Créez un IAM rôle personnalisé pour Session Manager - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un IAM rôle personnalisé pour Session Manager

Vous pouvez créer un rôle AWS Identity and Access Management (IAM) qui donne Session Manager l'autorisation d'effectuer des actions sur vos instances EC2 gérées par Amazon. Vous pouvez également inclure une politique pour accorder les autorisations nécessaires pour que les journaux de session soient envoyés à Amazon Simple Storage Service (Amazon S3) et Amazon CloudWatch Logs.

Après avoir créé le IAM rôle, pour plus d'informations sur la façon d'attacher le rôle à une instance, voir Attacher ou remplacer un profil d'instance sur le AWS re:Post site Web. Pour plus d'informations sur les profils et les rôles d'IAMinstance, consultez la section Utilisation des profils d'instance dans le guide de IAM l'utilisateur et IAMles rôles pour Amazon EC2 dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud pour les instances Linux. Pour plus d'informations sur la création d'un rôle de IAM service pour les machines sur site, voir Créer le rôle de IAM service requis pour Systems Manager dans les environnements hybrides et multicloud.

Création d'un IAM rôle avec Session Manager des autorisations minimales (console)

Utilisez la procédure suivante pour créer un IAM rôle personnalisé avec une politique qui fournit des autorisations uniquement pour Session Manager les actions sur vos instances.

Création d'un profil d'instance avec des autorisations Session Manager minimales
  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Politiques, puis Créer une politique. (Si un bouton Get Started [Mise en route] est affiché, sélectionnez-le, puis Create Policy [Créer une politique].)

  3. Choisissez l'JSONonglet.

  4. Remplacez le contenu par défaut par la politique suivante. Pour chiffrer les données de session à l'aide de AWS Key Management Service (AWS KMS), remplacez key-name avec le nom de ressource Amazon (ARN) de AWS KMS key celui que vous souhaitez utiliser.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:UpdateInstanceInformation", "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }

    Pour plus d'informations sur l'utilisation d'une KMS clé pour chiffrer les données de session, consultezActiver le chiffrement des données de session par KMS clé (console).

    Si vous n'avez pas l'intention d'utiliser le AWS KMS chiffrement pour les données de votre session, vous pouvez supprimer le contenu suivant de la politique.

    , { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }
  5. Choisissez Suivant : Balises.

  6. (Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées de la politique.

  7. Choisissez Suivant : vérification.

  8. Sur la page Examiner une politique, dans le champ Nom, saisissez un nom pour la politique en ligne, tel que SessionManagerPermissions.

  9. (Facultatif) Dans le champ Description, saisissez une description pour la politique.

  10. Sélectionnez Créer une politique.

  11. Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.

  12. Sur la page Créer un rôle, sélectionnez le AWS service, puis dans le champ Cas d'utilisation, sélectionnez EC2.

  13. Choisissez Suivant.

  14. Sur la page Attached permissions policy (Politique d'autorisations attachée), cochez la case située à gauche du nom de la politique que vous venez de créer, tel que SessionManagerPermissions.

  15. Choisissez Suivant.

  16. Sur la page Nom, révision et création, pour Nom du rôle, entrez un nom pour le IAM rôle, tel queMySessionManagerRole.

  17. (Facultatif) Dans le champ Description du rôle, saisissez une description pour le profil d'instance.

  18. (Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées du rôle.

    Sélectionnez Créer un rôle.

Pour de plus amples informations sur les actions ssmmessages, veuillez consulter Référence : ec2messages, ssmmessages et autres opérations API.

Création d'un IAM rôle avec des autorisations pour Session Manager Amazon S3 et CloudWatch Logs (console)

Utilisez la procédure suivante pour créer un IAM rôle personnalisé avec une politique qui fournit des autorisations pour les Session Manager actions sur vos instances. La politique fournit également les autorisations nécessaires pour que les journaux de session soient stockés dans des compartiments Amazon Simple Storage Service (Amazon S3) et des groupes de journaux CloudWatch Amazon Logs.

Important

Pour générer des journaux de session dans un compartiment Amazon S3 appartenant à un autre Compte AWS, vous devez ajouter l's3:PutObjectAclautorisation à la politique de IAM rôle. En outre, vous devez vous assurer que la politique des compartiments accorde un accès entre comptes au IAM rôle utilisé par le compte propriétaire pour accorder des autorisations à Systems Manager pour les instances gérées. Si le bucket utilise le chiffrement Key Management Service (KMS), la KMS politique du bucket doit également accorder cet accès entre comptes. Pour plus d'informations sur la configuration des autorisations de compartiment intercomptes dans Amazon S3, veuillez consulter la rubrique Accorder des autorisations intercomptes sur un compartiment du Guide de l'utilisateur Amazon Simple Storage Service. Si les autorisations intercomptes ne sont pas ajoutées, le compte qui possède le compartiment Amazon S3 ne peut pas accéder aux journaux de sortie de la session.

Pour en savoir plus sur la spécification des préférences de stockage des journaux de session, consultez Activation et désactivation de la journalisation de session.

Pour créer un IAM rôle avec des autorisations pour Session Manager Amazon S3 et CloudWatch Logs (console)
  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Politiques, puis Créer une politique. (Si un bouton Get Started [Mise en route] est affiché, sélectionnez-le, puis Create Policy [Créer une politique].)

  3. Choisissez l'JSONonglet.

  4. Remplacez le contenu par défaut par la politique suivante. Remplacez chacun example resource placeholder avec vos propres informations.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel", "ssm:UpdateInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }, { "Effect": "Allow", "Action": "kms:GenerateDataKey", "Resource": "*" } ] }
  5. Choisissez Suivant : Balises.

  6. (Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées de la politique.

  7. Choisissez Suivant : vérification.

  8. Sur la page Examiner une politique, dans le champ Nom, saisissez un nom pour la politique en ligne, tel que SessionManagerPermissions.

  9. (Facultatif) Dans le champ Description, saisissez une description pour la politique.

  10. Sélectionnez Créer une politique.

  11. Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.

  12. Sur la page Créer un rôle, sélectionnez le AWS service, puis dans le champ Cas d'utilisation, sélectionnez EC2.

  13. Choisissez Suivant.

  14. Sur la page Attached permissions policy (Politique d'autorisations attachée), cochez la case située à gauche du nom de la politique que vous venez de créer, tel que SessionManagerPermissions.

  15. Choisissez Suivant.

  16. Sur la page Nom, révision et création, pour Nom du rôle, entrez un nom pour le IAM rôle, tel queMySessionManagerRole.

  17. (Facultatif) Dans le champ Role description (Description du rôle), saisissez la description du nouveau rôle.

  18. (Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées du rôle.

  19. Sélectionnez Créer un rôle.