Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente

Utilizza la procedura seguente per aggiungere autorizzazioni Session Manager a un ruolo AWS Identity and Access Management (IAM) esistente. Aggiungendo autorizzazioni a un ruolo esistente, è possibile migliorare la sicurezza dell'ambiente informatico senza dover utilizzare la AWS AmazonSSMManagedInstanceCore policy, ad esempio le autorizzazioni.

Nota

Prendi nota delle seguenti informazioni:

  • Questa procedura presuppone che il tuo ruolo esistente includa già altre autorizzazioni di Systems Manager ssm per le operazioni a cui desideri permettere l'accesso. Questa policy da sola non è sufficiente per l'utilizzo di Session Manager.

  • Il seguente esempio di policy include un'azione s3:GetEncryptionConfiguration. Questa azione è necessaria se hai scelto l'opzione Applica crittografia dei log S3 nelle preferenze di registrazione di Session Manager.

  • Se l'ssmmessages:OpenControlChannelautorizzazione viene rimossa dalle policy allegate al profilo dell'istanza IAM o al ruolo del servizio IAM, SSM Agent sul nodo gestito perde la connettività al servizio Systems Manager nel cloud. Tuttavia, può essere necessaria fino a 1 ora prima che una connessione venga interrotta dopo la rimozione dell'autorizzazione. Si tratta dello stesso comportamento che si verifica quando il ruolo dell'istanza IAM o il ruolo del servizio IAM vengono eliminati.

Per aggiungere le autorizzazioni Session Manager per il ruolo dell'istanza per un ruolo esistente (console)

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Seleziona il nome del ruolo al quale desideri aggiungere le autorizzazioni.

  4. Scegli la scheda Autorizzazioni.

  5. Scegli Aggiungi autorizzazioni, quindi scegli Aggiungi policy inline.

  6. Scegli la scheda JSON.

  7. Sostituisci il contenuto predefinito della policy con il seguente. Sostituisci key-name con l'Amazon Resource Name (ARN) della AWS Key Management Service chiave (AWS KMS key) che desideri utilizzare.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
        }
    ]
}

    Per ulteriori informazioni sull'utilizzo di una chiave KMS per crittografare i dati della sessione, consulta Attiva la crittografia delle chiavi KMS per i dati delle sessioni (console).

    Se non intendi utilizzare la AWS KMS crittografia per i dati della sessione, puoi rimuovere i seguenti contenuti dalla policy.

    ,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

  8. Scegli Successivo: Tag.

  9. (Facoltativo) Aggiungi i tag scegliendo Aggiungi tag e inserendo i tag preferiti per la policy.

  10. Seleziona Next: Revisione.

  11. Nella pagina Review policy (Rivedi policy), per l'opzione Name (Nome) specifica un nome per la policy inline, ad esempio SessionManagerPermissions.

  12. (Facoltativo) In Description (Descrizione), inserire una descrizione per la policy.

    Scegliere Create Policy (Crea policy).

Per informazioni sulle operazioni ssmmessages, consulta Referenza: ec2messages, ssmmessages e altre operazioni API.