• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立 Session Manager 的自訂 IAM 角色
您可以建立 AWS Identity and Access Management (IAM) 角色,授予在您的 Amazon EC2 受管執行個體上執行動作Session Manager的許可。您也可以包含一項政策,以授予將工作階段日誌傳送到 Amazon Simple Storage Service (Amazon S3) 和 Amazon CloudWatch Logs 所需的許可。
建立 IAM 角色後,如需如何將角色連接至執行個體的相關資訊,請參閱 AWS re:Post 網站上的[連接或取代執行個體描述](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/)檔。如需詳有關 IAM 執行個體設定檔和角色的細資訊,請參閱《IAM 使用者指南》**中的[使用執行個體描述檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)一節,以及《適用於 Linux 的 Amazon Elastic Compute Cloud 使用者指南》**中的 [Amazon EC2 IAM 角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)一節。如需有關為內部部署機器建立 IAM 服務角色的詳細資訊,請參閱[在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html)。
**Topics**
+ [建立具有最小 Session Manager 許可的 IAM 角色 (主控台)](#create-iam-instance-profile-ssn-only)
+ [建立具有 Session Manager、Amazon Simple Storage Service (Amazon S3) 和 CloudWatch Logs (主控台) 許可的 IAM 角色](#create-iam-instance-profile-ssn-logging)
## 建立具有最小 Session Manager 許可的 IAM 角色 (主控台)
請使用下列處理程序來建立具有政策的自訂 IAM 角色,該政策在您的執行個體上只提供唯一的 Session Manager 動作許可。
**建立含最小 Session Manager 許可的執行個體設定檔 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**政策**,然後選擇**建立政策**。(顯示 **Get Started** (開始使用) 按鈕時先選擇它,然後選擇 **Create Policy** (建立政策)。)
1. 選擇 **JSON** 標籤。
1. 將預設內容取代為以下政策。若要使用 AWS Key Management Service (AWS KMS) 加密工作階段資料,請以您要使用的 Amazon Resource Name AWS KMS key (ARN) 取代 *key-*name。
**注意**
如果從連接至 IAM 執行個體描述檔或 IAM 服務角色的政策中移除`ssmmessages:OpenControlChannel`許可,SSM Agent則受管節點上的 會失去與雲端中 Systems Manager 服務的連線。不過,在移除許可後,最多可能需要 1 小時才能終止連線。這與刪除 IAM 執行個體角色或 IAM 服務角色時的行為相同。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
如需使用 KMS 金鑰來加密工作階段資料的詳細資訊,請參閱 [開啟工作階段資料的 KMS 金鑰加密 (主控台)](session-preferences-enable-encryption.md)。
如果您不對工作階段資料使用 AWS KMS 加密,您可以從政策中移除下列內容。
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. 選擇下**一步:標籤**。
1. (選用) 透過選擇 **Add tag** (新增標籤),然後輸入政策的首選標籤來新增標籤。
1. 選擇下**一步:檢閱**。
1. 在**檢閱政策**頁面上**名稱**中,輸入該內嵌政策的名稱,例如 **SessionManagerPermissions**。
1. (選用) 在**說明**中輸入政策的說明。
1. 選擇**建立政策**。
1. 在導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 在 **Create role** (建立角色) 頁面上,選擇 **AWS service** (服務),針對 **Use case** (使用案例),選擇 **EC2**。
1. 選擇**下一步**。
1. 在 **Add permissions** (新增許可) 頁面,選取您剛建立政策左側的核取方塊,例如 **SessionManagerPermissions**。
1. 選擇**下一步**。
1. 在 **Name, review, and create** (名稱、檢閱和建立) 頁面的 **Role name** (角色名稱) 中,輸入 IAM 角色的名稱,例如 **MySessionManagerRole**。
1. (選用) **Role description (角色說明)**,輸入執行個體設定檔的說明。
1. (選用) 透過選擇 **Add tag** (新增標籤),然後輸入角色的首選標籤來新增標籤。
選擇建**立角色**。
如需有關 `ssmmessages` 動作的資訊,請參閱 [參考:ec2messages、ssmmessages 和其他 API 操作](systems-manager-setting-up-messageAPIs.md)。
## 建立具有 Session Manager、Amazon Simple Storage Service (Amazon S3) 和 CloudWatch Logs (主控台) 許可的 IAM 角色
請使用下列處理程序來建立具有政策自訂 IAM 角色,該政策在您的執行個體上提供 Session Manager 動作許可。此政策還提供在 Amazon Simple Storage Service (Amazon S3) 儲存貯體和 Amazon CloudWatch Logs 日誌群組中存放工作階段日誌的所需許可。
**重要**
若要將工作階段日誌輸出到不同 AWS 帳戶所擁有的 Amazon Simple Storage Service (Amazon S3) 儲存貯體,您必須將 `s3:PutObjectAcl` 許可新增至該 IAM 角色政策。此外,您必須確保該儲存貯體政策將跨帳戶存取權授予擁有該儲存貯體的帳戶,用於授予受管執行個體 Systems Manager 許可所使用的 IAM 角色。如果該儲存貯體使用 Key Management Service (KMS) 加密,則該儲存貯體的 KMS 政策也必須授予此跨帳戶存取權。如需有關在 Amazon S3 中設定跨帳戶儲存貯體許可的更多資訊,請參閱《Amazon Simple Storage Service 使用者指南》**中的[授予跨帳戶儲存貯體許可](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html)一節。如果未新增此許可,則擁有該 Amazon Simple Storage Service (Amazon S3) 儲存貯體的帳戶無法存取工作階段輸出日誌。
如需有關指定儲存工作階段日誌偏好的更多資訊,請參閱[啟用和停用工作階段記錄](session-manager-logging.md)。
**建立具有 Session Manager、Amazon Simple Storage Service (Amazon S3) 和 CloudWatch Logs (主控台) 許可的 IAM 角色**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇**政策**,然後選擇**建立政策**。(顯示 **Get Started** (開始使用) 按鈕時先選擇它,然後選擇 **Create Policy** (建立政策)。)
1. 選擇 **JSON** 標籤。
1. 將預設內容取代為以下政策。將每個*範例資源預留位置*取代為您自己的資訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"ssm:UpdateInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
},
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "*"
}
]
}
```
------
1. 選擇下**一步:標籤**。
1. (選用) 透過選擇 **Add tag** (新增標籤),然後輸入政策的首選標籤來新增標籤。
1. 選擇下**一步:檢閱**。
1. 在**檢閱政策**頁面上**名稱**中,輸入該內嵌政策的名稱,例如 **SessionManagerPermissions**。
1. (選用) 在**說明**中輸入政策的說明。
1. 選擇**建立政策**。
1. 在導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 在 **Create role** (建立角色) 頁面上,選擇 **AWS service** (服務),針對 **Use case** (使用案例),選擇 **EC2**。
1. 選擇**下一步**。
1. 在 **Add permissions** (新增許可) 頁面,選取您剛建立政策左側的核取方塊,例如 **SessionManagerPermissions**。
1. 選擇**下一步**。
1. 在 **Name, review, and create** (名稱、檢閱和建立) 頁面的 **Role name** (角色名稱) 中,輸入 IAM 角色的名稱,例如 **MySessionManagerRole**。
1. (選用) 在 **Role description (角色說明)** 中,輸入角色的說明。
1. (選用) 透過選擇 **Add tag** (新增標籤),然後輸入角色的首選標籤來新增標籤。
1. 選擇建**立角色**。