang disediakan oleh AWS untuk memberikan semua izin Systems Manager, ikuti langkah-langkah dalam [Mengonfigurasi izin instans yang diperlukan untuk Systems](setup-instance-permissions.md) Manager.
**Topics**
+ [Menambahkan Session Manager izin ke peran IAM yang ada](getting-started-add-permissions-to-existing-profile.md)
+ [Buat peran IAM khusus untuk Session Manager](getting-started-create-iam-instance-profile.md)
# Menambahkan Session Manager izin ke peran IAM yang ada
Gunakan prosedur berikut untuk menambahkan Session Manager izin ke peran AWS Identity and Access Management (IAM) yang ada. Dengan menambahkan izin ke peran yang ada, Anda dapat meningkatkan keamanan lingkungan komputasi tanpa harus menggunakan AWS `AmazonSSMManagedInstanceCore` kebijakan, misalnya izin.
**catatan**
Perhatikan informasi berikut:
Prosedur ini mengasumsikan bahwa peran Anda yang ada sudah menyertakan `ssm` izin Systems Manager lainnya untuk tindakan yang ingin Anda izinkan akses. Kebijakan ini saja tidak cukup untuk digunakanSession Manager.
Contoh kebijakan berikut mencakup `s3:GetEncryptionConfiguration` tindakan. Tindakan ini diperlukan jika Anda memilih opsi **enkripsi log Enforce S3** di preferensi Session Manager logging.
Jika `ssmmessages:OpenControlChannel` izin dihapus dari kebijakan yang dilampirkan ke profil instans IAM atau peran layanan IAM Anda, SSM Agent pada node terkelola akan kehilangan konektivitas ke layanan Systems Manager di cloud. Namun, diperlukan waktu hingga 1 jam untuk koneksi dihentikan setelah izin dihapus. Ini adalah perilaku yang sama seperti ketika peran instans IAM atau peran layanan IAM dihapus.
**Untuk menambahkan Session Manager izin ke peran yang ada (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Pilih nama peran yang Anda tambahkan izin.
1. Pilih tab **Izin**.
1. Pilih **Tambahkan izin**, lalu pilih **Buat kebijakan sebaris**.
1. Pilih tab **JSON**.
1. Ganti konten kebijakan default dengan konten berikut. Ganti *key-name* dengan Amazon Resource Name (ARN) dari AWS Key Management Service key (AWS KMS key) yang ingin Anda gunakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Untuk informasi tentang menggunakan kunci KMS untuk mengenkripsi data sesi, lihat [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md).
Jika Anda tidak akan menggunakan AWS KMS enkripsi untuk data sesi, Anda dapat menghapus konten berikut dari kebijakan.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Pilih **Berikutnya: Tanda**.
1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.
1. Pilih **Berikutnya: Tinjauan**.
1. Pada halaman **Tinjau kebijakan**, untuk **Nama**, masukkan nama untuk kebijakan selaras, seperti **SessionManagerPermissions**.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk kebijakan.
Pilih **Buat kebijakan**.
Untuk informasi tentang `ssmmessages` tindakan, lihat[Referensi: ec2messages, ssmmessages, dan operasi API lainnya](systems-manager-setting-up-messageAPIs.md).
# Buat peran IAM khusus untuk Session Manager
Anda dapat membuat peran AWS Identity and Access Management (IAM) yang memberikan Session Manager izin untuk melakukan tindakan pada instans terkelola Amazon EC2 Anda. Anda juga dapat menyertakan kebijakan untuk memberikan izin yang diperlukan agar log sesi dikirim ke Amazon Simple Storage Service (Amazon S3) dan Amazon Logs. CloudWatch
Setelah Anda membuat peran IAM, untuk informasi tentang cara melampirkan peran ke instance, lihat [Melampirkan atau Mengganti Profil Instance](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/) di AWS re:Post situs web. Untuk informasi selengkapnya tentang profil dan peran instans IAM, lihat [Menggunakan profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) di *Panduan Pengguna IAM* dan [peran IAM untuk Amazon EC2 di Panduan Pengguna Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) *Elastic Compute Cloud* untuk Instans Linux. Untuk informasi selengkapnya tentang membuat peran layanan IAM untuk mesin lokal, lihat [Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html) multicloud.
**Topics**
+ [Membuat peran IAM dengan Session Manager izin minimal (konsol)](#create-iam-instance-profile-ssn-only)
+ [Membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)](#create-iam-instance-profile-ssn-logging)
## Membuat peran IAM dengan Session Manager izin minimal (konsol)
Gunakan prosedur berikut untuk membuat peran IAM kustom dengan kebijakan yang memberikan izin hanya untuk Session Manager tindakan pada instans Anda.
**Untuk membuat profil instance dengan Session Manager izin minimal (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dalam panel navigasi, pilih **Kebijakan**, dan kemudian pilih **Buat kebijakan**. (Jika tombol **Memulai** ditampilkan, pilih tombol tersebut, dan kemudian pilih **Buat kebijakan**.)
1. Pilih tab **JSON**.
1. Ganti konten default dengan kebijakan berikut. Untuk mengenkripsi data sesi menggunakan AWS Key Management Service (AWS KMS), ganti *key-name* dengan Amazon Resource Name (ARN) dari AWS KMS key yang ingin Anda gunakan.
**catatan**
Jika `ssmmessages:OpenControlChannel` izin dihapus dari kebijakan yang dilampirkan ke profil instans IAM atau peran layanan IAM Anda, SSM Agent pada node terkelola akan kehilangan konektivitas ke layanan Systems Manager di cloud. Namun, diperlukan waktu hingga 1 jam untuk koneksi dihentikan setelah izin dihapus. Ini adalah perilaku yang sama seperti ketika peran instans IAM atau peran layanan IAM dihapus.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Untuk informasi tentang menggunakan kunci KMS untuk mengenkripsi data sesi, lihat [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md).
Jika Anda tidak akan menggunakan AWS KMS enkripsi untuk data sesi, Anda dapat menghapus konten berikut dari kebijakan.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Pilih **Berikutnya: Tanda**.
1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.
1. Pilih **Berikutnya: Tinjauan**.
1. Pada halaman **Tinjau kebijakan**, untuk **Nama**, masukkan nama untuk kebijakan selaras, seperti **SessionManagerPermissions**.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk kebijakan.
1. Pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pada halaman **Buat peran**, pilih **AWS layanan**, dan untuk **kasus penggunaan**, pilih **EC2**.
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih kotak centang di sebelah kiri nama kebijakan yang baru saja Anda buat, seperti**SessionManagerPermissions**.
1. Pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, untuk **nama Peran**, masukkan nama untuk peran IAM, seperti**MySessionManagerRole**.
1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi untuk profil instans.
1. (Opsional) Tambahkan tag dengan memilih **Tambahkan tag**, dan masukkan tag pilihan untuk peran tersebut.
Pilih **Buat peran**.
Untuk informasi tentang `ssmmessages` tindakan, lihat[Referensi: ec2messages, ssmmessages, dan operasi API lainnya](systems-manager-setting-up-messageAPIs.md).
## Membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)
Gunakan prosedur berikut untuk membuat peran IAM kustom dengan kebijakan yang memberikan izin untuk Session Manager tindakan pada instans Anda. Kebijakan ini juga menyediakan izin yang diperlukan agar log sesi disimpan di bucket Amazon Simple Storage Service (Amazon S3) dan grup log Amazon Logs. CloudWatch
**penting**
Untuk menampilkan log sesi ke bucket Amazon S3 yang dimiliki oleh yang lain Akun AWS, Anda harus menambahkan `s3:PutObjectAcl` izin ke kebijakan peran IAM. Selain itu, Anda harus memastikan bahwa kebijakan bucket memberikan akses lintas akun ke peran IAM yang digunakan oleh akun pemilik untuk memberikan izin Systems Manager untuk instans terkelola. Jika bucket menggunakan enkripsi Key Management Service (KMS), maka kebijakan KMS bucket juga harus memberikan akses lintas akun ini. *Untuk informasi selengkapnya tentang mengonfigurasi izin bucket lintas akun di Amazon S3, lihat [Memberikan izin bucket lintas akun di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.* Jika izin lintas akun tidak ditambahkan, akun yang memiliki bucket Amazon S3 tidak dapat mengakses log keluaran sesi.
Untuk informasi tentang menentukan preferensi untuk menyimpan log sesi, lihat [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md).
**Untuk membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dalam panel navigasi, pilih **Kebijakan**, dan kemudian pilih **Buat kebijakan**. (Jika tombol **Memulai** ditampilkan, pilih tombol tersebut, dan kemudian pilih **Buat kebijakan**.)
1. Pilih tab **JSON**.
1. Ganti konten default dengan kebijakan berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"ssm:UpdateInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
},
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "*"
}
]
}
```
------
1. Pilih **Berikutnya: Tanda**.
1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.
1. Pilih **Berikutnya: Tinjauan**.
1. Pada halaman **Tinjau kebijakan**, untuk **Nama**, masukkan nama untuk kebijakan selaras, seperti **SessionManagerPermissions**.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk kebijakan.
1. Pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pada halaman **Buat peran**, pilih **AWS layanan**, dan untuk **kasus penggunaan**, pilih **EC2**.
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih kotak centang di sebelah kiri nama kebijakan yang baru saja Anda buat, seperti**SessionManagerPermissions**.
1. Pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, untuk **nama Peran**, masukkan nama untuk peran IAM, seperti**MySessionManagerRole**.
1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi untuk peran tersebut.
1. (Opsional) Tambahkan tag dengan memilih **Tambahkan tag**, dan masukkan tag pilihan untuk peran tersebut.
1. Pilih **Buat peran**.