Étape 3 : Contrôler les accès de session aux nœuds gérés

Vous accordez ou révoquez l'accès de Session Manager aux nœuds gérés en utilisant des politiques AWS Identity and Access Management (IAM). Vous pouvez créer une politique et l'associer à un utilisateur ou à un groupe IAM qui spécifie les nœuds gérés auxquels l'utilisateur ou le groupe peut se connecter. Vous pouvez également spécifier les opérations d'API Session Manager que l'utilisateur ou les groupes peuvent effectuer sur ces nœuds gérés.

Pour vous aider à démarrer avec les politiques d'autorisations IAM pour Session Manager, nous avons créé des exemples de politiques pour un utilisateur final et un utilisateur administrateur. Vous ne pouvez utiliser ces politiques qu'avec des modifications mineures. Vous pouvez également les utiliser comme guide pour créer des politiques IAM personnalisées. Pour en savoir plus, consultez Exemple de stratégies IAM pour Session Manager. Pour obtenir des informations sur la création de politiques IAM et la façon de les attacher à des utilisateurs ou des groupes, consultez Création de politiques IAM et Ajout et suppression de politiques IAM dans le Guide de l'utilisateur IAM.

À propos des formats des ARN d’ID de session

Lorsque vous créez une politique IAM pour l'accès de Session Manager, vous spécifiez un ID de session dans le cadre d'Amazon Resource Name (ARN). L'ID de session inclut le nom d'utilisateur en tant que variable. Pour illustrer cela, voici le format d'un ARN Session Manager et un exemple :

arn:aws:ssm:region-id:account-id:session/session-id

Par exemple :

arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE

Pour de plus amples informations sur l'utilisation de variables dans les politiques IAM, consultez Éléments de politique IAM : Variables.