Konfigurasikan izin instans yang diperlukan untuk Systems Manager - AWS Systems Manager
Konfigurasi yang disarankan untuk izin EC2 misalnyaKonfigurasi alternatif untuk izin EC2 misalnya(Opsional) Membuat kebijakan kustom untuk akses bucket S3Pertimbangan kebijakan tambahan untuk instans terkelolaMelampirkan profil instans Systems Manager ke instans (konsol)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan izin instans yang diperlukan untuk Systems Manager

Secara default, AWS Systems Manager tidak memiliki izin untuk melakukan tindakan pada instans Anda. Anda dapat memberikan izin instans di tingkat akun menggunakan peran AWS Identity and Access Management (IAM), atau di tingkat instans menggunakan profil instance. Jika kasus penggunaan Anda memungkinkan, kami sarankan untuk memberikan akses di tingkat akun menggunakan Konfigurasi Manajemen Host Default.

catatan

Anda dapat melewati langkah ini dan mengizinkan Systems Manager menerapkan izin yang diperlukan ke instans saat menyiapkan konsol terpadu. Untuk informasi selengkapnya, lihat Mengatur AWS Systems Manager.

Konfigurasi yang disarankan untuk izin EC2 misalnya

Konfigurasi Manajemen Host Default memungkinkan Systems Manager mengelola EC2 instans Amazon Anda secara otomatis. Setelah Anda mengaktifkan setelan ini, semua instance menggunakan Instance Metadata Service Version 2 (IMDSv2) di dan dengan Wilayah AWS Akun AWS SSM Agent versi 3.2.582.0 atau yang lebih baru diinstal secara otomatis menjadi instance terkelola. Konfigurasi Manajemen Host Default tidak mendukung Layanan Metadata Instans Versi 1. Untuk informasi tentang transisi keIMDSv2, lihat Transisi menggunakan Layanan Metadata Instans Versi 2 di Panduan Pengguna Amazon. EC2 Untuk informasi tentang memeriksa versi SSM Agent diinstal pada instance Anda, lihatMemeriksa nomor SSM Agent versi. Untuk informasi tentang memperbarui SSM Agent, lihat Memperbarui secara otomatis SSM Agent. Manfaat instans terkelola meliputi:

  • Terhubung ke instans Anda dengan aman menggunakan Session Manager.

  • Lakukan pemindaian patch otomatis menggunakan Patch Manager.

  • Lihat informasi terperinci tentang instans Anda menggunakan Systems Manager Inventory.

  • Lacak dan kelola instance menggunakan Fleet Manager.

  • Simpan SSM Agent terbaru secara otomatis.

Fleet Manager, Persediaan, Patch Manager, dan Session Manager adalah kemampuan AWS Systems Manager.

Konfigurasi Manajemen Host Default memungkinkan pengelolaan instans tanpa menggunakan profil instans dan memastikan bahwa Systems Manager memiliki izin untuk mengelola semua instance di Wilayah dan akun. Jika izin yang diberikan tidak cukup untuk kasus penggunaan, Anda juga dapat menambahkan kebijakan ke IAM peran default yang dibuat oleh Konfigurasi Manajemen Host Default. Atau, jika Anda tidak memerlukan izin untuk semua kemampuan yang disediakan oleh IAM peran default, Anda dapat membuat peran dan kebijakan kustom Anda sendiri. Setiap perubahan yang dibuat pada IAM peran yang Anda pilih untuk Konfigurasi Manajemen Host Default berlaku untuk semua EC2 instans Amazon yang dikelola di Wilayah dan akun. Untuk informasi selengkapnya tentang kebijakan yang digunakan oleh Konfigurasi Manajemen Host Default, lihat. AWS kebijakan terkelola: A mazonSSMManaged EC2InstanceDefaultPolicy Untuk informasi selengkapnya tentang Konfigurasi Manajemen Host Default, lihatMengelola EC2 instans secara otomatis dengan Konfigurasi Manajemen Host Default.

penting

Instans yang terdaftar menggunakan Konfigurasi Manajemen Host Default menyimpan informasi pendaftaran secara lokal di direktori /lib/amazon/ssm atauC:\ProgramData\Amazon. Menghapus direktori ini atau file-file mereka akan mencegah instance memperoleh kredensi yang diperlukan untuk terhubung ke Systems Manager menggunakan Default Host Management Configuration. Dalam kasus ini, Anda harus menggunakan profil instance untuk memberikan izin yang diperlukan untuk instans Anda, atau membuat ulang instance.

catatan

Prosedur ini dimaksudkan untuk dilakukan hanya oleh administrator. Terapkan akses hak istimewa terkecil saat mengizinkan individu untuk mengonfigurasi atau memodifikasi Konfigurasi Manajemen Host Default. Anda harus mengaktifkan Konfigurasi Manajemen Host Default di setiap yang Wilayah AWS Anda inginkan untuk mengelola EC2 instans Amazon Anda secara otomatis.

Untuk mengaktifkan pengaturan Konfigurasi Manajemen Host Default

Anda dapat mengaktifkan Konfigurasi Manajemen Host Default dari Fleet Manager konsol. Agar berhasil menyelesaikan prosedur ini menggunakan alat baris perintah AWS Management Console atau pilihan Anda, Anda harus memiliki izin untuk GetServiceSetting, ResetServiceSetting, dan UpdateServiceSettingAPIoperasi. Selain itu, Anda harus memiliki izin untuk iam:PassRole izin untuk AWSSystemsManagerDefaultEC2InstanceManagementRole IAM peran tersebut. Berikut ini adalah contoh kebijakan . Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ssm:GetServiceSetting",
				"ssm:ResetServiceSetting",
				"ssm:UpdateServiceSetting"
			],
			"Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"ssm.amazonaws.com"
					]
				}
			}
		}
	]
}

Sebelum memulai, jika Anda memiliki profil instans yang dilampirkan ke EC2 instans Amazon Anda, hapus izin apa pun yang memungkinkan operasi. ssm:UpdateInstanceInformation Bagian SSM Agent mencoba menggunakan izin profil instans sebelum menggunakan izin Konfigurasi Manajemen Host Default. Jika Anda mengizinkan ssm:UpdateInstanceInformation operasi di profil instans Anda, instans tidak akan menggunakan izin Konfigurasi Manajemen Host Default.

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Fleet Manager.

  3. Pilih Konfigurasi Konfigurasi Manajemen Host Default di bawah tarik-turun Manajemen akun.

  4. Aktifkan Aktifkan Konfigurasi Manajemen Host Default.

  5. Pilih IAM peran yang digunakan untuk mengaktifkan kemampuan Systems Manager untuk instans Anda. Sebaiknya gunakan peran default yang disediakan oleh Konfigurasi Manajemen Host Default. Ini berisi set izin minimum yang diperlukan untuk mengelola EC2 instans Amazon Anda menggunakan Systems Manager. Jika Anda lebih suka menggunakan peran khusus, kebijakan kepercayaan peran tersebut harus mengizinkan Systems Manager sebagai entitas tepercaya.

  6. Pilih Mengonfigurasi untuk menyelesaikan penyiapan.

Setelah mengaktifkan Konfigurasi Manajemen Host Default, mungkin diperlukan waktu 30 menit untuk instans Anda untuk menggunakan kredenal peran yang Anda pilih. Anda harus mengaktifkan Konfigurasi Manajemen Host Default di setiap Wilayah yang ingin Anda kelola EC2 instans Amazon secara otomatis.

Tampilkan lebih banyakTampilkan lebih sedikit

Konfigurasi alternatif untuk izin EC2 misalnya

Anda dapat memberikan akses pada tingkat instans individual dengan menggunakan profil instance AWS Identity and Access Management (IAM). Profil instans adalah kontainer yang meneruskan informasi IAM peran ke instans Amazon Elastic Compute Cloud (AmazonEC2) saat peluncuran. Anda dapat membuat profil instans untuk Systems Manager dengan melampirkan satu atau lebih IAM kebijakan yang menentukan izin yang diperlukan untuk peran baru atau peran yang telah Anda buat.

catatan

Anda dapat menggunakan Quick Setup, kemampuan AWS Systems Manager, untuk dengan cepat mengkonfigurasi profil instans pada semua instans di. Akun AWSQuick Setup juga membuat peran IAM layanan (atau mengasumsikan peran), yang memungkinkan Systems Manager untuk menjalankan perintah dengan aman pada instans Anda atas nama Anda. Dengan menggunakan Quick Setup, Anda dapat melewati langkah ini (langkah 3) dan langkah 4. Untuk informasi selengkapnya, lihat AWS Systems Manager Quick Setup.

Perhatikan rincian berikut tentang membuat profil IAM instans:

  • Jika Anda mengkonfigurasi EC2 non-mesin di lingkungan hibrida dan multicloud untuk Systems Manager, Anda tidak perlu membuat profil instans untuk mereka. Sebaliknya, konfigurasi server Anda dan VMs gunakan peran IAM layanan. Untuk informasi selengkapnya, lihat Membuat peran IAM layanan yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud.

  • Jika Anda mengubah profil IAM instans, mungkin diperlukan beberapa waktu untuk me-refresh kredensional instans. SSM Agent tidak akan memproses permintaan sampai hal ini terjadi. Untuk mempercepat proses penyegaran, Anda dapat me-restart SSM Agent atau me-restart instans.

Tergantung pada apakah Anda membuat peran baru untuk profil instans atau menambahkan izin yang diperlukan ke peran yang ada, gunakan salah satu prosedur berikut.

Untuk membuat profil instans untuk instans terkelola Systems Manager (konsol)

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran, lalu pilih Buat peran.

  3. Untuk jenis entitas Tepercaya, pilih Layanan AWS.

  4. Segera di bawah Use case EC2, pilih, lalu pilih Berikutnya.

  5. Di laman Tambahkan izin, lakukan hal berikut:

    • Gunakan kolom Pencarian untuk menemukan mazonSSMManaged InstanceCore kebijakan A. Pilih kotak centang di samping nama, seperti yang ditunjukkan dalam ilustrasi berikut.

      Kotak centang dipilih di mazonSSMManaged InstanceCore baris A.

      Konsol mempertahankan pilihan Anda bahkan jika Anda mencari kebijakan lain.

    • Jika Anda membuat kebijakan bucket S3 kustom di prosedur sebelumnya(Opsional) Membuat kebijakan kustom untuk akses bucket S3, cari dan centang kotak di samping nama.

    • Jika Anda berencana untuk bergabung dengan instans ke Active Directory yang dikelola oleh AWS Directory Service, cari A mazonSSMDirectory ServiceAccess dan centang kotak di samping nama.

    • Jika Anda berencana menggunakan EventBridge atau CloudWatch Logs untuk mengelola atau memantau instans Anda, cari CloudWatchAgentServerPolicydan centang kotak di samping nama.

  6. Pilih Berikutnya.

  7. Untuk Nama peran, masukkan nama untuk profil instans baru Anda, sepertiSSMInstanceProfile.

    catatan

    Buat catatan tentang nama peran. Anda akan memilih peran ini ketika Anda membuat instans baru yang ingin Anda kelola dengan menggunakan Systems Manager.

  8. (Opsional) Untuk Deskripsi, perbarui deskripsi untuk profil instans ini.

  9. (Opsional) Untuk Tag, tambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih Buat peran. Sistem mengembalikan Anda ke halaman Peran.

Tampilkan lebih banyakTampilkan lebih sedikit
Untuk menambahkan izin profil instans pada Systems Manager untuk peran yang ada (konsol)

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran, lalu pilih peran yang ada yang ingin Anda kaitkan dengan profil instans untuk operasi Systems Manager.

  3. Pada tab Izin, pilih Tambahkan izin, Lampirkan kebijakan.

  4. Di laman Lampirkan kebijakan, lakukan hal berikut:

    • Gunakan kolom Pencarian untuk menemukan mazonSSMManaged InstanceCore kebijakan A. Pilih kotak centang di samping nama.

    • Jika Anda telah membuat kebijakan bucket S3 kustom, cari dan centang kotak di samping nama. Untuk informasi tentang kebijakan bucket S3 kustom untuk profil instans, lihat (Opsional) Membuat kebijakan kustom untuk akses bucket S3.

    • Jika Anda berencana untuk bergabung dengan instans ke Active Directory yang dikelola oleh AWS Directory Service, cari A mazonSSMDirectory ServiceAccess dan centang kotak di samping nama.

    • Jika Anda berencana menggunakan EventBridge atau CloudWatch Logs untuk mengelola atau memantau instans Anda, cari CloudWatchAgentServerPolicydan centang kotak di samping nama.

  5. Pilih Lampirkan kebijakan.

Tampilkan lebih banyakTampilkan lebih sedikit

Untuk informasi tentang cara memperbarui peran untuk menyertakan entitas tepercaya atau membatasi akses lebih lanjut, lihat Memodifikasi peran di IAMPanduan Pengguna.

(Opsional) Membuat kebijakan kustom untuk akses bucket S3

Membuat kebijakan kustom untuk akses Amazon S3 hanya jika Anda memerlukan untuk menggunakan VPC endpoint atau menggunakan bucket S3 Anda sendiri dalam operasi Systems Manager Anda. Anda dapat melampirkan kebijakan ini ke IAM peran default yang dibuat oleh Konfigurasi Manajemen Host Default, atau profil instans yang Anda buat di prosedur sebelumnya.

Untuk informasi tentang bucket S3 AWS terkelola yang Anda berikan akses ke dalam kebijakan berikut, lihat. SSM Agent komunikasi dengan bucket S3 AWS terkelola

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan dan kemudian pilih Buat kebijakan.

  3. Pilih JSONtab, dan ganti teks default dengan hal berikut ini.

    {
    "Version": "2012-10-17",
    "Statement": [
        Footnote callout 1 to explain a line in a JSON policy{
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::aws-ssm-region/*",
                "arn:aws:s3:::aws-windows-downloads-region/*",
                "arn:aws:s3:::amazon-ssm-region/*",
                "arn:aws:s3:::amazon-ssm-packages-region/*",
                "arn:aws:s3:::region-birdwatcher-prod/*",
                "arn:aws:s3:::aws-ssm-distributor-file-region/*",
                "arn:aws:s3:::aws-ssm-document-attachments-region/*",
                "arn:aws:s3:::patch-baseline-snapshot-region/*"
            ]
        },
        Footnote callout 2 to explain a line in a JSON policy{
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl", Footnote callout 3 to explain a line in a JSON policy
                "s3:GetEncryptionConfiguration" Footnote callout 4 to explain a line in a JSON policy
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket/*",
                "arn:aws:s3:::amzn-s3-demo-bucket" Footnote callout 5 to explain a line in a JSON policy
            ]
        }
    ]
}

    1 Yang pertama Statement elemen hanya diperlukan jika Anda menggunakan VPC endpoint.

    2 Yang kedua elemen Statement hanya diperlukan jika Anda menggunakan bucket S3 yang Anda buat untuk digunakan dalam operasi Systems Manager Anda.

    3 Izin daftar kontrol akses PutObjectAcl hanya diperlukan jika Anda berencana untuk mendukung akses lintas akun ke bucket S3 di akun lain.

    4 Elemen GetEncryptionConfiguration diperlukan jika bucket S3 Anda dikonfigurasi untuk menggunakan enkripsi.

    5 Jika bucket S3 Anda dikonfigurasi untuk menggunakan enkripsi, maka bucket root S3 (misalnya, arn:aws:s3:::amzn-s3-demo-bucket) harus terdaftar dalam bagian Sumber Daya. Pengguna, grup, atau peran Anda harus dikonfigurasi dengan akses ke bucket root.

  4. Jika Anda menggunakan VPC endpoint dalam operasi Anda, lakukan hal berikut:

    Pada Statement elemen pertama, ganti masing-masing region Placeholder dengan pengidentifikasi kebijakan Wilayah AWS ini akan digunakan. Misalnya, gunakan us-east-2 untuk Wilayah US East (Ohio). Untuk daftar yang didukung region nilai, lihat kolom Region di titik akhir layanan Systems Manager di. Referensi Umum Amazon Web Services

    penting

    Kami menyarankan Anda untuk menghindari menggunakan karakter wildcard (*) di tempat Wilayah tertentu dalam kebijakan ini. Misalnya, gunakan arn:aws:s3:::aws-ssm-us-east-2/* dan jangan gunakan arn:aws:s3:::aws-ssm-*/*. Menggunakan wildcard dapat menyediakan akses ke bucket S3 yang tidak ingin Anda berikan akses. Jika Anda ingin menggunakan profil instans untuk lebih dari satu Wilayah, kami sarankan Anda mengulangi elemen Statement pertama untuk setiap Wilayah.

    -atau-

    Jika Anda tidak menggunakan VPC endpoint dalam operasi Anda, Anda dapat menghapus Statement elemen pertama.

  5. Jika Anda menggunakan bucket S3 milik Anda sendiri dalam operasi Systems Manager, lakukan hal berikut:

    Pada Statement elemen kedua, ganti amzn-s3-demo-bucket dengan nama bucket S3 di akun Anda. Anda akan menggunakan bucket ini untuk operasi Systems Manager Anda. Ini memberikan izin objek dalam bucket, gunakan "arn:aws:s3:::my-bucket-name/*" sebagai sumber daya. Untuk informasi lebih lanjut tentang menyediakan izin pada bucket atau objek dalam bucket, lihat topik Tindakan Amazon S3 di Panduan Pengguna Amazon Simple Storage Service dan post AWS blog Kebijakan dan IAMKebijakan bucket bucket! ACLs Astaga! (Mengontrol Akses ke Sumber Daya S3).

    catatan

    Jika Anda menggunakan lebih dari satu bucket, memberikan ARN untuk masing-masing. Lihat contoh berikut untuk izin pada bucket.

    "Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
               ]

    -atau-

    Jika Anda tidak menggunakan bucket S3 milik Anda sendiri dalam operasi Systems Manager, Anda dapat menghapus elemen Statement kedua.

  6. Pilih Berikutnya: Tag

  7. (Opsional) Tambahkan tag dengan memilih Tambah tag, dan masukkan tag pilihan untuk kebijakan tersebut.

  8. Pilih Berikutnya: Tinjau.

  9. Untuk Nama, masukkan nama untuk mengidentifikasi kebijakan ini, sepertiSSMInstanceProfileS3Policy.

  10. Pilih Buat kebijakan.

Pertimbangan kebijakan tambahan untuk instans terkelola

Bagian ini menjelaskan beberapa kebijakan yang dapat Anda tambahkan ke IAM peran default yang dibuat oleh Konfigurasi Manajemen Host Default, atau profil instans Anda AWS Systems Manager. Untuk memberikan izin komunikasi antara instans dan Systems ManagerAPI, kami menyarankan untuk membuat kebijakan kustom yang mencerminkan kebutuhan sistem dan persyaratan keamanan Anda. Tergantung pada rencana operasi, Anda mungkin memerlukan izin yang ditunjukkan dalam satu atau beberapa kebijakan.

Kebijakan: AmazonSSMDirectoryServiceAccess

Hanya diperlukan jika Anda berencana untuk bergabung dengan EC2 instans Amazon Windows Server ke direktori Microsoft AD.

Kebijakan AWS terkelola ini memungkinkan SSM Agent untuk mengakses AWS Directory Service atas nama Anda untuk meminta bergabung dengan domain berdasarkan instans terkelola. Untuk informasi selengkapnya, lihat Bergabung dengan EC2 Instans Windows di Panduan AWS Directory Service Administrasi.

Kebijakan: CloudWatchAgentServerPolicy

Hanya diperlukan jika Anda berencana untuk menginstal dan menjalankan CloudWatch agen pada instans Anda untuk membaca metrik dan mencatat data pada sebuah instans dan menulisnya ke Amazon CloudWatch. Ini membantu Anda memantau, menganalisis, dan merespons masalah atau perubahan dengan cepat pada perangkat AWS sumber daya Anda.

IAMPeran default Anda yang dibuat oleh Konfigurasi Manajemen Host Default atau profil instans hanya memerlukan kebijakan ini jika Anda akan menggunakan fitur seperti Amazon EventBridge atau Amazon CloudWatch Logs. (Anda juga dapat membuat kebijakan yang lebih ketat, misalnya, membatasi akses penulisan ke aliran log CloudWatch log tertentu.)

catatan

Menggunakan EventBridge dan CloudWatch Log fitur adalah opsional. Namun, kami merekomendasikan untuk mengaturnya di awal proses konfigurasi Systems Manager jika Anda memutuskan untuk menggunakannya. Untuk informasi selengkapnya, lihat Panduan EventBridge Pengguna Amazon dan Panduan Pengguna CloudWatch Log Amazon.

Untuk membuat IAM kebijakan dengan izin untuk kemampuan Systems Manager tambahan, lihat sumber daya berikut:

Melampirkan profil instans Systems Manager ke instans (konsol)

Prosedur berikut menjelaskan cara melampirkan profil IAM instance ke EC2 instans Amazon menggunakan EC2 konsol Amazon.

  1. Masuk ke AWS Management Console dan buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, di Instans, pilih Instans.

  3. Arahkan ke dan pilih EC2 instans Anda dari daftar.

  4. Di menu Tindakan, pilih Keamanan, Ubah IAM peran.

  5. Untuk IAMperan, pilih profil instans yang Anda buat menggunakan prosedur iniKonfigurasi alternatif untuk izin EC2 misalnya.

  6. Pilih Perbarui IAMperan.

Untuk informasi selengkapnya tentang melampirkan IAM peran ke instans, pilih salah satu dari berikut ini, tergantung pada tipe sistem operasi yang Anda pilih:

Lanjutkan ke Meningkatkan keamanan EC2 instans dengan menggunakan VPC endpoint untuk Systems Manager.