Empfohlene Konfiguration für EC2 Instanzberechtigungen Alternative Konfiguration für EC2 Instance-Berechtigungen (Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket Zusätzliche Richtlinienüberlegungen für verwaltete Instances Anfügen des Systems-Manager-Instance-Profils an eine Instance (Konsole)

Konfigurieren Sie die für Systems Manager erforderlichen Instanzberechtigungen

Hat standardmäßig AWS Systems Manager keine Berechtigung, Aktionen auf Ihren Instances durchzuführen. Sie können Instanzberechtigungen auf Kontoebene mithilfe einer Rolle AWS Identity and Access Management (IAM) oder auf Instanzebene mithilfe eines Instanzprofils gewähren. Wenn Ihr Anwendungsfall dies zulässt, empfehlen wir, mithilfe der Standardkonfiguration für die Host-Verwaltung Zugriff auf Kontoebene zu gewähren.

Empfohlene Konfiguration für EC2 Instanzberechtigungen

Die Standard-Host-Management-Konfiguration ermöglicht es Systems Manager, Ihre EC2 Amazon-Instances automatisch zu verwalten. Nachdem Sie diese Einstellung aktiviert haben, werden alle Instances, die Instance Metadata Service Version 2 (IMDSv2) in der Version verwenden AWS-Region und AWS-Konto auf denen SSM Agent Version 3.2.582.0 oder höher installiert ist, automatisch zu verwalteten Instances. Die Standardkonfiguration für die Host-Verwaltung unterstützt die Instance-Metadaten-Service-Version 1 nicht. Informationen zur Umstellung auf IMDSv2 Version 2 finden Sie unter Umstellung auf die Nutzung von Instance Metadata Service Version 2 im EC2Amazon-Benutzerhandbuch. Informationen zur Überprüfung der auf Ihrer Instance installierten Version des SSM Agent finden Sie unter Überprüfen der SSM Agent-Versionsnummer. Informationen zur Aktualisierung des SSM Agent finden Sie unter Automatische Aktualisierung von SSM Agent. Zu den Vorteilen verwalteter Instances gehören die folgenden:

Stellen Sie mit Session Manager eine sichere Verbindung zu Ihren Instances her.
Führen Sie automatisierte Patch-Scans mit Patch Manager durch.
Zeigen Sie mit Systems Manager Inventory detaillierte Informationen zu Ihren Instances an.
Verfolgen und verwalten Sie Instances mithilfe von Fleet Manager.
Halten Sie den SSM Agent automatisch auf dem neuesten Stand.

Fleet Manager, Inventar Patch Manager und Session Manager sind Funktionen von. AWS Systems Manager

Die Standardkonfiguration für die Host-Verwaltung ermöglicht die Instance-Verwaltung ohne die Verwendung von Instance-Profilen und stellt sicher, dass Systems Manager über Berechtigungen zum Verwalten aller Instances in der Region und im Konto verfügt. Wenn die bereitgestellten Berechtigungen für Ihren Anwendungsfall nicht ausreichen, können Sie der IAM Standardrolle, die mit der Standard-Host-Management-Konfiguration erstellt wurde, auch Richtlinien hinzufügen. Wenn Sie nicht für alle Funktionen der IAM Standardrolle Berechtigungen benötigen, können Sie alternativ Ihre eigene benutzerdefinierte Rolle und Richtlinien erstellen. Alle Änderungen an der IAM Rolle, die Sie für die Standard-Host-Management-Konfiguration wählen, gelten für alle verwalteten EC2 Amazon-Instances in der Region und im Konto. Weitere Informationen über die von der Standardkonfiguration für die Host-Verwaltung verwendete Richtlinie finden Sie unter AWS verwaltete Richtlinie: A mazonSSMManaged EC2InstanceDefaultPolicy. Weitere Informationen zur Standard-Host-Verwaltungskonfiguration finden Sie unter Verwenden der Standardeinstellung für die Host-Management-Konfiguration.

Wichtig

Instances, die mit der Standardkonfiguration für die Host-Verwaltung registriert wurden, speichern Registrierungsinformationen lokal in den Verzeichnissen /lib/amazon/ssm oder C:\ProgramData\Amazon. Das Entfernen dieser Verzeichnisse oder der enthaltenen Dateien verhindert, dass die Instance die erforderlichen Anmeldeinformationen für die Verbindung mit Systems Manager über die Standardkonfiguration für die Host-Verwaltung erhält. In diesen Fällen müssen Sie ein Instance-Profil verwenden, um Ihrer Instance die erforderlichen Berechtigungen zu erteilen, oder die Instance neu erstellen.

Anmerkung

Dieses Verfahren sollte nur von Administratoren durchgeführt werden. Implementieren Sie den Zugriff mit den geringsten Berechtigungen, wenn Sie Einzelpersonen erlauben, die Standardkonfiguration für die Host-Verwaltung zu konfigurieren oder zu ändern. Sie müssen die Standard-Host-Management-Konfiguration für jede EC2 Instanz aktivieren, die AWS-Region Sie automatisch Amazon möchten.

So aktivieren Sie die Einstellung der Standardkonfiguration für die Host-Verwaltung

Sie können die Standardkonfiguration für die Host-Verwaltung über die Fleet Manager-Konsole aktivieren. Um dieses Verfahren mit dem AWS Management Console oder Ihrem bevorzugten Befehlszeilentool erfolgreich abzuschließen, benötigen Sie Berechtigungen für die UpdateServiceSettingAPIOperationen GetServiceSetting ResetServiceSetting, und. Darüber hinaus müssen Sie über Berechtigungen für die iam:PassRole Berechtigung für die AWSSystemsManagerDefaultEC2InstanceManagementRole IAM Rolle verfügen. Es folgt eine Beispielrichtlinie . Ersetze jeden example resource placeholder mit Ihren eigenen Informationen.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ssm:GetServiceSetting",
				"ssm:ResetServiceSetting",
				"ssm:UpdateServiceSetting"
			],
			"Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"ssm.amazonaws.com"
					]
				}
			}
		}
	]
}

Bevor Sie beginnen: Wenn Sie Instance-Profile an Ihre EC2 Amazon-Instances angehängt haben, entfernen Sie alle Berechtigungen, die den ssm:UpdateInstanceInformation Vorgang zulassen. Der SSM Agent versucht, die Instance-Profilberechtigungen zu verwenden, bevor die Berechtigungen der Standardkonfiguration für die Host-Verwaltung verwendet werden. Wenn Sie die ssm:UpdateInstanceInformation-Operation in Ihren Instance-Profilen zulassen, verwendet die Instance nicht die Berechtigungen der Standardkonfiguration für die Host-Verwaltung.

Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.
Wählen Sie im Navigationsbereich Fleet Manager aus.
Wählen Sie im Drop-Down-Menü Kontoverwaltung die Option Standardkonfiguration für die Host-Verwaltung konfigurieren aus.
Aktivieren Sie Standardkonfiguration für die Host-Verwaltung aktivieren.
Wählen Sie die IAM Rolle aus, die verwendet wird, um die Systems Manager Manager-Funktionen für Ihre Instances zu aktivieren. Wir empfehlen die Verwendung der Standardrolle, die in der Standardkonfiguration für die Host-Verwaltung bereitgestellt wird. Es enthält die Mindestberechtigungen, die für die Verwaltung Ihrer EC2 Amazon-Instances mit Systems Manager erforderlich sind. Wenn Sie es vorziehen, eine benutzerdefinierte Rolle zu verwenden, muss die Vertrauensrichtlinie der Rolle Systems Manager als vertrauenswürdige Entität zulassen.
Wählen Sie Konfigurieren, um die Einrichtung abzuschließen.

Nach dem Aktivieren der Standardkonfiguration für die Host-Verwaltung kann es 30 Minuten dauern, bis Ihre Instances die Anmeldeinformationen der von Ihnen ausgewählten Rolle verwenden. Sie müssen die Standard-Host-Management-Konfiguration in jeder Region aktivieren, in der Sie Ihre EC2 Amazon-Instances automatisch verwalten möchten.

Weniger anzeigen

Alternative Konfiguration für EC2 Instance-Berechtigungen

Sie können Zugriff auf individueller Instanzebene gewähren, indem Sie ein Instanzprofil AWS Identity and Access Management (IAM) verwenden. Ein Instance-Profil ist ein Container, der beim Start IAM Rolleninformationen an eine Amazon Elastic Compute Cloud (AmazonEC2) -Instance weitergibt. Sie können ein Instanzprofil für Systems Manager erstellen, indem Sie einer neuen Rolle oder einer bereits erstellten Rolle eine oder mehrere IAM Richtlinien anhängen, die die erforderlichen Berechtigungen definieren.

Anmerkung

Sie können eine Funktion von verwenden Quick Setup AWS Systems Manager, um schnell ein Instanzprofil für alle Instanzen in Ihrem AWS-Konto zu konfigurieren. Quick Setuperstellt außerdem eine IAM Servicerolle (oder übernimmt eine Rolle), die es Systems Manager ermöglicht, Befehle auf Ihren Instances in Ihrem Namen sicher auszuführen. Mit Quick Setup können Sie diesen Schritt (Schritt 3) und Schritt 4 überspringen. Weitere Informationen finden Sie unter AWS Systems Manager Quick Setup.

Beachten Sie die folgenden Details zur Erstellung eines IAM Instanzprofils:

Wenn Sie EC2 Computer in einer Hybrid- und Multi-Cloud-Umgebung für Systems Manager konfigurieren, müssen Sie kein Instanzprofil für sie erstellen. Konfigurieren Sie stattdessen Ihre Server und verwenden VMs Sie eine IAM Servicerolle. Weitere Informationen finden Sie unter Erstellen der für Systems Manager erforderlichen IAM Servicerolle in Hybrid- und Multicloud-Umgebungen.
Wenn Sie das IAM Instanzprofil ändern, kann es einige Zeit dauern, bis die Instanzanmeldedaten aktualisiert sind. SSM Agentverarbeitet Anfragen erst, wenn dies passiert. Um den Aktualisierungsprozess zu beschleunigen, können Sie SSM Agent oder die Instance erneut starten.

Verwenden Sie eine der folgenden Vorgehensweisen, je nachdem, ob Sie eine neue Rolle für Ihr Instance-Profil erstellen oder die erforderlichen Berechtigungen zu einer vorhandenen Rolle hinzufügen.

Erstellen eines Instance-Profils für von Systems Manager verwaltete Instances (Konsole)

Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).
Wählen Sie für Trusted entity type (Vertrauenswürdige Entität) die Option AWS-Service aus.
Wählen EC2Sie unmittelbar unter Anwendungsfall die Option und anschließend Weiter aus.
Gehen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) wie folgt vor:
- Verwenden Sie das Suchfeld, um die mazonSSMManagedInstanceCoreA-Richtlinie zu finden. Aktivieren Sie das Kontrollkästchen neben dem Namen.
  
  Die Konsole behält Ihre Auswahl auch dann bei, wenn Sie nach anderen Richtlinien suchen.
- Wenn Sie im vorherigen Verfahren, (Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket, eine benutzerdefinierte S3-Bucket-Richtlinie erstellt haben, suchen Sie danach und aktivieren Sie das Kontrollkästchen neben ihrem Namen.
- Wenn Sie vorhaben, Instanzen zu einem Active Directory hinzuzufügen, das von verwaltet wird AWS Directory Service, suchen Sie nach A mazonSSMDirectory ServiceAccess und aktivieren Sie das Kontrollkästchen neben dem Namen.
- Wenn Sie planen, Ihre Instanz mithilfe von EventBridge oder CloudWatch Logs zu verwalten oder zu überwachen, suchen Sie nach dem entsprechenden Namen CloudWatchAgentServerPolicyund aktivieren Sie das Kontrollkästchen neben dem Namen.
Wählen Sie Weiter.
Geben Sie unter Role name (Rollenname) einen Namen für Ihr neues Instance-Profil ein, wie z. B. SSMInstanceProfile.

Anmerkung
Notieren Sie sich den Rollennamen. Sie wählen diese Rolle beim Erstellen neuer Instances, die Sie mit Systems Manager verwalten möchten.
(Optional) Aktualisieren Sie in Description (Beschreibung) die Beschreibung für dieses Instance-Profil ein.
(Optional) Fügen Sie für Tags ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Rolle zu organisieren, nachzuverfolgen oder zu steuern, und wählen Sie dann Create role (Rolle erstellen) aus. Das System leitet Sie zur Seite Roles (Rollen) zurück.

Weniger anzeigen

So fügen Sie Instance-Profil-Berechtigungen für Systems Manager zu einer vorhandenen Rolle hinzu (Konsole)

Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.
Klicken Sie im Navigationsbereich auf Rollen und wählen Sie die vorhandene Rolle aus, die Sie einem Instance-Profil für Systems Manager-Operationen zuordnen möchten.
Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Optionen Add permissions, Attach policies (Berechtigungen hinzufügen, Richtlinien anfügen) aus.
Führen Sie auf der Seite Attach Policy (Richtlinie anfügen) die folgenden Schritte aus:
- Verwenden Sie das Suchfeld, um die mazonSSMManagedInstanceCoreA-Richtlinie zu finden. Aktivieren Sie das Kontrollkästchen neben dem Namen.
- Wenn Sie eine benutzerdefinierte S3-Bucket-Richtlinie erstellt haben, suchen Sie danach und aktivieren Sie das Kontrollkästchen neben ihrem Namen. Weitere Informationen zu benutzerdefinierten S3-Bucket-Richtlinien für ein Instance-Profil finden Sie unter (Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket.
- Wenn Sie vorhaben, Instanzen mit einem Active Directory zu verbinden, das von verwaltet wird AWS Directory Service, suchen Sie nach A mazonSSMDirectory ServiceAccess und aktivieren Sie das Kontrollkästchen neben dem Namen.
- Wenn Sie planen, Ihre Instanz mithilfe von EventBridge oder CloudWatch Logs zu verwalten oder zu überwachen, suchen Sie nach dem entsprechenden Namen CloudWatchAgentServerPolicyund aktivieren Sie das Kontrollkästchen neben dem Namen.
Wählen Sie Richtlinien anfügen.

Weniger anzeigen

Informationen dazu, wie Sie eine Rolle aktualisieren, um sie um eine vertrauenswürdige Entität zu erweitern oder den Zugriff weiter einzuschränken, finden Sie im IAMBenutzerhandbuch unter Rolle ändern.

(Optional) Erstellen einer benutzerdefinierten Richtlinie für den Zugriff auf einen S3-Bucket

Das Erstellen einer benutzerdefinierten Richtlinie für den Amazon S3 S3-Zugriff ist nur erforderlich, wenn Sie in Ihren Systems Manager Manager-Vorgängen einen VPC Endpunkt oder einen eigenen S3-Bucket verwenden. Sie können diese Richtlinie an die IAM Standardrolle anhängen, die durch die Standard-Host-Management-Konfiguration erstellt wurde, oder an ein Instance-Profil, das Sie im vorherigen Verfahren erstellt haben.

Informationen zu den AWS verwalteten S3-Buckets, auf die Sie in der folgenden Richtlinie Zugriff gewähren, finden Sie unterSSM Agent-Kommunikationen mit AWS -verwalteten S3-Buckets.

Öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/
Wählen Sie im Navigationsbereich Policies (Richtlinien) und dann Create policy (Richtlinie erstellen).

Wählen Sie die JSONRegisterkarte und ersetzen Sie den Standardtext durch den folgenden Text.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::aws-ssm-region/*",
                "arn:aws:s3:::aws-windows-downloads-region/*",
                "arn:aws:s3:::amazon-ssm-region/*",
                "arn:aws:s3:::amazon-ssm-packages-region/*",
                "arn:aws:s3:::region-birdwatcher-prod/*",
                "arn:aws:s3:::aws-ssm-distributor-file-region/*",
                "arn:aws:s3:::aws-ssm-document-attachments-region/*",
                "arn:aws:s3:::patch-baseline-snapshot-region/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl", 
                "s3:GetEncryptionConfiguration" 
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-bucket" 
            ]
        }
    ]
}

¹ Das erste Statement Element ist nur erforderlich, wenn Sie einen VPC Endpunkt verwenden.

² Das zweite Statement-Element ist nur erforderlich, wenn Sie einen S3 Bucket verwenden, den Sie zur Verwendung bei Ihren Systems Manager-Operationen erstellt haben.

³ Die PutObjectAcl-ACL-Berechtigung ist nur erforderlich, wenn Sie vorhaben, kontoübergreifenden Zugriff auf S3-Buckets in anderen Konten zu unterstützen.

⁴ Das GetEncryptionConfiguration-Element ist erforderlich, wenn Ihr S3-Bucket für die Verwendung der Verschlüsselung konfiguriert ist.

⁵ Wenn Ihr S3 Bucket für die Verwendung der Verschlüsselung konfiguriert ist, muss das S3-Bucket-Stammverzeichnis (z. B. arn:aws:s3:::amzn-s3-demo-bucket) im Abschnitt Resource (Ressource) aufgeführt werden. Ihr Benutzer, Ihre Gruppe oder Ihre Rolle muss mit Zugriff auf den Stamm-Bucket konfiguriert sein.

Wenn Sie in Ihren Vorgängen einen VPC Endpunkt verwenden, gehen Sie wie folgt vor:

Ersetzen Sie im ersten Statement Element jedes region Platzhalter mit der ID, in der AWS-Region diese Richtlinie verwendet werden soll. Verwenden Sie beispielsweise us-east-2 für die Region USA Ost (Ohio). Für eine Liste der unterstützten region Werte finden Sie in der Spalte Region in Systems Manager Manager-Dienstendpunkten in der Allgemeine Amazon Web Services-Referenz.

Wichtig
Wir empfehlen, dass Sie keine Platzhalterzeichen (*) für bestimmte Regionen in dieser Richtlinie verwenden. Verwenden Sie beispielsweise arn:aws:s3:::aws-ssm-us-east-2/* und nicht arn:aws:s3:::aws-ssm-*/*. Bei der Verwendung von Platzhaltern könnte Zugriff auf S3-Buckets erteilt werden, für die Sie keinen Zugriff gewähren möchten. Wenn Sie das Instance-Profil für mehr als eine Region verwenden möchten, empfehlen wir, das erste Statement-Element für jede Region zu wiederholen.

–oder–

Wenn Sie in Ihren Vorgängen keinen VPC Endpunkt verwenden, können Sie das erste Statement Element löschen.
Wenn Sie einen eigenen S3-Bucket in Ihren Systems Manager-Operationen verwenden, gehen Sie wie folgt vor:

Ersetzen Sie im zweiten Statement Element amzn-s3-demo-bucket mit dem Namen eines S3-Buckets in Ihrem Konto. Dieser Bucket wird nun für Ihre Systems Manager-Operationen verwendet. Er bietet die Berechtigung für Objekte im Bucket, wobei "arn:aws:s3:::my-bucket-name/*" als Ressource verwendet wird. Weitere Informationen zur Bereitstellung von Berechtigungen für Buckets oder Objekte in Buckets finden Sie im Thema Amazon S3 S3-Aktionen im Amazon Simple Storage Service User Guide und im AWS Blogbeitrag IAMPolicies and Bucket Policies and! ACLs Oh, My! (Steuern des Zugriffs auf S3-Ressourcen).
Anmerkung
Wenn Sie mehr als einen Bucket verwenden, geben Sie den ARN für jeden Bucket an. Im folgenden Beispiel finden Sie Berechtigungen für Buckets.
```
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
               ]
```
–oder–

Wenn Sie bei Ihren Systems Manager-Operationen keinen eigenen S3 Bucket verwenden, können Sie das zweite Statement-Element löschen.
Wählen Sie Weiter: Markierungen.
(Optional) Fügen Sie Tags hinzu, indem SieAdd tag (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.
Wählen Sie Weiter: Prüfen aus.
Geben Sie unter Name einen Namen für diese Richtlinie, z. B. SSMInstanceProfileS3Policy, ein.
Wählen Sie Create Policy (Richtlinie erstellen) aus.

Zusätzliche Richtlinienüberlegungen für verwaltete Instances

In diesem Abschnitt werden einige der Richtlinien beschrieben, die Sie zu der IAM Standardrolle hinzufügen können, die in der Standard-Host-Management-Konfiguration erstellt wurde, oder zu Ihren Instanzprofilen AWS Systems Manager. Um Berechtigungen für die Kommunikation zwischen Instanzen und dem Systems Manager bereitzustellenAPI, empfehlen wir, benutzerdefinierte Richtlinien zu erstellen, die Ihren System- und Sicherheitsanforderungen entsprechen. Abhängig von Ihrem Betriebsplan benötigen Sie möglicherweise Berechtigungen, die in einer oder mehreren der anderen Richtlinien dargestellt werden.

Richtlinie: AmazonSSMDirectoryServiceAccess

Nur erforderlich, wenn Sie EC2 Amazon-Instances einem Microsoft AD-Verzeichnis hinzufügen möchten. Windows Server

Diese AWS verwaltete Richtlinie ermöglicht SSM Agent den Zugriff in Ihrem Namen AWS Directory Service auf Anfragen der verwalteten Instance, der Domain beizutreten. Weitere Informationen finden Sie unter Nahtloses Beitreten zu einer EC2 Windows-Instanz im AWS Directory Service Administratorhandbuch.

Richtlinie: CloudWatchAgentServerPolicy

Nur erforderlich, wenn Sie planen, den CloudWatch Agenten auf Ihren Instances zu installieren und auszuführen, um Metrik- und Protokolldaten auf einer Instance zu lesen und in Amazon zu schreiben CloudWatch. Diese helfen Ihnen dabei, Probleme oder Änderungen an Ihren AWS Ressourcen zu überwachen, zu analysieren und schnell darauf zu reagieren.

Ihre IAM Standardrolle, die mit der Standard-Host-Management-Konfiguration oder dem Instance-Profil erstellt wurde, benötigt diese Richtlinie nur, wenn Sie Funktionen wie Amazon EventBridge oder Amazon CloudWatch Logs verwenden. (Sie können auch eine restriktivere Richtlinie erstellen, die beispielsweise den Schreibzugriff auf einen bestimmten CloudWatch Logs-Protokollstream einschränkt.)

Anmerkung

Die Verwendung der Funktionen EventBridge und CloudWatch Protokollierung ist optional. Wenn Sie sich jedoch hierzu entschlossen haben, sollte diese zu Beginn des Systems-Manager-Konfigurationsprozesses eingerichtet werden. Weitere Informationen finden Sie im EventBridge Amazon-Benutzerhandbuch und im Amazon CloudWatch Logs-Benutzerhandbuch.

Informationen zum Erstellen von IAM Richtlinien mit Berechtigungen für zusätzliche Systems Manager Manager-Funktionen finden Sie in den folgenden Ressourcen:

Anfügen des Systems-Manager-Instance-Profils an eine Instance (Konsole)

Melden Sie sich bei der an AWS Management Console und öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich unter Instances die Option Instances.
Navigieren Sie zu Ihrer EC2 Instance und wählen Sie sie aus der Liste aus.
Wählen Sie im Menü Aktionen die Optionen Sicherheit, IAMRolle ändern aus.
Wählen Sie unter IAMRolle das Instanzprofil aus, das Sie mit dem Verfahren unter erstellt habenAlternative Konfiguration für EC2 Instance-Berechtigungen.
Wählen Sie IAMRolle aktualisieren aus.

Für weitere Informationen zum Anhängen von IAM Rollen an Instanzen wählen Sie je nach ausgewähltem Betriebssystemtyp eine der folgenden Optionen:

Fahren Sie fort mit Verbessern Sie die Sicherheit von EC2 Instanzen, indem Sie VPC Endpunkte für Systems Manager verwenden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Systems Manager mit EC2-Instances verwenden

Verbessern Sie die Sicherheit von EC2 Instanzen, indem Sie VPC Endpunkte für Systems Manager verwenden