Einer vorhandenen IAM Rolle Session Manager Berechtigungen hinzufügen - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einer vorhandenen IAM Rolle Session Manager Berechtigungen hinzufügen

Gehen Sie wie folgt vor, um einer vorhandenen Rolle AWS Identity and Access Management (IAM) Session Manager Berechtigungen hinzuzufügen. Durch das Hinzufügen von Berechtigungen zu einer vorhandenen Rolle können Sie die Sicherheit Ihrer Computerumgebung erhöhen, ohne die AWS AmazonSSMManagedInstanceCore Richtlinie für Instanzberechtigungen verwenden zu müssen.

Anmerkung

Notieren Sie die folgenden Informationen:

  • Dieses Verfahren setzt voraus, dass Ihre vorhandene Rolle bereits andere Systems-Manager-ssm-Berechtigungen für Aktionen enthält, für die Sie den Zugriff erlauben möchten. Diese Richtlinie reicht allein nicht aus, um Session Manager verwenden zu können.

  • Das folgende Richtlinienbeispiel beinhaltet eine s3:GetEncryptionConfiguration-Aktion. Diese Aktion ist erforderlich, wenn Sie in den Session Manager-Protokollierungseinstellungen die Option S3-Protokollverschlüsselung erzwingen gewählt haben.

So fügen Sie Session Manager-Berechtigungen einer vorhandenen Rolle hinzu (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie den Namen der Rolle aus, zu der Sie die Berechtigungen hinzufügen möchten.

  4. Wählen Sie die Registerkarte Berechtigungen.

  5. Wählen Sie Berechtigungen hinzufügen und dann Eingebundene Richtlinie hinzufügen aus.

  6. Wählen Sie die JSONRegisterkarte.

  7. Ersetzen Sie den Inhalt der Standardrichtlinie durch den folgenden Inhalt. Ersetzen key-name mit dem Amazon-Ressourcennamen (ARN) des AWS Key Management Service Schlüssels (AWS KMS key), den Sie verwenden möchten.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

    Informationen zur Verwendung eines KMS Schlüssels zum Verschlüsseln von Sitzungsdaten finden Sie unterSo aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole).

    Wenn Sie für Ihre Sitzungsdaten keine AWS KMS Verschlüsselung verwenden, können Sie den folgenden Inhalt aus der Richtlinie entfernen.

    ,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

  8. Wählen Sie Weiter: Markierungen.

  9. (Optional) Fügen Sie Tags hinzu, indem SieAdd tag (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.

  10. Wählen Sie Weiter: Prüfen aus.

  11. Geben Sie auf der Seite Review Policy (Richtlinie prüfen) im Feld Name (Name) einen Namen für die Inline-Richtlinie ein, z. B. SessionManagerPermissions.

  12. (Optional) Geben Sie im Feld Description (Beschreibung) eine Beschreibung für die Richtlinie ein.

    Wählen Sie Create Policy (Richtlinie erstellen) aus.

Weitere Informationen über die ssmmessages-Aktionen finden Sie unter Referenz: ec2messages, ssmmessages und andere Operationen API.