Configurer les autorisations d'instance requises pour Systems Manager - AWS Systems Manager
Configuration recommandée pour les autorisations d'EC2instanceConfiguration alternative pour les autorisations d'EC2instance(Facultatif) créer une politique personnalisée pour l'accès au compartiment S3Considérations en matière de politique supplémentaires pour les instances géréesAttacher le profil d'instance Systems Manager à une instance (console)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer les autorisations d'instance requises pour Systems Manager

Par défaut, AWS Systems Manager n'est pas autorisé à effectuer des actions sur vos instances. Vous pouvez fournir des autorisations d'instance au niveau du compte à l'aide d'un rôle AWS Identity and Access Management (IAM) ou au niveau de l'instance à l'aide d'un profil d'instance. Si votre cas d'utilisation le permet, nous vous recommandons d'accorder l'accès au niveau du compte à l'aide de la configuration de gestion des hôtes par défaut.

Configuration recommandée pour les autorisations d'EC2instance

La configuration de gestion d'hôte par défaut permet à Systems Manager de gérer automatiquement vos EC2 instances Amazon. Une fois ce paramètre activé, toutes les instances utilisant le service de métadonnées d'instance version 2 (IMDSv2) dans Région AWS et Compte AWS avec SSM Agent la version 3.2.582.0 ou ultérieure installée devient automatiquement des instances gérées. La configuration de gestion des hôtes par défaut ne prend pas en charge du Service des métadonnées d'instance Version 1. Pour plus d'informations sur la transition versIMDSv2, consultez la section Transition vers l'utilisation du service de métadonnées d'instance version 2 dans le guide de EC2 l'utilisateur Amazon. Pour plus d'informations sur la vérification de la version du SSM Agent installé sur votre instance, voirVérification du numéro de version de l'SSM Agent. Pour plus d'informations sur la mise à jour du SSM Agent, voir Mise à jour automatique de l'SSM Agent. Les avantages des instances gérées sont les suivants :

  • Connectez-vous à vos instances en toute sécurité à l'aide de Session Manager.

  • Effectuez des analyses de correctifs automatiques à l'aide de Patch Manager.

  • Consultez les informations détaillées sur vos instances à l'aide de Systems Manager Inventory.

  • Suivez et gérez les instances à l'aide de Fleet Manager.

  • Conservez le SSM Agent mis à jour automatiquement.

Fleet Manager, Inventaire, Patch Manager, et Session Manager sont des capacités de AWS Systems Manager.

La configuration de gestion des hôtes par défaut permet de gérer les instances sans utiliser de profils d'instance et garantit que Systems Manager dispose des autorisations nécessaires pour gérer toutes les instances de la région et du compte. Si les autorisations fournies ne sont pas suffisantes pour votre cas d'utilisation, vous pouvez également ajouter des politiques au IAM rôle par défaut créé par la configuration de gestion d'hôte par défaut. Sinon, si vous n'avez pas besoin d'autorisations pour toutes les fonctionnalités fournies par le IAM rôle par défaut, vous pouvez créer votre propre rôle et vos propres politiques personnalisés. Toute modification apportée au IAM rôle que vous choisissez pour la configuration de gestion d'hôte par défaut s'applique à toutes les EC2 instances Amazon gérées dans la région et le compte. Pour plus d'informations sur la politique utilisée par la configuration de gestion des hôtes par défaut, consultez AWS politique gérée : A mazonSSMManaged EC2InstanceDefaultPolicy. Pour plus d'informations sur la configuration de gestion des hôtes par défaut, consultez Gestion automatique EC2 des instances avec la configuration de gestion d'hôte par défaut.

Important

Les instances enregistrées à l'aide de la configuration de gestion des hôtes par défaut stockent des informations d'enregistrement localement dans les répertoires /lib/amazon/ssm ou C:\ProgramData\Amazon. La suppression de ces répertoires ou de leurs fichiers empêchera l'instance d'acquérir les informations d'identification nécessaires pour se connecter à Systems Manager à l'aide de la configuration de gestion des hôtes par défaut. Dans ces cas, vous devez utiliser un profil d'instance, pour fournir les autorisations requises à votre instance, ou recréer l'instance.

Note

Cette procédure est destinée à être exécutée uniquement par les administrateurs. Implémentez l'accès au moindre privilège lorsque vous autorisez des individus à configurer ou à modifier la configuration de gestion des hôtes par défaut. Vous devez activer la configuration de gestion d'hôte par défaut dans chaque instance pour laquelle Région AWS vous souhaitez gérer automatiquement vos EC2 instances Amazon.

Activation du paramètre de configuration de gestion des hôtes par défaut

Vous pouvez activer la configuration de gestion d'hôte par défaut à partir du Fleet Manager console. Pour mener à bien cette procédure à l'aide de l'outil de ligne de commande AWS Management Console ou de votre outil de ligne de commande préféré, vous devez disposer des autorisations pour les UpdateServiceSettingAPIopérations GetServiceSettingResetServiceSetting, et. En outre, vous devez disposer d'autorisations pour l'iam:PassRoleautorisation associée au AWSSystemsManagerDefaultEC2InstanceManagementRole IAM rôle. Voici un exemple de politique . Remplacez chacun example resource placeholder avec vos propres informations.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ssm:GetServiceSetting",
				"ssm:ResetServiceSetting",
				"ssm:UpdateServiceSetting"
			],
			"Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"ssm.amazonaws.com"
					]
				}
			}
		}
	]
}

Avant de commencer, si des profils d'instance sont attachés à vos EC2 instances Amazon, supprimez toutes les autorisations autorisant l'ssm:UpdateInstanceInformationopération. Le SSM Agent tente d'utiliser les autorisations du profil d'instance avant d'utiliser les autorisations de configuration de gestion de l'hôte par défaut. Si vous autorisez l'opération ssm:UpdateInstanceInformation dans vos profils d'instance, l'instance n'utilisera pas les autorisations de configuration de gestion des hôtes par défaut.

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le volet de navigation, choisissez Fleet Manager.

  3. Choisissez Paramétrer la configuration de gestion des hôtes par défaut dans la liste déroulante Gestion des comptes.

  4. Activez l'option Activer la configuration de gestion des hôtes par défaut.

  5. Choisissez le IAM rôle utilisé pour activer les fonctionnalités de Systems Manager pour vos instances. Nous vous recommandons d'utiliser le rôle par défaut dans Configuration de gestion des hôtes par défaut. Il contient l'ensemble minimal d'autorisations nécessaires pour gérer vos EC2 instances Amazon à l'aide de Systems Manager. Si vous préférez utiliser un rôle personnalisé, la politique de confiance du rôle doit autoriser Systems Manager en tant qu'entité de confiance.

  6. Choisissez Configurer pour terminer la configuration.

Après avoir activé la Configuration de gestion des hôtes par défaut, 30 minutes peuvent s'écouler avant que vos instances n'utilisent les informations d'identification du rôle que vous avez choisi. Vous devez activer la configuration de gestion d'hôte par défaut dans chaque région dans laquelle vous souhaitez gérer automatiquement vos EC2 instances Amazon.

Afficher plusAfficher moins

Configuration alternative pour les autorisations d'EC2instance

Vous pouvez accorder l'accès au niveau de chaque instance en utilisant un profil d'instance AWS Identity and Access Management (IAM). Un profil d'instance est un conteneur qui transmet des informations de IAM rôle à une instance Amazon Elastic Compute Cloud (AmazonEC2) lors de son lancement. Vous pouvez créer un profil d'instance pour Systems Manager en attachant une ou plusieurs IAM politiques définissant les autorisations nécessaires à un nouveau rôle ou à un rôle que vous avez déjà créé.

Note

Vous pouvez utiliser … Quick Setup, une fonctionnalité permettant de AWS Systems Manager configurer rapidement un profil d'instance sur toutes les instances de votre Compte AWS. Quick Setup crée également un rôle IAM de service (ou assume un rôle), qui permet à Systems Manager d'exécuter des commandes en toute sécurité sur vos instances en votre nom. En utilisant Quick Setup, vous pouvez ignorer cette étape (étape 3) et l'étape 4. Pour de plus amples informations, veuillez consulter AWS Systems Manager Quick Setup.

Notez les informations suivantes concernant la création d'un profil d'IAMinstance :

  • Si vous configurez des machines autres que EC2 des machines dans un environnement hybride et multicloud pour Systems Manager, il n'est pas nécessaire de créer un profil d'instance pour celles-ci. Configurez plutôt vos serveurs et VMs utilisez un rôle IAM de service. Pour plus d'informations, voir Créer le rôle IAM de service requis pour Systems Manager dans les environnements hybrides et multicloud.

  • Si vous modifiez le profil de l'IAMinstance, l'actualisation des informations d'identification de l'instance peut prendre un certain temps. SSM Agent ne traitera pas les demandes tant que cela ne se produira pas. Pour accélérer le processus d'actualisation, vous pouvez redémarrer SSM Agent ou redémarrez l'instance.

Selon que créez un rôle pour votre profil d'instance ou que vous ajoutez les autorisations nécessaires à un rôle existant, utilisez l'une des procédures suivantes.

Pour créer un profil d'instance pour les instances gérées Systems Manager (console)

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.

  3. Pour Trusted entity (Entité de confiance), choisissez Service AWS.

  4. Immédiatement sous Cas d'utilisation, choisissez EC2, puis cliquez sur Suivant.

  5. Sur la page Add permissions (Ajouter des autorisations), procédez comme suit :

    • Utilisez le champ de recherche pour localiser la mazonSSMManaged InstanceCore politique A. Cochez la case à côté de son nom, comme indiqué dans l'illustration suivante.

      La console conserve votre sélection même si vous recherchez d'autres politiques.

    • Si vous avez créé une politique de compartiment S3 personnalisée au cours de la procédure précédente, (Facultatif) créer une politique personnalisée pour l'accès au compartiment S3, recherchez-la et cochez la case en regard de son nom.

    • Si vous envisagez de joindre des instances à un Active Directory géré par AWS Directory Service, recherchez A mazonSSMDirectory ServiceAccess et cochez la case à côté de son nom.

    • Si vous prévoyez d'utiliser EventBridge ou CloudWatch Logs pour gérer ou surveiller votre instance, recherchez CloudWatchAgentServerPolicyet cochez la case à côté de son nom.

  6. Choisissez Suivant.

  7. Pour Role name (Nom du rôle), saisissez un nom pour votre nouveau profil d'instance, par exemple SSMInstanceProfile.

    Note

    Notez le nom de rôle. Vous pouvez choisir ce rôle lorsque vous créerez de nouvelles instances à gérer à l'aide de Systems Manager.

  8. (Facultatif) Pour Description, mettez à jour la description pour ce profil d'instance.

  9. (Facultatif) Pour Tags (Balises), ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis sélectionnez Create role (Créer le rôle). Le système vous renvoie à la page Rôles.

Afficher plusAfficher moins
Pour ajouter des autorisations de profil d'instance pour Systems Manager à un rôle existant (console)

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Roles (Rôles), puis choisissez le rôle existant à associer à un profil d'instance pour des opérations Systems Manager.

  3. Sous l'onglet Permissions (Autorisations), choisissez Add Permissions, Attach policies (Ajouter des autorisations, Attacher des politiques).

  4. Sur la page Attach policy (Attacher la politique), procédez comme suit :

    • Utilisez le champ de recherche pour localiser la mazonSSMManaged InstanceCore politique A. Cochez la case en regard de son nom.

    • Si vous avez créé une politique de compartiment S3 personnalisée, recherchez-la et cochez la case en regard de son nom. Pour plus d'informations sur les politiques de compartiment S3 personnalisés pour un profil d'instance, consultez (Facultatif) créer une politique personnalisée pour l'accès au compartiment S3.

    • Si vous envisagez de joindre des instances à un Active Directory géré par AWS Directory Service, recherchez A mazonSSMDirectory ServiceAccess et cochez la case à côté de son nom.

    • Si vous prévoyez d'utiliser EventBridge ou CloudWatch Logs pour gérer ou surveiller votre instance, recherchez CloudWatchAgentServerPolicyet cochez la case à côté de son nom.

  5. Choisissez Attach Policies (Attacher des politiques).

Afficher plusAfficher moins

Pour plus d'informations sur la façon de mettre à jour un rôle afin d'inclure une entité de confiance ou de restreindre davantage l'accès, consultez la section Modification d'un rôle dans le Guide de IAM l'utilisateur.

(Facultatif) créer une politique personnalisée pour l'accès au compartiment S3

La création d'une politique personnalisée pour l'accès à Amazon S3 n'est requise que si vous utilisez un VPC point de terminaison ou si vous utilisez votre propre compartiment S3 dans le cadre de vos opérations Systems Manager. Vous pouvez associer cette politique au IAM rôle par défaut créé par la configuration de gestion d'hôte par défaut ou à un profil d'instance que vous avez créé lors de la procédure précédente.

Pour plus d'informations sur les compartiments S3 AWS gérés auxquels vous donnez accès dans le cadre de la politique suivante, consultezSSM Agent communications avec des AWS compartiments S3 gérés.

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Politiques, puis Créer une politique.

  3. Choisissez l'JSONonglet et remplacez le texte par défaut par le texte suivant.

    {
    "Version": "2012-10-17",
    "Statement": [
        Footnote callout 1 to explain a line in a JSON policy{
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::aws-ssm-region/*",
                "arn:aws:s3:::aws-windows-downloads-region/*",
                "arn:aws:s3:::amazon-ssm-region/*",
                "arn:aws:s3:::amazon-ssm-packages-region/*",
                "arn:aws:s3:::region-birdwatcher-prod/*",
                "arn:aws:s3:::aws-ssm-distributor-file-region/*",
                "arn:aws:s3:::aws-ssm-document-attachments-region/*",
                "arn:aws:s3:::patch-baseline-snapshot-region/*"
            ]
        },
        Footnote callout 2 to explain a line in a JSON policy{
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl", Footnote callout 3 to explain a line in a JSON policy
                "s3:GetEncryptionConfiguration" Footnote callout 4 to explain a line in a JSON policy
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-bucket" Footnote callout 5 to explain a line in a JSON policy
            ]
        }
    ]
}

    1 Le premier Statement élément n'est obligatoire que si vous utilisez un VPC point de terminaison.

    2 Le deuxième élément Statement est obligatoire uniquement si vous utilisez un compartiment S3 que vous avez créé pour l'utiliser dans vos opérations Systems Manager.

    3 L'autorisation de liste de contrôle d'accès PutObjectAcl est obligatoire uniquement si vous prévoyez de prendre en charge l'accès entre comptes à des compartiments S3 d'autres comptes.

    4 L'élément GetEncryptionConfiguration est obligatoire si votre compartiment S3 est configuré pour utiliser le chiffrement.

    5 Si votre compartiment S3 est configuré pour utiliser le chiffrement, la racine du compartiment S3 (par exemple, arn:aws:s3:::amzn-s3-demo-bucket) doit être répertoriée dans la section Resource (Ressource). Votre utilisateur, groupe ou rôle doit être configuré avec l'accès au compartiment racine.

  4. Si vous utilisez un VPC point de terminaison dans le cadre de vos opérations, procédez comme suit :

    Dans le premier Statement élément, remplacez chaque region un espace réservé contenant l'identifiant de Région AWS cette politique sera utilisé dans. Par exemple, utilisez us-east-2 pour la région USA Est (Ohio). Pour une liste des produits pris en charge region valeurs, voir la colonne Region dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

    Important

    Dans cette politique, nous vous recommandons d'éviter d'utiliser des caractères génériques (*) à la place des régions spécifiques. Par exemple, utilisez arn:aws:s3:::aws-ssm-us-east-2/* et n'utilisez pas arn:aws:s3:::aws-ssm-*/*. L'utilisation de caractères génériques pourrait fournir l'accès aux compartiments S3 vers lesquels vous ne prévoyez pas d'accorder l'accès. Si vous souhaitez utiliser le profil d'instance pour plusieurs régions, nous vous recommandons de répéter le premier élément Statement pour chaque région.

    -ou-

    Si vous n'utilisez pas de point de VPC terminaison dans vos opérations, vous pouvez supprimer le premier Statement élément.

  5. Si vous utilisez votre propre compartiment S3 dans vos opérations Systems Manager, procédez comme suit :

    Dans le deuxième Statement élément, remplacez amzn-s3-demo-bucket avec le nom d'un compartiment S3 dans votre compte. Vous utiliserez ce compartiment pour vos opérations Systems Manager. Il fournit des autorisations pour les objets du compartiment, en utilisant "arn:aws:s3:::my-bucket-name/*" comme ressource. Pour plus d'informations sur l'attribution d'autorisations pour les buckets ou les objets contenus dans des buckets, consultez la rubrique Actions Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service et le billet de AWS blog Policies and Bucket IAM Policies and ! ACLs Oh My! (Contrôler l'accès aux ressources S3).

    Note

    Si vous utilisez plusieurs compartiments, fournissez-en un ARN pour chacun d'entre eux. Consultez l'exemple suivant pour connaître les autorisations sur les compartiments.

    "Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
               ]

    -ou-

    Si vous n'utilisez pas un compartiment S3 vous appartenant dans vos opérations Systems Manager, vous pouvez supprimer le second élément Statement.

  6. Choisissez Suivant : Balises.

  7. (Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées de la politique.

  8. Choisissez Suivant : vérification.

  9. Pour Name (Nom), saisissez un nom pour identifier cette politique, par exemple SSMInstanceProfileS3Policy.

  10. Choisissez Create Policy (Créer une politique).

Considérations en matière de politique supplémentaires pour les instances gérées

Cette section décrit certaines des politiques que vous pouvez ajouter au IAM rôle par défaut créé par la configuration de gestion d'hôte par défaut ou par vos profils d'instance pour AWS Systems Manager. Pour fournir des autorisations de communication entre les instances et le Systems ManagerAPI, nous vous recommandons de créer des politiques personnalisées qui reflètent les besoins de votre système et les exigences de sécurité. En fonction de votre plan d'opérations, vous pouvez avoir besoin des autorisations représentées dans une ou plusieurs des trois autres politiques.

Stratégie : AmazonSSMDirectoryServiceAccess

Obligatoire uniquement si vous prévoyez de rejoindre EC2 des instances Amazon pour Windows Server dans un annuaire Microsoft AD.

Cette politique AWS gérée permet SSM Agent pour accéder AWS Directory Service en votre nom aux demandes de connexion au domaine émanant de l'instance gérée. Pour plus d'informations, voir Rejoindre facilement une EC2 instance Windows dans le Guide AWS Directory Service d'administration.

Stratégie : CloudWatchAgentServerPolicy

Obligatoire uniquement si vous prévoyez d'installer et d'exécuter l' CloudWatch agent sur vos instances pour lire les données métriques et de journal d'une instance et les écrire sur Amazon CloudWatch. Ils vous aident à surveiller, à analyser et à répondre rapidement aux problèmes ou aux modifications de vos AWS ressources.

Votre IAM rôle par défaut créé par la configuration de gestion d'hôte par défaut ou le profil d'instance nécessite cette politique uniquement si vous utilisez des fonctionnalités telles qu'Amazon EventBridge ou Amazon CloudWatch Logs. (Vous pouvez également créer une politique plus restrictive qui, par exemple, limite l'accès en écriture à un flux de journal CloudWatch Logs spécifique.)

Note

CloudWatch Les fonctionnalités d'utilisation EventBridge et de journalisation sont facultatives. Toutefois, nous vous recommandons de les paramétrer dès le début de votre processus de configuration de Systems Manager si vous avez décidé de les utiliser. Pour plus d'informations, consultez le guide de EventBridge l'utilisateur Amazon et le guide de l'utilisateur Amazon CloudWatch Logs.

Pour créer des IAM politiques avec des autorisations pour des fonctionnalités supplémentaires de Systems Manager, consultez les ressources suivantes :

Attacher le profil d'instance Systems Manager à une instance (console)

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous Instances, choisissez Instances.

  3. Accédez à votre EC2 instance et choisissez-la dans la liste.

  4. Dans le menu Actions, choisissez Sécurité, Modifier IAM le rôle.

  5. Pour IAMle rôle, sélectionnez le profil d'instance que vous avez créé à l'aide de la procédure décrite dansConfiguration alternative pour les autorisations d'EC2instance.

  6. Choisissez Mettre à jour IAMle rôle.

Pour plus d'informations sur l'IAMassociation de rôles aux instances, choisissez l'une des options suivantes, en fonction du type de système d'exploitation sélectionné :

Passez au Améliorez la sécurité des EC2 instances en utilisant des VPC points de terminaison pour Systems Manager.