Avviare una sessione di shell predefinita specificando il documento di sessione predefinito nelle policy IAM - AWS Systems Manager

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Avviare una sessione di shell predefinita specificando il documento di sessione predefinito nelle policy IAM

Quando si configura Session Manager per Account AWS o quando si modificano le preferenze di sessione nella console Systems Manager, il sistema crea un documento di sessione SSM chiamatoSSM-SessionManagerRunShell. Questo è il documento di sessione predefinito. Session Manager utilizza questo documento per memorizzare le preferenze di sessione, che includono informazioni come le seguenti:

  • Una posizione in cui desideri salvare i dati della sessione, ad esempio un bucket Amazon Simple Storage Service (Amazon S3) o un gruppo di log CloudWatch Amazon Logs.

  • Un ID chiave AWS Key Management Service (AWS KMS) per crittografare i dati della sessione.

  • Se il supporto Run As è consentito o meno per le sessioni.

Ecco un esempio delle informazioni contenute nel documento sulle preferenze di sessione SSM-SessionManagerRunShell.

{
  "schemaVersion": "1.0",
  "description": "Document to hold regional settings for Session Manager",
  "sessionType": "Standard_Stream",
  "inputs": {
    "s3BucketName": "amzn-s3-demo-bucket",
    "s3KeyPrefix": "MyS3Prefix",
    "s3EncryptionEnabled": true,
    "cloudWatchLogGroupName": "MyCWLogGroup",
    "cloudWatchEncryptionEnabled": false,
    "kmsKeyId": "1a2b3c4d",
    "runAsEnabled": true,
    "runAsDefaultUser": "RunAsUser"
  }
}

Per impostazione predefinita, Session Manager utilizza il documento di sessione predefinito quando un utente avvia una sessione dalla Console di gestione AWS. Questo vale per Fleet Manager o Session Manager nella console Systems Manager o EC2 Connect nella EC2 console Amazon. Session Managerutilizza anche il documento di sessione predefinito quando un utente avvia una sessione utilizzando un AWS CLI comando come nell'esempio seguente:

aws ssm start-session \
    --target i-02573cafcfEXAMPLE

Per accedere alla sessione di shell predefinita, è necessario specificare il documento di sessione predefinito nella policy IAM, come mostrato nell'esempio seguente.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnableSSMSession",
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:111122223333:instance/instance-id",
        "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssmmessages:OpenDataChannel"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}