Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy IAM per Session Manager
Usa gli esempi in questa sezione per aiutarti a creare policy AWS Identity and Access Management (IAM) che forniscano le autorizzazioni più comunemente necessarie per Session Manager accesso.
Politiche Quickstart per gli utenti finali per Session Manager
Utilizza i seguenti esempi per creare policy IAM per gli utenti finali per Session Manager.
Puoi creare una policy che consenta agli utenti di avviare sessioni solo da Session Manager console e AWS Command Line Interface (AWS CLI), solo dalla console Amazon Elastic Compute Cloud (Amazon EC2) o da tutte e tre.
Queste policy offrono agli utenti finali la possibilità di avviare una sessione per una determinato nodo gestito nonché la possibilità di terminare solo le proprie sessioni. Per alcuni esempi di personalizzazioni che potresti applicare alla policy, fai riferimento a Esempi aggiuntivi di policy IAM per Session Manager.
Nei seguenti esempi di policy, sostituisci ognuna example
resource placeholder con le tue informazioni.
Scegliere una delle seguenti schede per visualizzare e policy di esempio per l'intervallo di accesso alla sessione che si desidera fornire.
- Session Manager and Fleet Manager
-
Utilizzate questa politica di esempio per offrire agli utenti la possibilità di avviare e riprendere le sessioni solo da Session Manager e Fleet Manager console.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/instance-id",
"arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell" 
]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey" 
],
"Resource": "key-name"
}
]
}
- Amazon EC2
-
Utilizza questa policy di esempio per offrire agli utenti la possibilità di avviare e riprendere le sessioni solo dalla EC2 console Amazon. Questa politica non fornisce tutte le autorizzazioni necessarie per avviare le sessioni dal Session Manager console e. AWS CLI
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand" 
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/instance-id",
"arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:username}-*"
]
}
]
}
- AWS CLI
-
Utilizzare questa policy di esempio per fornire agli utenti la possibilità di avviare e riprendere sessioni solo da AWS CLI.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/instance-id",
"arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-name"
}
]
}
1 SSM-SessionManagerRunShell è il nome predefinito del documento SSM che Session Manager crea per memorizzare le preferenze di configurazione della sessione. Puoi creare un documento di sessione personalizzato e specificarlo in questa policy. È inoltre possibile specificare il documento AWS fornito AWS-StartSSHSession per gli utenti che iniziano le sessioni utilizzando SSH. Per informazioni sui passaggi di configurazione necessari per supportare le sessioni che utilizzano SSH, vedere (Facoltativo) Consentire e controllare le autorizzazioni per le connessioni SSH tramite Session Manager.
2 L'autorizzazione kms:GenerateDataKey consente la creazione di una chiave di crittografia dei dati che verrà utilizzata per crittografare i dati delle sessioni. Se utilizzerai la crittografia AWS Key Management Service (AWS KMS) per i dati della sessione, key-name sostituiscila con l'Amazon Resource Name (ARN) della chiave KMS che desideri utilizzare, nel formato. arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE Se non utilizzi la crittografia delle chiavi KMS per i dati delle sessioni, rimuovi i seguenti contenuti dalla policy:
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-name"
}
Per informazioni sull'utilizzo AWS KMS per crittografare i dati della sessione, consulta. Attiva la crittografia delle chiavi KMS per i dati delle sessioni (console)
3 L'autorizzazione per SendCommandè necessario nei casi in cui un utente tenta di avviare una sessione dalla EC2 console Amazon, ma SSM Agent deve essere aggiornato alla versione minima richiesta per Session Manager prima di iniziare. Run Command viene utilizzato per inviare un comando all'istanza per aggiornare l'agente.
Politica di amministrazione Quickstart per Session Manager
Utilizza i seguenti esempi per creare politiche di amministrazione IAM per Session Manager.
Queste policy offrono agli amministratori la possibilità di avviare una sessione per i nodi gestiti contrassegnati con il tag Key=Finance,Value=WebServers, l'autorizzazione di creare, aggiornare ed eliminare le preferenze nonché l'autorizzazione di terminare solo le proprie sessioni. Per alcuni esempi di personalizzazioni che potresti applicare alla policy, fai riferimento a Esempi aggiuntivi di policy IAM per Session Manager.
Puoi creare una policy che consenta agli amministratori di eseguire queste attività solo da Session Manager console e AWS CLI, solo dalla EC2 console Amazon, o da tutte e tre.
Nei seguenti esempi di policy, sostituisci ognuna example
resource placeholder con le tue informazioni.
Scegliere una delle seguenti schede per visualizzare le policy di esempio per lo scenario di accesso che si desidera supportare.
- Session Manager and CLI
-
Utilizzate questa politica di esempio per offrire agli amministratori la possibilità di eseguire attività relative alla sessione solo da Session Manager console e. AWS CLI Questa politica non fornisce tutte le autorizzazioni necessarie per eseguire attività relative alla sessione dalla console Amazon. EC2
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument",
"ssm:StartSession"
],
"Resource": "arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
- Amazon EC2
-
Utilizza questa policy di esempio per offrire agli amministratori la possibilità di eseguire attività relative alla sessione solo dalla console Amazon. EC2 Questa politica non fornisce tutte le autorizzazioni necessarie per eseguire attività relative alla sessione dal Session Manager console e. AWS CLI
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
- Session Manager, CLI, and Amazon EC2
-
Utilizza questo criterio di esempio per offrire agli amministratori la possibilità di eseguire attività relative alla sessione dal Session Manager console AWS CLI, la e la EC2 console Amazon.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument",
"ssm:StartSession"
],
"Resource": "arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
1 L'autorizzazione per SendCommandè necessario nei casi in cui un utente tenta di avviare una sessione dalla EC2 console Amazon, ma è necessario inviare un comando per l'aggiornamento SSM Agent prima di iniziare.
