Erstellen Sie eine benutzerdefinierte IAM Rolle für Session Manager - AWS Systems Manager
Eine IAM Rolle mit minimalen Session Manager Berechtigungen erstellen (Konsole)Eine IAM Rolle mit Berechtigungen für Amazon S3 Session Manager und CloudWatch Logs erstellen (Konsole)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine benutzerdefinierte IAM Rolle für Session Manager

Sie können eine Rolle AWS Identity and Access Management (IAM) erstellen, die Ihnen Session Manager die Berechtigung erteilt, Aktionen auf Ihren von Amazon EC2 verwalteten Instances durchzuführen. Sie können auch eine Richtlinie hinzufügen, um die Berechtigungen zu gewähren, die für das Senden von Sitzungsprotokollen an Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs erforderlich sind.

Nachdem Sie die IAM Rolle erstellt haben, finden Sie Informationen darüber, wie Sie die Rolle an eine Instance anhängen oder ersetzen können, auf der AWS re:Post Website unter Ein Instance-Profil anhängen oder ersetzen. Weitere Informationen zu IAM Instanzprofilen und Rollen finden Sie unter Verwenden von Instanzprofilen im IAMBenutzerhandbuch und unter IAMRollen für Amazon EC2 im Amazon Elastic Compute Cloud-Benutzerhandbuch für Linux-Instances. Weitere Informationen zum Erstellen einer IAM Servicerolle für lokale Maschinen finden Sie unter Erstellen der für Systems Manager erforderlichen IAM Servicerolle in Hybrid- und Multicloud-Umgebungen.

Eine IAM Rolle mit minimalen Session Manager Berechtigungen erstellen (Konsole)

Gehen Sie wie folgt vor, um eine benutzerdefinierte IAM Rolle mit einer Richtlinie zu erstellen, die nur Berechtigungen für Session Manager Aktionen auf Ihren Instances gewährt.

So erstellen Sie ein Instance-Profil mit den geringstmöglichen Session Manager-Berechtigungen (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen). (Wenn die Schaltfläche Get Started (Erste Schritte) angezeigt wird, klicken Sie darauf und wählen Sie anschließend Create Policy (Richtlinie erstellen) aus.)

  3. Wählen Sie die JSONRegisterkarte.

  4. Ersetzen Sie den Standardinhalt durch folgende Richtlinie. Um Sitzungsdaten mit AWS Key Management Service (AWS KMS) zu verschlüsseln, ersetzen Sie key-name mit dem Amazon-Ressourcennamen (ARN) der AWS KMS key , die Sie verwenden möchten.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

    Informationen zur Verwendung eines KMS Schlüssels zum Verschlüsseln von Sitzungsdaten finden Sie unterSo aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole).

    Wenn Sie für Ihre Sitzungsdaten keine AWS KMS Verschlüsselung verwenden, können Sie den folgenden Inhalt aus der Richtlinie entfernen.

    ,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

  5. Wählen Sie Weiter: Markierungen.

  6. (Optional) Fügen Sie Tags hinzu, indem SieAdd tag (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.

  7. Wählen Sie Weiter: Prüfen aus.

  8. Geben Sie auf der Seite Review Policy (Richtlinie prüfen) im Feld Name (Name) einen Namen für die Inline-Richtlinie ein, z. B. SessionManagerPermissions.

  9. (Optional) Geben Sie im Feld Description (Beschreibung) eine Beschreibung für die Richtlinie ein.

  10. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  11. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).

  12. Wählen Sie auf der Seite Rolle erstellen die Option AWS Dienst und für Anwendungsfall die Option EC2.

  13. Wählen Sie Weiter.

  14. Aktivieren Sie auf der Seite Attached permissions policy (Richtlinie für angefügte Berechtigungen) das Kontrollkästchen links neben dem Namen der Richtlinie, die Sie gerade erstellt haben, z. B. SessionManagerPermissions.

  15. Wählen Sie Weiter.

  16. Geben Sie auf der Seite Name, Überprüfung und Erstellung für Rollenname einen Namen für die IAM Rolle ein, z. MySessionManagerRole B.

  17. (Optional) Geben Sie in Role description (Beschreibung der Rolle) eine Beschreibung für das Instance-Profil ein.

  18. (Optional) Fügen Sie Tags hinzu, indem SieAdd tag (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.

    Wählen Sie Rolle erstellen.

Weitere Informationen zu ssmmessages-Aktionen finden Sie unter Referenz: ec2messages, ssmmessages und andere Operationen API.

Eine IAM Rolle mit Berechtigungen für Amazon S3 Session Manager und CloudWatch Logs erstellen (Konsole)

Gehen Sie wie folgt vor, um eine benutzerdefinierte IAM Rolle mit einer Richtlinie zu erstellen, die Berechtigungen für Session Manager Aktionen auf Ihren Instances bereitstellt. Die Richtlinie bietet auch die erforderlichen Berechtigungen für die Speicherung von Sitzungsprotokollen in Amazon Simple Storage Service (Amazon S3) -Buckets und Amazon CloudWatch Logs-Protokollgruppen.

Wichtig

Um Sitzungsprotokolle in einen Amazon S3 S3-Bucket auszugeben, der einem anderen gehört AWS-Konto, müssen Sie die s3:PutObjectAcl entsprechende Berechtigung zur IAM Rollenrichtlinie hinzufügen. Darüber hinaus müssen Sie sicherstellen, dass die Bucket-Richtlinie kontoübergreifenden Zugriff auf die IAM Rolle gewährt, die vom Eigentümerkonto verwendet wird, um Systems Manager Manager-Berechtigungen für verwaltete Instanzen zu gewähren. Wenn der Bucket die Key Management Service (KMS) -Verschlüsselung verwendet, muss die KMS Richtlinie des Buckets auch diesen kontoübergreifenden Zugriff gewähren. Weitere Informationen zur Konfiguration von kontoübergreifenden Bucket-Berechtigungen in Amazon S3 finden Sie unter Gewährung von kontoübergreifenden Bucket-Berechtigungen im Benutzerhandbuch zu Amazon Simple Storage Service. Wenn die kontoübergreifenden Berechtigungen nicht hinzugefügt werden, kann das Konto, das Eigentümer des Amazon-S3-Buckets ist, nicht auf die Sitzungsausgabeprotokolle zugreifen.

Informationen zum Angeben von Präferenzen für das Speichern von Sitzungsprotokollen finden Sie unter Sitzungsprotokollierung aktivieren und deaktivieren.

So erstellen Sie eine IAM Rolle mit Berechtigungen für Session Manager Amazon S3 und CloudWatch Logs (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen). (Wenn die Schaltfläche Get Started (Erste Schritte) angezeigt wird, klicken Sie darauf und wählen Sie anschließend Create Policy (Richtlinie erstellen) aus.)

  3. Wählen Sie die JSONRegisterkarte.

  4. Ersetzen Sie den Standardinhalt durch folgende Richtlinie. Ersetze jeden example resource placeholder mit Ihren eigenen Informationen.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel",
                "ssm:UpdateInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        },
        {
            "Effect": "Allow",
            "Action": "kms:GenerateDataKey",
            "Resource": "*"
        }
    ]
}

  5. Wählen Sie Weiter: Markierungen.

  6. (Optional) Fügen Sie Tags hinzu, indem SieAdd tag (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.

  7. Wählen Sie Weiter: Prüfen aus.

  8. Geben Sie auf der Seite Review Policy (Richtlinie prüfen) im Feld Name (Name) einen Namen für die Inline-Richtlinie ein, z. B. SessionManagerPermissions.

  9. (Optional) Geben Sie im Feld Description (Beschreibung) eine Beschreibung für die Richtlinie ein.

  10. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  11. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).

  12. Wählen Sie auf der Seite Rolle erstellen die Option AWS Service und für Anwendungsfall die Option EC2.

  13. Wählen Sie Weiter.

  14. Aktivieren Sie auf der Seite Attached permissions policy (Richtlinie für angefügte Berechtigungen) das Kontrollkästchen links neben dem Namen der Richtlinie, die Sie gerade erstellt haben, z. B. SessionManagerPermissions.

  15. Wählen Sie Weiter.

  16. Geben Sie auf der Seite Name, Überprüfung und Erstellung für Rollenname einen Namen für die IAM Rolle ein, z. MySessionManagerRole B.

  17. (Optional) Geben Sie im Feld Role description (Rollenbeschreibung) eine Beschreibung für die Rolle ein.

  18. (Optional) Fügen Sie Tags hinzu, indem SieAdd tag (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.

  19. Wählen Sie Rolle erstellen.