Addition Session Manager autorisations pour un rôle IAM existant

Utilisez la procédure suivante pour ajouter Session Manager autorisations d'accès à un rôle AWS Identity and Access Management (IAM) existant. En ajoutant des autorisations à un rôle existant, vous pouvez améliorer la sécurité de votre environnement informatique sans avoir à utiliser la AWS AmazonSSMManagedInstanceCore politique relative aux autorisations par exemple.

Note

Veuillez noter les informations suivantes :

Notez que cette procédure suppose que votre rôle existant comprend déjà d'autres autorisations ssm Systems Manager relatives aux actions auxquelles vous souhaitez accorder l'accès. Cette politique à elle seule ne suffit pas à utiliser Session Manager.
L'exemple de politique suivant inclut une action s3:GetEncryptionConfiguration. Cette action est requise si vous avez choisi l'option Appliquer le chiffrement du journal S3 dans Session Manager préférences de journalisation.

Pour ajouter Session Manager autorisations pour un rôle existant (console)

Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.
Dans le panneau de navigation, choisissez Roles (Rôles).
Choisissez le nom du rôle auquel vous souhaitez ajouter les autorisations.
Choisissez l'onglet Permissions (Autorisations).
Sélectionnez Ajouter des autorisations, puis Créer la politique en ligne.
Sélectionnez l'onglet JSON.

Remplacez le contenu de politique par défaut par le contenu suivant. key-nameRemplacez-le par le Amazon Resource Name (ARN) de la AWS Key Management Service clé (AWS KMS key) que vous souhaitez utiliser.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

Pour de plus amples informations sur l'utilisation d'une clé CMK pour chiffrer les données de session, consultez Activer le chiffrement des données de session par clé KMS (console).

Si vous n'avez pas l'intention d'utiliser le AWS KMS chiffrement pour les données de votre session, vous pouvez supprimer le contenu suivant de la politique.


,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

Choisissez Suivant : Balises.
(Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées de la politique.
Choisissez Suivant : Vérification.
Sur la page Examiner une politique, dans le champ Nom, saisissez un nom pour la politique en ligne, tel que SessionManagerPermissions.
(Facultatif) Dans le champ Description, saisissez une description pour la politique.

Choisissez Create Policy (Créer une politique).

Pour de plus amples informations sur les actions ssmmessages, consultez Référence : ec2messages, ssmmessages et autres opérations d'API.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Étape 2 : vérifier ou ajouter des autorisations d'instance pour Session Manager

Créez un rôle IAM personnalisé pour Session Manager