Configurer des autorisations d’instance requises pour Systems Manager - AWS Systems Manager
Configuration recommandée pour les autorisations d' EC2 instanceConfiguration alternative pour les autorisations d' EC2instance(Facultatif) créer une politique personnalisée pour l'accès au compartiment S3Considérations en matière de politique supplémentaires pour les instances géréesAttacher le profil d'instance Systems Manager à une instance (console)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer des autorisations d’instance requises pour Systems Manager

Par défaut, AWS Systems Manager n'est pas autorisé à effectuer des actions sur vos instances. Vous pouvez fournir des autorisations d'instance au niveau du compte à l'aide d'un rôle AWS Identity and Access Management (IAM) ou au niveau de l'instance à l'aide d'un profil d'instance. Si votre cas d'utilisation le permet, nous vous recommandons d'accorder l'accès au niveau du compte à l'aide de la configuration de gestion des hôtes par défaut.

Note

Vous pouvez ignorer cette étape et autoriser Systems Manager à appliquer les autorisations requises à vos instances pour vous lors de la configuration de la console unifiée. Pour de plus amples informations, veuillez consulter Configuration de AWS Systems Manager.

Configuration recommandée pour les autorisations d' EC2 instance

La configuration de gestion d'hôte par défaut permet à Systems Manager de gérer automatiquement vos EC2 instances Amazon. Une fois ce paramètre activé, toutes les instances utilisant le service de métadonnées d'instance version 2 (IMDSv2) dans Région AWS et Compte AWS avec SSM Agent la version 3.2.582.0 ou ultérieure installée devient automatiquement des instances gérées. La configuration de gestion des hôtes par défaut ne prend pas en charge du Service des métadonnées d'instance Version 1. Pour plus d'informations sur la transition vers IMDSv2, consultez la section Transition vers l'utilisation du service de métadonnées d'instance version 2 dans le guide de EC2 l'utilisateur Amazon. Pour plus d'informations sur la vérification de la version du SSM Agent installé sur votre instance, voirEn vérifiant le SSM Agent numéro de version. Pour plus d'informations sur la mise à jour du SSM Agent, voir Mise à jour automatique SSM Agent. Les avantages des instances gérées sont les suivants :

  • Connectez-vous à vos instances en toute sécurité à l'aide de Session Manager.

  • Effectuez des analyses de correctifs automatiques à l'aide de Patch Manager.

  • Consultez les informations détaillées sur vos instances à l'aide de Systems Manager Inventory.

  • Suivez et gérez les instances à l'aide de Fleet Manager.

  • Conservez le SSM Agent mis à jour automatiquement.

Fleet Manager, Inventaire, Patch Manager, et Session Manager y a-t-il des outils dedans AWS Systems Manager.

La configuration de gestion des hôtes par défaut permet de gérer les instances sans utiliser de profils d'instance et garantit que Systems Manager dispose des autorisations nécessaires pour gérer toutes les instances de la région et du compte. Si les autorisations fournies ne sont pas suffisantes pour votre cas d'utilisation, vous pouvez également ajouter des politiques au rôle IAM par défaut créé par la configuration de gestion des hôtes par défaut. Sinon, si vous n'avez pas besoin d'autorisations pour toutes les fonctionnalités fournies par le rôle IAM par défaut, vous pouvez créer vos propres rôles et politiques personnalisés. Toute modification apportée au rôle IAM que vous choisissez pour la configuration de gestion d'hôte par défaut s'applique à toutes les EC2 instances Amazon gérées dans la région et le compte. Pour plus d'informations sur la politique utilisée par la configuration de gestion des hôtes par défaut, consultez AWS politique gérée : Amazon SSMManaged EC2 InstanceDefaultPolicy. Pour plus d'informations sur la configuration de gestion des hôtes par défaut, consultez Gestion automatique EC2 des instances avec la configuration de gestion d'hôte par défaut.

Important

Les instances enregistrées à l'aide de la configuration de gestion des hôtes par défaut stockent des informations d'enregistrement localement dans les répertoires /lib/amazon/ssm ou C:\ProgramData\Amazon. La suppression de ces répertoires ou de leurs fichiers empêchera l'instance d'acquérir les informations d'identification nécessaires pour se connecter à Systems Manager à l'aide de la configuration de gestion des hôtes par défaut. Dans ces cas, vous devez utiliser un profil d'instance, pour fournir les autorisations requises à votre instance, ou recréer l'instance.

Note

Cette procédure est destinée à être exécutée uniquement par les administrateurs. Implémentez l'accès au moindre privilège lorsque vous autorisez des individus à configurer ou à modifier la configuration de gestion des hôtes par défaut. Vous devez activer la configuration de gestion d'hôte par défaut dans chaque instance pour laquelle Région AWS vous souhaitez gérer automatiquement vos EC2 instances Amazon.

Activation du paramètre de configuration de gestion des hôtes par défaut

Vous pouvez activer la configuration de gestion d'hôte par défaut à partir du Fleet Manager console. Pour mener à bien cette procédure à l'aide de l'outil de ligne de commande AWS Management Console ou de votre outil de ligne de commande préféré, vous devez disposer des autorisations pour les opérations GetServiceSettingResetServiceSetting, et UpdateServiceSettingAPI. En outre, vous devez disposer des autorisations nécessaires pour l'autorisation iam:PassRole du rôle IAM AWSSystemsManagerDefaultEC2InstanceManagementRole. Voici un exemple de politique . Remplacez chaque example resource placeholder par vos propres informations.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ssm:GetServiceSetting",
				"ssm:ResetServiceSetting",
				"ssm:UpdateServiceSetting"
			],
			"Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"ssm.amazonaws.com"
					]
				}
			}
		}
	]
}

Avant de commencer, si des profils d'instance sont attachés à vos EC2 instances Amazon, supprimez toutes les autorisations autorisant l'ssm:UpdateInstanceInformationopération. Le SSM Agent tente d'utiliser les autorisations du profil d'instance avant d'utiliser les autorisations de configuration de gestion de l'hôte par défaut. Si vous autorisez l'opération ssm:UpdateInstanceInformation dans vos profils d'instance, l'instance n'utilisera pas les autorisations de configuration de gestion des hôtes par défaut.

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le volet de navigation, choisissez Fleet Manager.

  3. Choisissez Paramétrer la configuration de gestion des hôtes par défaut dans la liste déroulante Gestion des comptes.

  4. Activez l'option Activer la configuration de gestion des hôtes par défaut.

  5. Choisissez le rôle IAM utilisé pour activer les outils Systems Manager pour vos instances. Nous vous recommandons d'utiliser le rôle par défaut dans Configuration de gestion des hôtes par défaut. Il contient l'ensemble minimal d'autorisations nécessaires pour gérer vos EC2 instances Amazon à l'aide de Systems Manager. Si vous préférez utiliser un rôle personnalisé, la politique de confiance du rôle doit autoriser Systems Manager en tant qu'entité de confiance.

  6. Choisissez Configurer pour terminer la configuration.

Après avoir activé la Configuration de gestion des hôtes par défaut, 30 minutes peuvent s'écouler avant que vos instances n'utilisent les informations d'identification du rôle que vous avez choisi. Vous devez activer la configuration de gestion d'hôte par défaut dans chaque région dans laquelle vous souhaitez gérer automatiquement vos EC2 instances Amazon.

Afficher plusAfficher moins

Configuration alternative pour les autorisations d' EC2instance

Vous pouvez accorder l'accès au niveau des instances individuelles à l'aide d'un profil d'instance AWS Identity and Access Management  (IAM). Un profil d'instance est un conteneur qui transmet les informations de rôle IAM à une instance Amazon Elastic Compute Cloud (Amazon EC2) lors de son lancement. Vous pouvez créer un profil d'instance pour Systems Manager en attachant une ou plusieurs politiques IAM qui définissent les autorisations nécessaires pour un nouveau rôle ou un rôle que vous avez déjà créé.

Note

Vous pouvez utiliser … Quick Setup, un outil de AWS Systems Manager, permettant de configurer rapidement un profil d'instance sur toutes les instances de votre Compte AWS. Quick Setup crée également un rôle de service IAM (ou assume un rôle), qui permet à Systems Manager d'exécuter des commandes en toute sécurité sur vos instances en votre nom. En utilisant Quick Setup, vous pouvez ignorer cette étape (étape 3) et l'étape 4. Pour de plus amples informations, veuillez consulter AWS Systems Manager Quick Setup.

Veuillez noter les détails suivants sur la création d'un profil d'instance IAM :

  • Si vous configurez des machines autres que EC2 des machines dans un environnement hybride et multicloud pour Systems Manager, il n'est pas nécessaire de créer un profil d'instance pour celles-ci. Configurez plutôt vos serveurs et VMs utilisez un rôle de service IAM. Pour plus d’informations, consultez la section Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud.

  • Si vous modifiez le profil de l'instance IAM, l'actualisation des informations d'identification de l'instance peut prendre un certain temps. SSM Agent ne traitera pas les demandes tant que cela ne se produira pas. Pour accélérer le processus d'actualisation, vous pouvez redémarrer SSM Agent ou redémarrez l'instance.

Selon que créez un rôle pour votre profil d'instance ou que vous ajoutez les autorisations nécessaires à un rôle existant, utilisez l'une des procédures suivantes.

Pour créer un profil d'instance pour les instances gérées Systems Manager (console)

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.

  3. Pour Trusted entity (Entité de confiance), choisissez Service AWS.

  4. Immédiatement sous Cas d'utilisation, choisissez EC2, puis cliquez sur Suivant.

  5. Sur la page Add permissions (Ajouter des autorisations), procédez comme suit :

    • Utilisez le champ de recherche pour trouver la SSMManaged InstanceCore politique d'Amazon. Cochez la case correspondant à son nom, comme indiqué dans l’illustration suivante.

      La case à cocher est sélectionnée dans la SSMManaged InstanceCore ligne Amazon.

      La console conserve votre sélection même si vous recherchez d'autres politiques.

    • Si vous avez créé une politique de compartiment S3 personnalisée au cours de la procédure précédente, (Facultatif) créer une politique personnalisée pour l'accès au compartiment S3, recherchez-la et cochez la case en regard de son nom.

    • Si vous envisagez de joindre des instances à un Active Directory géré par AWS Directory Service, recherchez Amazon SSMDirectory ServiceAccess et cochez la case à côté de son nom.

    • Si vous prévoyez d'utiliser EventBridge ou CloudWatch Logs pour gérer ou surveiller votre instance, recherchez CloudWatchAgentServerPolicyet cochez la case à côté de son nom.

  6. Choisissez Suivant.

  7. Pour Role name (Nom du rôle), saisissez un nom pour votre nouveau profil d'instance, par exemple SSMInstanceProfile.

    Note

    Notez le nom de rôle. Vous pouvez choisir ce rôle lorsque vous créerez de nouvelles instances à gérer à l'aide de Systems Manager.

  8. (Facultatif) Pour Description, mettez à jour la description pour ce profil d'instance.

  9. (Facultatif) Pour Tags (Balises), ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour ce rôle, puis sélectionnez Create role (Créer le rôle). Le système vous renvoie à la page Rôles.

Afficher plusAfficher moins
Pour ajouter des autorisations de profil d'instance pour Systems Manager à un rôle existant (console)

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Roles (Rôles), puis choisissez le rôle existant à associer à un profil d'instance pour des opérations Systems Manager.

  3. Sous l'onglet Permissions (Autorisations), choisissez Add Permissions, Attach policies (Ajouter des autorisations, Attacher des politiques).

  4. Sur la page Attach policy (Attacher la politique), procédez comme suit :

    • Utilisez le champ de recherche pour trouver la SSMManaged InstanceCore politique d'Amazon. Cochez la case en regard de son nom.

    • Si vous avez créé une politique de compartiment S3 personnalisée, recherchez-la et cochez la case en regard de son nom. Pour plus d'informations sur les politiques de compartiment S3 personnalisés pour un profil d'instance, consultez (Facultatif) créer une politique personnalisée pour l'accès au compartiment S3.

    • Si vous envisagez de joindre des instances à un Active Directory géré par AWS Directory Service, recherchez Amazon SSMDirectory ServiceAccess et cochez la case à côté de son nom.

    • Si vous prévoyez d'utiliser EventBridge ou CloudWatch Logs pour gérer ou surveiller votre instance, recherchez CloudWatchAgentServerPolicyet cochez la case à côté de son nom.

  5. Choisissez Attach Policies (Attacher des politiques).

Afficher plusAfficher moins

Pour plus d'informations sur la mise à jour d'un rôle en vue d'y inclure une entité de confiance ou d'en limiter davantage l'accès, consultez Modification d'un rôle dans le Guide de l'utilisateur IAM.

(Facultatif) créer une politique personnalisée pour l'accès au compartiment S3

La création d'une politique personnalisée pour l'accès Amazon S3 est obligatoire uniquement si vous utilisez le point de terminaison d'un VPC ou votre propre compartiment S3 dans vos opérations Systems Manager. Vous pouvez associer cette politique au rôle IAM par défaut créé par la Configuration de gestion des hôtes par défaut ou à un profil d'instance que vous avez créé lors de la procédure précédente.

Pour plus d'informations sur les compartiments S3 AWS gérés auxquels vous donnez accès dans le cadre de la politique suivante, consultezSSM Agent communications avec des AWS compartiments S3 gérés.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Politiques, puis Créer une politique.

  3. Choisissez l'onglet JSON et remplacez le texte par défaut avec le texte suivant.

    {
    "Version": "2012-10-17",
    "Statement": [
        Footnote callout 1 to explain a line in a JSON policy{
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::aws-ssm-region/*",
                "arn:aws:s3:::aws-windows-downloads-region/*",
                "arn:aws:s3:::amazon-ssm-region/*",
                "arn:aws:s3:::amazon-ssm-packages-region/*",
                "arn:aws:s3:::region-birdwatcher-prod/*",
                "arn:aws:s3:::aws-ssm-distributor-file-region/*",
                "arn:aws:s3:::aws-ssm-document-attachments-region/*",
                "arn:aws:s3:::patch-baseline-snapshot-region/*"
            ]
        },
        Footnote callout 2 to explain a line in a JSON policy{
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl", Footnote callout 3 to explain a line in a JSON policy
                "s3:GetEncryptionConfiguration" Footnote callout 4 to explain a line in a JSON policy
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-bucket" Footnote callout 5 to explain a line in a JSON policy
            ]
        }
    ]
}

    1 Le premier élément Statement est obligatoire uniquement si vous utilisez un point de terminaison d'un VPC.

    2 Le deuxième élément Statement est obligatoire uniquement si vous utilisez un compartiment S3 que vous avez créé pour l'utiliser dans vos opérations Systems Manager.

    3 L'autorisation de liste de contrôle d'accès PutObjectAcl est obligatoire uniquement si vous prévoyez de prendre en charge l'accès entre comptes à des compartiments S3 d'autres comptes.

    4 L'élément GetEncryptionConfiguration est obligatoire si votre compartiment S3 est configuré pour utiliser le chiffrement.

    5 Si votre compartiment S3 est configuré pour utiliser le chiffrement, la racine du compartiment S3 (par exemple, arn:aws:s3:::amzn-s3-demo-bucket) doit être répertoriée dans la section Resource (Ressource). Votre utilisateur, groupe ou rôle doit être configuré avec l'accès au compartiment racine.

  4. Si vous utilisez un point de terminaison d'un VPC dans vos opérations, procédez comme suit :

    Dans le premier Statement élément, remplacez chaque region espace réservé par l'identifiant de la politique dans Région AWS laquelle cette politique sera utilisée. Par exemple, utilisez us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des region valeurs prises en charge, consultez la colonne Région dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

    Important

    Dans cette politique, nous vous recommandons d'éviter d'utiliser des caractères génériques (*) à la place des régions spécifiques. Par exemple, utilisez arn:aws:s3:::aws-ssm-us-east-2/* et n'utilisez pas arn:aws:s3:::aws-ssm-*/*. L'utilisation de caractères génériques pourrait fournir l'accès aux compartiments S3 vers lesquels vous ne prévoyez pas d'accorder l'accès. Si vous souhaitez utiliser le profil d'instance pour plusieurs régions, nous vous recommandons de répéter le premier élément Statement pour chaque région.

    -ou-

    Si vous n'utilisez pas un point de terminaison d'un VPC dans vos opérations, vous pouvez supprimer le premier élément Statement.

  5. Si vous utilisez votre propre compartiment S3 dans vos opérations Systems Manager, procédez comme suit :

    Dans le deuxième Statement élément, remplacez amzn-s3-demo-bucket par le nom d'un compartiment S3 de votre compte. Vous utiliserez ce compartiment pour vos opérations Systems Manager. Il fournit des autorisations pour les objets du compartiment, en utilisant "arn:aws:s3:::my-bucket-name/*" comme ressource. Pour plus d'informations sur l'attribution d'autorisations pour les buckets ou les objets contenus dans des buckets, consultez la rubrique Actions Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service et le billet de AWS blog IAM Policies and Bucket Policies and ! ACLs Oh My! (Contrôler l'accès aux ressources S3).

    Note

    Si vous utilisez plusieurs compartiments, fournissez l'ARN de chacun d'entre eux. Consultez l'exemple suivant pour connaître les autorisations sur les compartiments.

    "Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
               ]

    -ou-

    Si vous n'utilisez pas un compartiment S3 vous appartenant dans vos opérations Systems Manager, vous pouvez supprimer le second élément Statement.

  6. Choisissez Suivant : Balises.

  7. (Facultatif) Ajoutez des identifications en choisissant Add tag (Ajouter une identification), et en saisissant les identifications préférées de la politique.

  8. Choisissez Suivant : Vérification.

  9. Pour Name (Nom), saisissez un nom pour identifier cette politique, par exemple SSMInstanceProfileS3Policy.

  10. Choisissez Create Policy (Créer une politique).

Considérations en matière de politique supplémentaires pour les instances gérées

Cette section décrit certaines des politiques que vous pouvez ajouter au rôle IAM par défaut créé par la Configuration de gestion des hôtes par défaut, ou les profils d'instance pour AWS Systems Manager. Pour fournir des autorisations de communication entre les instances et l'API Systems Manager, nous vous recommandons de créer des politiques personnalisées reflétant les besoins de votre système et les exigences de sécurité. En fonction de votre plan d'opérations, vous pouvez avoir besoin des autorisations représentées dans une ou plusieurs des trois autres politiques.

Stratégie : AmazonSSMDirectoryServiceAccess

Obligatoire uniquement si vous prévoyez de rejoindre EC2 des instances Amazon pour Windows Server dans un annuaire Microsoft AD.

Cette politique AWS gérée permet SSM Agent pour accéder AWS Directory Service en votre nom aux demandes de connexion au domaine émanant de l'instance gérée. Pour plus d'informations, voir Rejoindre facilement une EC2 instance Windows dans le Guide AWS Directory Service d'administration.

Stratégie : CloudWatchAgentServerPolicy

Obligatoire uniquement si vous prévoyez d'installer et d'exécuter l' CloudWatch agent sur vos instances pour lire les données métriques et de journal d'une instance et les écrire sur Amazon CloudWatch. Ils vous aident à surveiller, à analyser et à répondre rapidement aux problèmes ou aux modifications de vos AWS ressources.

Votre rôle IAM par défaut créé par la configuration de gestion d'hôte par défaut ou le profil d'instance nécessite cette politique uniquement si vous utilisez des fonctionnalités telles qu'Amazon EventBridge ou Amazon CloudWatch Logs. (Vous pouvez également créer une politique plus restrictive qui, par exemple, limite l'accès en écriture à un flux de journal CloudWatch Logs spécifique.)

Note

CloudWatch Les fonctionnalités d'utilisation EventBridge et de journalisation sont facultatives. Toutefois, nous vous recommandons de les paramétrer dès le début de votre processus de configuration de Systems Manager si vous avez décidé de les utiliser. Pour plus d'informations, consultez le guide de EventBridge l'utilisateur Amazon et le guide de l'utilisateur Amazon CloudWatch Logs.

Pour créer des politiques IAM avec des autorisations pour des outils supplémentaires de Systems Manager, consultez les ressources suivantes :

Attacher le profil d'instance Systems Manager à une instance (console)

La procédure suivante décrit comment associer un profil d'instance IAM à une EC2 instance Amazon à l'aide de la EC2 console Amazon.

  1. Connectez-vous à la EC2 console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous Instances, choisissez Instances.

  3. Accédez à votre EC2 instance et choisissez-la dans la liste.

  4. Dans le menu Actions, sélectionnez Security (Sécurité), Modify IAM role (Modifier le rôle IAM).

  5. Pour Rôle IAM, sélectionnez le profil d'instance que vous avez créé via la procédure décrite à l'Configuration alternative pour les autorisations d' EC2instance.

  6. Choisissez Update IAM role (Mise à jour du rôle IAM).

Pour de plus amples informations sur l'attachement de rôles IAM à des instances, choisissez l'une des options suivantes, en fonction du type de système d'exploitation sélectionné :

Passez au Améliorez la sécurité des EC2 instances en utilisant des points de terminaison VPC pour Systems Manager.