Schritt 3: Steuern des Sitzungs-Zugriffs auf verwaltete Knoten

Sie gewähren oder entziehen den Session Manager-Zugriff auf verwaltete Knoten mit Hilfe von AWS Identity and Access Management (IAM)-Richtlinien. Sie können eine Richtlinie erstellen und sie einem IAM-Benutzer oder einer IAM-Gruppe zuordnen, die festlegt, mit welchen verwalteten Knoten sich der Benutzer oder die Gruppe verbinden kann. Sie können auch die Session Manager-API-Operationen festlegen, die der Benutzer oder die Gruppe auf diesen verwalteten Knoten durchführen kann.

Um Ihnen den Einstieg in die IAM-Berechtigungsrichtlinien für Session Manager zu erleichtern, haben wir Beispielrichtlinien für einen Endbenutzer und einen Administrator erstellt. Sie können diese Richtlinien mit nur geringfügigen Änderungen verwenden. Oder verwenden Sie sie als Leitfaden für die Erstellung benutzerdefinierter IAM-Richtlinien. Weitere Informationen finden Sie unter IAMBeispielrichtlinien für Session Manager. Informationen dazu, wie Sie IAM-Richtlinien erstellen und diese Benutzern oder Gruppen anfügen, finden Sie unter Erstellen von IAM-Richtlinien und Hinzufügen und Entfernen von IAM-Richtlinien im IAM-Benutzerhandbuch.

Informationen zu Sitzungs-ID-ARN-Formaten

Beim Erstellen einer IAM-Richtlinie für den Session Manager-Zugriff geben Sie eine Sitzungs-ID als Teil des Amazon-Ressourcennamens (ARN) an. Die Sitzungs-ID enthält den Benutzernamen als Variable. Um dies zu veranschaulichen, finden Sie hier das Format eines Session Manager-ARN und ein Beispiel:

arn:aws:ssm:region-id:account-id:session/session-id

Beispielsweise:

arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE

Weitere Informationen zur Verwendung von Variablen in IAM-Richtlinien finden Sie unter IAM-Richtlinienelemente: Variablen.