Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager - AWS Systems Manager

Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager

Standardmäßig hat AWS Systems Manager keine Berechtigung zur Ausführung von Aktionen auf Ihren Instances. Sie können Instance-Berechtigungen auf Kontoebene mithilfe einerAWS Identity and Access Management (IAM)-Rolle oder auf Instance-Ebene mithilfe eines Instance-Profils bereitstellen. Wenn Ihr Anwendungsfall dies zulässt, empfehlen wir, mithilfe der Standardkonfiguration für die Host-Verwaltung Zugriff auf Kontoebene zu gewähren. Wenn Sie die Standardkonfiguration für die Host-Verwaltung für Ihr Konto bereits mithilfe der AmazonSSMManagedEC2InstanceDefaultPolicy-Richtlinie eingerichtet haben, können Sie mit dem nächsten Schritt fortfahren. Weitere Informationen über die Standardkonfiguration für die Host-Verwaltung finden Sie unter Automatisches Verwalten von EC2-Instances mit der Standard-Host-Management-Konfiguration.

Alternativ können Sie auch Instance-Profile verwenden, um Ihren Instances die erforderlichen Berechtigungen zu erteilen. Ein Instance-Profil übergibt eine IAM-Rolle an eine Amazon-EC2-Instance. Sie können ein IAM-Instance-Profil einer Amazon-EC2-Instance beim Starten anfügen oder einer zuvor gestarteten Instance anfügen. Weitere Informationen finden Sie unter Verwenden von Instance-Profilen.

Für On-Premises-Server oder virtuelle Maschinen (VMs) werden Berechtigungen von der IAM-Servicerolle bereitgestellt, die der Hybrid-Aktivierung zugeordnet ist, die zum Anmelden Ihrer On-Premises-Server und VMs bei Systems Manager verwendet wird. On-Premises-Server und VMs verwenden keine Instance-Profile.

Wenn Sie bereits andere Systems-Manager-Tools wie Run Command oder Parameter Store verwenden, ist Ihren Amazon-EC2-Instances möglicherweise bereits ein Instance-Profil mit den für Session Manager erforderlichen Grundberechtigungen angefügt. Wenn Ihren Instances bereits ein Instance-Profil angefügt ist, das die AWS-verwaltete Richtlinie AmazonSSMManagedInstanceCore enthält, sind die erforderlichen Berechtigungen für Session Manager bereits vorhanden. Dies gilt auch, wenn die bei Ihrer Hybrid-Aktivierung verwendete IAM-Servicerolle die verwaltete Richtlinie AmazonSSMManagedInstanceCore enthält.

In einigen Fällen müssen Sie jedoch möglicherweise die Berechtigungen ändern, die Ihrem Instance-Profil zugeordnet sind. Sie möchten beispielsweise eine engere Gruppe von Instance-Berechtigungen bereitstellen, Sie haben eine benutzerdefinierte Richtlinie für Ihr Instance-Profil erstellt oder Sie möchten Amazon Simple Storage Service (Amazon S3)-Verschlüsselung oder AWS Key Management Service (AWS KMS)-Verschlüsselungsoptionen zum Sichern von Sitzungsdaten verwenden. Führen Sie in diesen Fällen einen der folgenden Schritte aus, um Session Manager-Aktionen auf Ihren Instances auszuführen:

  • Einbetten von Berechtigungen für Session Manager-Aktionen in einer benutzerdefinierten IAM-Rolle

    Um einer vorhandenen IAM-Rolle, die die von AWS bereitgestellte Standardrichtlinie AmazonSSMManagedInstanceCore nicht verwendet, Berechtigungen für Session Manager-Aktionen hinzuzufügen, befolgen Sie die Schritte in Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen.

  • Erstellen einer benutzerdefinierten IAM-Rolle, die ausschließlich Session Manager-Berechtigungen besitzt

    Um eine IAM-Rolle zu erstellen, die ausschließlich Berechtigungen für Session Manager-Aktionen enthält, befolgen Sie die Schritte in Erstellen einer benutzerdefinierten IAM-Rolle für Session Manager.

  • Erstellen und Verwenden einer neuen IAM-Rolle mit Berechtigungen für alle Systems-Manager-Aktionen

    Um eine IAM-Rolle für von Systems Manager verwaltete Instances zu erstellen, die eine von AWS bereitgestellte Standardrichtlinie verwendet, die alle Systems-Manager-Berechtigungen erteilt, befolgen Sie die Schritte unter Konfigurieren von erforderlichen IAM-Instance-Berechtigungen für Systems Manager.

Themen