Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 2 : vérifier ou ajouter des autorisations d'instance pour Session Manager
Par défaut, AWS Systems Manager n'est pas autorisé à effectuer des actions sur vos instances. Vous pouvez fournir des autorisations d'instance au niveau du compte à l'aide d'un rôle AWS Identity and Access Management (IAM), ou au niveau de l'instance à l'aide d'un profil d'instance. Si votre cas d'utilisation le permet, nous vous recommandons d'accorder l'accès au niveau du compte à l'aide de la configuration de gestion des hôtes par défaut. Si vous avez déjà configuré la configuration de gestion des hôtes par défaut pour votre compte à l'aide de la politique AmazonSSMManagedEC2InstanceDefaultPolicy, vous pouvez passer à l'étape suivante. Pour plus d'informations sur la Configuration de gestion des hôtes par défaut, consultez Gestion automatique EC2 des instances avec la configuration de gestion d'hôte par défaut.
Vous pouvez également utiliser des profils d'instance pour fournir les autorisations requises à vos instances. Un profil d'instance transmet un rôle IAM à une EC2 instance Amazon. Vous pouvez associer un profil d'instance IAM à une EC2 instance Amazon lorsque vous la lancez ou à une instance déjà lancée. Pour plus d'informations, consultez Utilisation de profils d'instance.
Pour les serveurs locaux ou les machines virtuelles (VMs), les autorisations sont fournies par le rôle de service IAM associé à l'activation hybride utilisée pour enregistrer vos serveurs sur site et auprès de Systems VMs Manager. Serveurs locaux et n'utilisez VMs pas de profils d'instance.
Si vous utilisez déjà d'autres outils de Systems Manager, tels que Run Command or Parameter Store, un profil d'instance avec les autorisations de base requises pour Session Manager sont peut-être déjà attachés à vos EC2 instances Amazon. Si un profil d'instance contenant la politique AWS gérée AmazonSSMManagedInstanceCore est déjà attaché à vos instances, les autorisations requises pour Session Manager sont déjà fournis. Cela est également vrai si la fonction du service IAM utilisée dans votre activation hybride contient la politique gérée AmazonSSMManagedInstanceCore.
Toutefois, dans certains cas, vous pouvez avoir besoin de modifier les autorisations attachées à votre profil d'instance. Par exemple, vous souhaitez fournir un ensemble plus restreint d'autorisations d'instance, vous avez créé une politique personnalisée pour votre profil d'instance ou vous souhaitez utiliser le chiffrement Amazon Simple Storage Service (Amazon S3) AWS Key Management Service ou les options de chiffrement AWS KMS() pour sécuriser les données de session. Dans ces cas, effectuez l'une des opérations suivantes pour autoriser Session Manager actions à effectuer sur vos instances :
-
Intégrer des autorisations pour Session Manager actions dans un rôle IAM personnalisé
Pour ajouter des autorisations pour Session Manager pour effectuer des actions sur un rôle IAM existant qui ne repose pas sur la politique par défaut AWS fournie
AmazonSSMManagedInstanceCore, suivez les étapes décrites dans. Addition Session Manager autorisations pour un rôle IAM existant -
Créez un rôle IAM personnalisé avec Session Manager autorisations uniquement
Pour créer un rôle IAM contenant des autorisations uniquement pour Session Manager actions, suivez les étapes décrites dansCréez un rôle IAM personnalisé pour Session Manager.
-
Création et utilisation d'un rôle IAM autorisant toutes les actions Systems Manager
Pour créer un rôle IAM pour les instances gérées par Systems Manager qui utilise une politique par défaut fournie par AWS pour accorder toutes les autorisations de Systems Manager, suivez les étapes décrites dans Configurer les autorisations d'instance requises pour Systems Manager.
Rubriques
