• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# ステップ 2: Session Manager のインスタンスのアクセス権限の確認または追加
デフォルトでは、AWS Systems Manager にはインスタンスでアクションを実行する権限がありません。インスタンスのアクセス許可は、AWS Identity and Access Management (IAM) ロールを使用してアカウントレベルで付与するか、またはインスタンスプロファイルを使用してインスタンスレベルで付与することができます。可能であれば、デフォルトのホスト管理設定を使用してアカウントレベルでアクセスを付与することをお勧めします。`AmazonSSMManagedEC2InstanceDefaultPolicy` ポリシーを使用してアカウントのデフォルトホスト管理設定を既にセットアップしている場合は、次のステップに進むことができます。デフォルトのホスト管理設定の詳細については、「[Default Host Management Configuration を使用した EC2 インスタンスの自動管理](fleet-manager-default-host-management-configuration.md)」を参照してください。
インスタンスプロファイルを使用してインスタンスに必要なアクセス権限を提供することもできます。インスタンスプロファイルは IAM ロールを Amazon EC2 インスタンスに渡します。IAM インスタンスプロファイルは、起動時の Amazon EC2 インスタンスまたは以前に起動したインスタンスにアタッチできます。詳細については[インスタンスプロファイルの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html)をご参照ください。
オンプレミスサーバーまたは仮想マシン (VM) の場合、アクセス許可はハイブリッドアクティベーションに関連付けられた IAM サービスロールによって付与されます。ハイブリッドアクティベーションは、Systems Manager 付きオンプレミスサーバーおよび VM の登録に使用します。オンプレミスサーバーと VM はインスタンスプロファイルを使用しません。
Run Command や Parameter Store など、他の Systems Manager ツールを既に使用している場合、Session Manager に必要な基本許可を持つインスタンスプロファイルが既に Amazon EC2 インスタンスに添付されている可能性があります。AWS 管理ポリシー `AmazonSSMManagedInstanceCore` を含むインスタンスプロファイルが既にインスタンスにアタッチされている場合、Session Manager に必要なアクセス許可は既に付与されています。これはハイブリッドアクティベーションで使用される IAM サービスロールに `AmazonSSMManagedInstanceCore` 管理ポリシーが含まれる場合も適用されます。
ただし、場合によっては、インスタンスプロファイルにアタッチされたアクセス許可を変更する必要があります。例えば、インスタンスのアクセス許可のセットを絞り込む場合、インスタンスプロファイルのカスタムポリシーを作成した場合、Amazon Simple Storage Service (Amazon S3) 暗号化オプションまたは AWS Key Management Service (AWS KMS) 暗号化オプションを使用してセッションデータを保護する場合などです。このような場合は、次のいずれかを実行して、インスタンスで Session Manager アクションを実行できるようにします。
+ **カスタム IAM ロールの Session Manager アクション用の許可を埋め込む**
AWS が提供するデフォルトのポリシー `AmazonSSMManagedInstanceCore` に依存しない既存の IAM ロールに Session Manager アクションのアクセス許可を追加するには、次の [既存の IAM ロールに Session Manager 許可を追加する](getting-started-add-permissions-to-existing-profile.md) の手順に従います。
+ **Session Manager の許可のみ付与したカスタム IAM ロールを作成**
Session Manager アクションのみの許可を含む IAM ロールを作成する場合、[Session Manager のカスタム IAM ロールを作成](getting-started-create-iam-instance-profile.md) のステップにしたがいます。
+ **すべての Systems Manager アクション用の許可を持った新しい IAM ロールの作成と使用**
AWS が提供するデフォルトポリシーを使用する Systems Manager マネージドインスタンスの IAM ロールを作成してすべての Systems Manager にアクセス許可を付与する場合は、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」のステップに従います。
**Topics**
+ [既存の IAM ロールに Session Manager 許可を追加する](getting-started-add-permissions-to-existing-profile.md)
+ [Session Manager のカスタム IAM ロールを作成](getting-started-create-iam-instance-profile.md)
# 既存の IAM ロールに Session Manager 許可を追加する
以下の手順を使用して、既存の AWS Identity and Access Management (IAM) ロールに Session Manager 権限を追加します。既存のロールに権限を追加することで、インスタンス権限に AWS `AmazonSSMManagedInstanceCore` ポリシーを使用することなく、コンピューティング環境のセキュリティを強化できます。
**注記**
以下の情報に注意してください。
この手順は、アクセスを許可するアクションに対する他の Systems Manager `ssm` 権限が、既存のロールに既に含まれていることを前提とします。このポリシーだけでは、Session Manager を使用するには十分ではありません。
次のポリシー例には、`s3:GetEncryptionConfiguration` アクションが含まれています。このアクションは、Session Manager ロギング設定で **[S3 ログ暗号化を強制]** オプションインを選択した場合に必要です。
IAM インスタンスプロファイルまたは IAM サービスロールにアタッチされたポリシーから `ssmmessages:OpenControlChannel` アクセス許可が削除されると、マネージドノード上の SSM Agent はクラウド内の Systems Manager サービスへの接続を失います。ただし、アクセス許可が削除された後、接続が終了するまでに最大 1 時間かかる場合があります。これは、IAM インスタンスロールまたは IAM サービスロールが削除されたときと同じ動作です。
**Session Manager の許可を既存のロール (コンソール) に追加する場合**
1. AWS マネジメントコンソール にサインインして、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. ナビゲーションペインで **Roles (ロール)** を選択します。
1. アクセス許可を追加するロール名を選択します。
1. **[アクセス許可]** タブを選択します。
1. **[アクセス許可の追加]**、**[インラインポリシーの作成]** の順に選択します。
1. **JSON** タブを選択します。
1. デフォルトのポリシーコンテンツを次のコンテンツに置き換えます。*key-name* を、使用する AWS Key Management Service キー (AWS KMS key) の Amazon リソースネーム (ARN) に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
セッションデータを暗号化するための KMS キーの使用については、「[セッションデータの KMS キー暗号化を有効にする (コンソール)](session-preferences-enable-encryption.md)」を参照してください。
セッションデータに AWS KMS 暗号化を使用しない場合は、ポリシーから以下のコンテンツを削除できます。
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. (オプション) **[Add tag]** (タグを追加) を選択してタグを追加し、ポリシーの優先タグを入力します。
1. **[次へ: レビュー]** を選択します。
1. [**Review policy (ポリシーの確認)**] ページで、[**Name (名前)**] にインラインポリシーの名前を入力します (**SessionManagerPermissions** など)。
1. (オプション) [**Description (説明)**] に、ポリシーの説明を入力します。
[**Create policy**] を選択します。
`ssmmessages` アクションの詳細については、「[リファレンス: ec2messages、ssmmessages およびその他の API オペレーション](systems-manager-setting-up-messageAPIs.md)」を参照してください。
# Session Manager のカスタム IAM ロールを作成
Amazon EC2 マネージドインスタンスでアクションを実行する許可を Session Manager に付与する AWS Identity and Access Management (IAM) ロールを作成できます。Amazon Simple Storage Service (Amazon S3) と Amazon CloudWatch Logs に送信されるセッションログの許可を付与するポリシーを作成することもできます。
IAM ロールを作成後、インスタンスのロールをアタッチする情報については、AWS re:Post ウェブサイトの「[インスタンスプロファイルをアタッチまたは置き換え](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/)」を参照してください。IAM インスタンスのプロファイルとロールの詳細については、「IAM ユーザーガイド」の「[インスタンスプロファイルの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)」と、「Linux インスタンス用 Amazon Elastic Compute Cloud ユーザーガイド」の「[Amazon EC2 の IAM ロールの使用](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)」を参照してください。オンプレミスマシンの IAM サービスロールの作成における詳細については、「[ハイブリッドおよびマルチクラウド環境で Systems Manager に必要な IAM サービスロールを作成する](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html)」を参照してください。
**Topics**
+ [最小限の Session Manager 許可 (コンソール) を付与した IAM ロールの作成](#create-iam-instance-profile-ssn-only)
+ [Session Manager、Amazon S3、CloudWatch Logs (コンソール) の許可を持つIAM ロールの作成](#create-iam-instance-profile-ssn-logging)
## 最小限の Session Manager 許可 (コンソール) を付与した IAM ロールの作成
以下の手順にしたがって、インスタンス上の Session Manager アクションのみに許可を付与するポリシーが付いたカスタム IAM ロールを作成します。
**最小限の Session Manager アクセス権限でインスタンスプロファイルを作成するには (コンソール)**
1. AWS マネジメントコンソール にサインインして、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで、[**Policies**] を選択し、次に [**Create policy**] を選択します。([**Get Started**] ボタンが表示された場合は、そのボタンを選択してから、[**Create Policy**] を選択します)。
1. [**JSON**] タブを選択します。
1. デフォルトの内容を次のポリシーに置き換えます。AWS Key Management Service (AWS KMS) を使用してセッションデータを暗号化するには、*key-name* を、使用する AWS KMS key の Amazon リソースネーム (ARN) に置き換えます。
**注記**
IAM インスタンスプロファイルまたは IAM サービスロールにアタッチされたポリシーから `ssmmessages:OpenControlChannel` アクセス許可が削除されると、マネージドノード上の SSM Agent はクラウド内の Systems Manager サービスへの接続を失います。ただし、アクセス許可が削除された後、接続が終了するまでに最大 1 時間かかる場合があります。これは、IAM インスタンスロールまたは IAM サービスロールが削除されたときと同じ動作です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
セッションデータを暗号化するための KMS キーの使用については、「[セッションデータの KMS キー暗号化を有効にする (コンソール)](session-preferences-enable-encryption.md)」を参照してください。
セッションデータに AWS KMS 暗号化を使用しない場合は、ポリシーから以下のコンテンツを削除できます。
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. (オプション) **[Add tag]** (タグを追加) を選択してタグを追加し、ポリシーの優先タグを入力します。
1. **[次へ: レビュー]** を選択します。
1. [**Review policy (ポリシーの確認)**] ページで、[**Name (名前)**] にインラインポリシーの名前を入力します (**SessionManagerPermissions** など)。
1. (オプション) [**Description (説明)**] に、ポリシーの説明を入力します。
1. [**Create policy**] を選択します。
1. ナビゲーションペインで [**Roles**] を選択し、続いて [**Create role**] を選択します。
1. **[ロールを作成]** ページで **[AWS サービス]** を選択して、**[ユースケース]** で **[EC2]** を選択します。
1. [**次へ**] を選択します。
1. **[Add permissions]** (アクセス許可を追加) ページで、先ほど作成したポリシーの名前 (**SessionManagerPermissions** など) の左側にあるチェックボックスをオンにします。
1. [**次へ**] を選択します。
1. **[Name, review, and create]** (名前、確認、および作成) ページの **[Role name]** (ロール名) に、IAM ロールの名前 (**MySessionManagerRole** など) を入力します。
1. (オプション) [**Role description (ロールの説明)**] に、インスタンスプロファイルの説明を入力します。
1. (オプション) **[Add tag]** (タグを追加) を選択してタグを追加し、ロールの優先タグを入力します。
[**ロールの作成**] を選択してください。
`ssmmessages` アクションの詳細については、「[リファレンス: ec2messages、ssmmessages およびその他の API オペレーション](systems-manager-setting-up-messageAPIs.md)」を参照してください。
## Session Manager、Amazon S3、CloudWatch Logs (コンソール) の許可を持つIAM ロールの作成
以下の手順にしたがって、インスタンス上の Session Manager アクションに許可を付与するポリシーが付いたカスタム IAM ロールを作成します。このポリシーは、セッションログを Amazon Simple Storage Service (Amazon S3) バケットおよび Amazon CloudWatch Logs ロググループに保存するために必要なアクセス許可も提供します。
**重要**
セッションログを別の AWS アカウント によって所有されている Amazon S3 バケットに出力するには、IAM ロールポリシーに `s3:PutObjectAcl` の許可を追加する必要があります。さらに、バケットポリシーで、所有アカウントが使用する IAM ロールへのクロスアカウントアクセスを許可して、管理対象インスタンスに Systems Manager 許可を付与するようにする必要があります。バケットが Key Management Service (KMS) 暗号化を使用している場合は、バケットの KMS ポリシーでもこのクロスアカウントアクセスを許可する必要があります。Amazon S3 クロスアカウントバケットの許可の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「[クロスアカウントバケットパーミッションを付与する](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html)」を参照してください。クロスアカウントの許可が追加されていないと、Amazon S3 バケットを所有するアカウントはセッション出力ログにアクセスできません。
セッションログを保存するための設定の指定方法については、「[セッションロギングの有効化と無効化](session-manager-logging.md)」を参照してください。
**Session Manager、Amazon S3、CloudWatch Logs (コンソール) の許可を持つIAM ロールの作成方法**
1. AWS マネジメントコンソール にサインインして、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで、[**Policies**] を選択し、次に [**Create policy**] を選択します。([**Get Started**] ボタンが表示された場合は、そのボタンを選択してから、[**Create Policy**] を選択します)。
1. [**JSON**] タブを選択します。
1. デフォルトの内容を次のポリシーに置き換えます。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"ssm:UpdateInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
},
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "*"
}
]
}
```
------
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. (オプション) **[Add tag]** (タグを追加) を選択してタグを追加し、ポリシーの優先タグを入力します。
1. **[次へ: レビュー]** を選択します。
1. [**Review policy (ポリシーの確認)**] ページで、[**Name (名前)**] にインラインポリシーの名前を入力します (**SessionManagerPermissions** など)。
1. (オプション) [**Description (説明)**] に、ポリシーの説明を入力します。
1. [**Create policy**] を選択します。
1. ナビゲーションペインで [**Roles**] を選択し、続いて [**Create role**] を選択します。
1. **[ロールを作成]** ページで **[AWS サービス]** を選択して、**[ユースケース]** で **[EC2]** を選択します。
1. [**次へ**] を選択します。
1. **[Add permissions]** (アクセス許可を追加) ページで、先ほど作成したポリシーの名前 (**SessionManagerPermissions** など) の左側にあるチェックボックスをオンにします。
1. [**次へ**] を選択します。
1. **[Name, review, and create]** (名前、確認、および作成) ページの **[Role name]** (ロール名) に、IAM ロールの名前 (**MySessionManagerRole** など) を入力します。
1. (オプション) **[Role description]** (ロールの説明) に、ロールの説明を入力します。
1. (オプション) **[Add tag]** (タグを追加) を選択してタグを追加し、ロールの優先タグを入力します。
1. [**ロールの作成**] を選択してください。