Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 2: Überprüfen oder Hinzufügen von Instanzberechtigungen für Session Manager
Hat standardmäßig AWS Systems Manager keine Berechtigung, Aktionen auf Ihren Instances durchzuführen. Sie können Instance-Berechtigungen auf Kontoebene mithilfe einer AWS Identity and Access Management (IAM)-Rolle oder auf Instance-Ebene mithilfe eines Instance-Profils bereitstellen. Wenn Ihr Anwendungsfall dies zulässt, empfehlen wir, mithilfe der Standardkonfiguration für die Host-Verwaltung Zugriff auf Kontoebene zu gewähren. Wenn Sie die Standardkonfiguration für die Host-Verwaltung für Ihr Konto bereits mithilfe der AmazonSSMManagedEC2InstanceDefaultPolicy
-Richtlinie eingerichtet haben, können Sie mit dem nächsten Schritt fortfahren. Weitere Informationen über die Standardkonfiguration für die Host-Verwaltung finden Sie unter Automatisches Verwalten von EC2 Instanzen mit der Standard-Host-Management-Konfiguration.
Alternativ können Sie auch Instance-Profile verwenden, um Ihren Instances die erforderlichen Berechtigungen zu erteilen. Ein Instance-Profil übergibt eine IAM-Rolle an eine EC2 Amazon-Instance. Sie können ein IAM-Instance-Profil an eine EC2 Amazon-Instance anhängen, wenn Sie sie starten, oder an eine zuvor gestartete Instance. Weitere Informationen finden Sie unter Verwenden von Instance-Profilen.
Für lokale Server oder virtuelle Maschinen (VMs) werden die Berechtigungen von der IAM-Dienstrolle bereitgestellt, die mit der Hybridaktivierung verknüpft ist, die zur Registrierung Ihrer lokalen Server verwendet wird, und VMs von Systems Manager. Lokale Server und verwenden VMs keine Instanzprofile.
Wenn Sie bereits andere Systems Manager Manager-Tools verwenden, wie Run Command or Parameter Store, ein Instanzprofil mit den erforderlichen Basisberechtigungen für Session Manager ist möglicherweise bereits an Ihre EC2 Amazon-Instances angehängt. Wenn Ihren Instances bereits ein Instance-Profil zugeordnet AmazonSSMManagedInstanceCore
ist, das die AWS verwaltete Richtlinie enthält, sind die erforderlichen Berechtigungen für Session Manager sind bereits bereitgestellt. Dies gilt auch, wenn die bei Ihrer Hybrid-Aktivierung verwendete IAM-Servicerolle die verwaltete Richtlinie AmazonSSMManagedInstanceCore
enthält.
In einigen Fällen müssen Sie jedoch möglicherweise die Berechtigungen ändern, die Ihrem Instance-Profil zugeordnet sind. Sie möchten beispielsweise einen engeren Satz von Instance-Berechtigungen bereitstellen, Sie haben eine benutzerdefinierte Richtlinie für Ihr Instance-Profil erstellt oder Sie möchten die Verschlüsselungsoptionen Amazon Simple Storage Service (Amazon S3) oder AWS Key Management Service (AWS KMS) zur Sicherung von Sitzungsdaten verwenden. Führen Sie in diesen Fällen einen der folgenden Schritte aus, um dies zuzulassen Session Manager Aktionen, die auf Ihren Instances ausgeführt werden sollen:
-
Berechtigungen einbetten für Session Manager Aktionen in einer benutzerdefinierten IAM-Rolle
Um Berechtigungen hinzuzufügen für Session Manager Folgen Sie den Schritten unter, um Aktionen für eine bestehende IAM-Rolle auszuführen
AmazonSSMManagedInstanceCore
, die nicht auf der AWS bereitgestellten Standardrichtlinie basiert. Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen -
Erstellen Sie eine benutzerdefinierte IAM-Rolle mit Session Manager nur Berechtigungen
Um eine IAM-Rolle zu erstellen, die nur Berechtigungen für enthält Session Manager Aktionen, folgen Sie den Schritten unterErstellen einer benutzerdefinierten IAM-Rolle für Session Manager.
-
Erstellen und Verwenden einer neuen IAM-Rolle mit Berechtigungen für alle Systems-Manager-Aktionen
Um eine IAM-Rolle für von Systems Manager verwaltete Instanzen zu erstellen, die eine Standardrichtlinie verwendet, die bereitgestellt wird, AWS um allen Systems Manager-Berechtigungen zu gewähren, folgen Sie den Schritten unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen.