Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 2: Verifica o aggiungi le autorizzazioni delle istanze per Session Manager
Per impostazione predefinita, AWS Systems Manager non è autorizzato a eseguire operazioni sulle istanze. È possibile fornire le autorizzazioni di istanza a livello di account utilizzando un ruolo AWS Identity and Access Management (IAM) o a livello di istanza utilizzando un profilo dell'istanza. Se il caso d'uso lo consente, ti consigliamo di concedere l'accesso a livello di account utilizzando la configurazione di gestione host predefinita. Se hai già impostato la configurazione di gestione host predefinita per il tuo account utilizzando la policy AmazonSSMManagedEC2InstanceDefaultPolicy, è possibile procedere con il passaggio successivo. Per ulteriori informazioni sulla configurazione di gestione host predefinita, consulta Gestione automatica delle EC2 istanze con la configurazione di gestione host predefinita.
In alternativa, è possibile utilizzare i profili di istanza per fornire le autorizzazioni necessarie alle tue istanze. Un profilo dell'istanza passa un ruolo IAM a un'istanza Amazon EC2. È possibile collegare un profilo dell'istanza IAM a un'istanza Amazon EC2 all'avvio o a un'istanza avviata in precedenza. Per ulteriori informazioni, consulta Utilizzo dei profili dell'istanza.
Per i server On-Premises o le macchine virtuali (VM), le autorizzazioni sono fornite dal ruolo di servizio IAM associato all'attivazione ibrida utilizzata per registrare i server e le VM locali con Systems Manager. I server e le macchine virtuali On-premises non utilizzano i profili delle istanze.
Se utilizzi già altre funzionalità di Systems Manager, ad esempio Run Command o Parameter Store, un profilo dell'istanza con le autorizzazioni di base richieste per il Session Manager potrebbe essere già associato alle tue istanze Amazon EC2. Se un profilo dell'istanza contenente la policy AmazonSSMManagedInstanceCore gestita da AWS è già associato alle tue istanze, le autorizzazioni richieste per Session Manager sono già fornite. Ciò vale anche se il ruolo di servizio IAM utilizzato nell'attivazione ibrida contiene la policy gestita AmazonSSMManagedInstanceCore.
Tuttavia, in alcuni casi, potrebbe essere necessario modificare le autorizzazioni collegate al profilo dell'istanza. Ad esempio, desideri fornire un set più ristretto di autorizzazioni dell'istanza, hai creato una policy personalizzata per il profilo dell'istanza oppure desideri utilizzare la crittografia Amazon Simple Storage Service (Amazon S3) per AWS Key Management Service (AWS KMS) per proteggere i dati della sessione. Per questi casi, procedi in uno dei seguenti modi per consentire l'esecuzione di operazioni Session Manager sulle istanze:
-
Incorpora autorizzazioni per operazioni Session Manager in un ruolo IAM personalizzato
Per aggiungere autorizzazioni per le operazioni di Session Manager a un ruolo IAM esistente che non si basa sulla policy di default
AmazonSSMManagedInstanceCorefornita da AWS, segui i passaggi riportati in Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente. -
Crea un ruolo IAM personalizzato solo con le autorizzazioni del Session Manager
Per creare un ruolo IAM che contenga solo le autorizzazioni per le operazioni del Session Manager, segui i passaggi riportati in Creare un ruolo IAM personalizzato per Session Manager.
-
Crea e utilizza un nuovo ruolo IAM con le autorizzazioni per tutte le operazioni di Systems Manager
Per creare un ruolo IAM per le istanze gestite di Systems Manager che utilizza una policy predefinita fornita da AWS con tutte le autorizzazioni di Systems Manager, segui i passaggi descritti in Configurazione delle autorizzazioni dell'istanza richieste per Systems Manager.
Argomenti
