Schritt 2: Überprüfen oder Hinzufügen von Instanzberechtigungen für Session Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 2: Überprüfen oder Hinzufügen von Instanzberechtigungen für Session Manager

Hat standardmäßig AWS Systems Manager keine Berechtigung, Aktionen auf Ihren Instances durchzuführen. Sie können Instance-Berechtigungen auf Kontoebene mithilfe einer AWS Identity and Access Management (IAM)-Rolle oder auf Instance-Ebene mithilfe eines Instance-Profils bereitstellen. Wenn Ihr Anwendungsfall dies zulässt, empfehlen wir, mithilfe der Standardkonfiguration für die Host-Verwaltung Zugriff auf Kontoebene zu gewähren. Wenn Sie die Standardkonfiguration für die Host-Verwaltung für Ihr Konto bereits mithilfe der AmazonSSMManagedEC2InstanceDefaultPolicy-Richtlinie eingerichtet haben, können Sie mit dem nächsten Schritt fortfahren. Weitere Informationen über die Standardkonfiguration für die Host-Verwaltung finden Sie unter Automatisches Verwalten von EC2 Instanzen mit der Standard-Host-Management-Konfiguration.

Alternativ können Sie auch Instance-Profile verwenden, um Ihren Instances die erforderlichen Berechtigungen zu erteilen. Ein Instance-Profil übergibt eine IAM-Rolle an eine EC2 Amazon-Instance. Sie können ein IAM-Instance-Profil an eine EC2 Amazon-Instance anhängen, wenn Sie sie starten, oder an eine zuvor gestartete Instance. Weitere Informationen finden Sie unter Verwenden von Instance-Profilen.

Für lokale Server oder virtuelle Maschinen (VMs) werden die Berechtigungen von der IAM-Dienstrolle bereitgestellt, die mit der Hybridaktivierung verknüpft ist, die zur Registrierung Ihrer lokalen Server verwendet wird, und VMs von Systems Manager. Lokale Server und verwenden VMs keine Instanzprofile.

Wenn Sie bereits andere Systems Manager Manager-Tools verwenden, wie Run Command or Parameter Store, ein Instanzprofil mit den erforderlichen Basisberechtigungen für Session Manager ist möglicherweise bereits an Ihre EC2 Amazon-Instances angehängt. Wenn Ihren Instances bereits ein Instance-Profil zugeordnet AmazonSSMManagedInstanceCore ist, das die AWS verwaltete Richtlinie enthält, sind die erforderlichen Berechtigungen für Session Manager sind bereits bereitgestellt. Dies gilt auch, wenn die bei Ihrer Hybrid-Aktivierung verwendete IAM-Servicerolle die verwaltete Richtlinie AmazonSSMManagedInstanceCore enthält.

In einigen Fällen müssen Sie jedoch möglicherweise die Berechtigungen ändern, die Ihrem Instance-Profil zugeordnet sind. Sie möchten beispielsweise einen engeren Satz von Instance-Berechtigungen bereitstellen, Sie haben eine benutzerdefinierte Richtlinie für Ihr Instance-Profil erstellt oder Sie möchten die Verschlüsselungsoptionen Amazon Simple Storage Service (Amazon S3) oder AWS Key Management Service (AWS KMS) zur Sicherung von Sitzungsdaten verwenden. Führen Sie in diesen Fällen einen der folgenden Schritte aus, um dies zuzulassen Session Manager Aktionen, die auf Ihren Instances ausgeführt werden sollen: