Konfigurasikan izin instans yang diperlukan untuk Systems Manager - AWS Systems Manager
Konfigurasi yang disarankan untuk izin instans EC2Konfigurasi alternatif untuk izin instans EC2(Opsional) Buat kebijakan khusus untuk akses bucket S3Pertimbangan kebijakan tambahan untuk instans terkelolaLampirkan profil instance Systems Manager ke instance (konsol)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan izin instans yang diperlukan untuk Systems Manager

Secara default, AWS Systems Manager tidak memiliki izin untuk melakukan tindakan pada instance Anda. Anda dapat memberikan izin instans di tingkat akun menggunakan peran AWS Identity and Access Management (IAM), atau di tingkat instans menggunakan profil instance. Jika kasus penggunaan Anda memungkinkan, kami sarankan untuk memberikan akses di tingkat akun menggunakan Konfigurasi Manajemen Host Default.

Konfigurasi yang disarankan untuk izin instans EC2

Konfigurasi Manajemen Host Default memungkinkan Systems Manager mengelola instans Amazon EC2 Anda secara otomatis. Setelah Anda mengaktifkan setelan ini, semua instance yang menggunakan Layanan Metadata Instans Versi 2 (IMDSv2) di Wilayah AWS dan Akun AWS dengan SSM Agent versi 3.2.582.0 atau yang lebih baru diinstal secara otomatis menjadi instance terkelola. Konfigurasi Manajemen Host Default tidak mendukung Layanan Metadata Instans Versi 1. Untuk informasi tentang transisi ke IMDSv2, lihat Transisi menggunakan Layanan Metadata Instans Versi 2 di Panduan Pengguna Amazon EC2. Untuk informasi tentang memeriksa versi yang SSM Agent diinstal pada instans Anda, lihatMemeriksa nomor SSM Agent versi. Untuk informasi tentang memperbaruiSSM Agent, lihatMemperbarui secara otomatis SSM Agent. Manfaat instans terkelola meliputi:

  • Connect ke instans Anda dengan aman menggunakan. Session Manager

  • Lakukan pemindaian patch otomatis menggunakanPatch Manager.

  • Lihat informasi terperinci tentang instans Anda menggunakan Systems Manager Inventory.

  • Lacak dan kelola instance menggunakanFleet Manager.

  • Tetap SSM Agent up to date secara otomatis.

Fleet Manager, InventarisPatch Manager,, dan Session Manager merupakan kemampuan AWS Systems Manager.

Konfigurasi Manajemen Host Default memungkinkan pengelolaan instans tanpa menggunakan profil instans dan memastikan bahwa Systems Manager memiliki izin untuk mengelola semua instance di Wilayah dan akun. Jika izin yang diberikan tidak cukup untuk kasus penggunaan, Anda juga dapat menambahkan kebijakan ke peran IAM default yang dibuat oleh Konfigurasi Manajemen Host Default. Atau, jika Anda tidak memerlukan izin untuk semua kemampuan yang disediakan oleh peran IAM default, Anda dapat membuat peran dan kebijakan kustom Anda sendiri. Setiap perubahan yang dibuat pada peran IAM yang Anda pilih untuk Konfigurasi Manajemen Host Default berlaku untuk semua instans Amazon EC2 yang dikelola di Wilayah dan akun. Untuk informasi selengkapnya tentang kebijakan yang digunakan oleh Konfigurasi Manajemen Host Default, lihat. AWS kebijakan terkelola: Kebijakan InstanceDefault AmazonsSMManageDEC2 Untuk informasi selengkapnya tentang Konfigurasi Manajemen Host Default, lihatMenggunakan pengaturan Konfigurasi Manajemen Host Default.

penting

Instans yang terdaftar menggunakan Konfigurasi Manajemen Host Default menyimpan informasi pendaftaran secara lokal di direktori /lib/amazon/ssm atauC:\ProgramData\Amazon. Menghapus direktori ini atau file-file mereka akan mencegah instance memperoleh kredensyal yang diperlukan untuk terhubung ke Systems Manager menggunakan Default Host Management Configuration. Dalam kasus ini, Anda harus menggunakan profil instance untuk memberikan izin yang diperlukan untuk instans Anda, atau membuat ulang instance.

catatan

Prosedur ini dimaksudkan untuk dilakukan hanya oleh administrator. Terapkan akses hak istimewa terkecil saat mengizinkan individu untuk mengonfigurasi atau memodifikasi Konfigurasi Manajemen Host Default. Anda harus mengaktifkan Konfigurasi Manajemen Host Default di setiap yang Wilayah AWS Anda inginkan untuk mengelola instans Amazon EC2 Anda secara otomatis.

Untuk mengaktifkan pengaturan Konfigurasi Manajemen Host Default

Anda dapat mengaktifkan Konfigurasi Manajemen Host Default dari Fleet Manager konsol. Agar berhasil menyelesaikan prosedur ini menggunakan alat baris perintah AWS Management Console atau pilihan Anda, Anda harus memiliki izin untuk operasi GetServiceSetting, ResetServiceSetting, dan UpdateServiceSetting API. Selain itu, Anda harus memiliki izin untuk iam:PassRole izin untuk peran AWSSystemsManagerDefaultEC2InstanceManagementRole IAM. Berikut ini adalah contoh kebijakan . Ganti setiap placeholder sumber daya contoh dengan informasi Anda sendiri.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ssm:GetServiceSetting",
				"ssm:ResetServiceSetting",
				"ssm:UpdateServiceSetting"
			],
			"Resource": "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": "arn:aws:iam::account-id:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
			"Condition": {
				"StringEquals": {
					"iam:PassedToService": [
						"ssm.amazonaws.com"
					]
				}
			}
		}
	]
}

Sebelum memulai, jika Anda memiliki profil instans yang dilampirkan ke instans Amazon EC2 Anda, hapus izin apa pun yang memungkinkan pengoperasian. ssm:UpdateInstanceInformation SSM AgentUpaya untuk menggunakan izin profil instance sebelum menggunakan izin Konfigurasi Manajemen Host Default. Jika Anda mengizinkan ssm:UpdateInstanceInformation operasi di profil instans Anda, instans tidak akan menggunakan izin Konfigurasi Manajemen Host Default.

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Fleet Manager.

  3. Pilih Konfigurasi Konfigurasi Manajemen Host Default di bawah tarik-turun Manajemen akun.

  4. Aktifkan Aktifkan Konfigurasi Manajemen Host Default.

  5. Pilih peran IAM yang digunakan untuk mengaktifkan kemampuan Systems Manager untuk instans Anda. Sebaiknya gunakan peran default yang disediakan oleh Konfigurasi Manajemen Host Default. Ini berisi set izin minimum yang diperlukan untuk mengelola instans Amazon EC2 Anda menggunakan Systems Manager. Jika Anda lebih suka menggunakan peran khusus, kebijakan kepercayaan peran tersebut harus mengizinkan Systems Manager sebagai entitas tepercaya.

  6. Pilih Konfigurasi untuk menyelesaikan penyiapan.

Setelah mengaktifkan Konfigurasi Manajemen Host Default, mungkin diperlukan waktu 30 menit agar instans Anda menggunakan kredensyal peran yang Anda pilih. Anda harus mengaktifkan Konfigurasi Manajemen Host Default di setiap Wilayah yang ingin Anda kelola instans Amazon EC2 secara otomatis.

Tampilkan lebih banyakTampilkan lebih sedikit

Konfigurasi alternatif untuk izin instans EC2

Anda dapat memberikan akses pada tingkat instans individual dengan menggunakan profil instans AWS Identity and Access Management (IAM). Profil instans adalah kontainer yang menyampaikan informasi IAM role ke instans Amazon Elastic Compute Cloud (Amazon EC2) saat peluncuran. Anda dapat membuat profil instans untuk Systems Manager dengan melampirkan satu atau lebih kebijakan IAM yang menentukan izin yang diperlukan untuk peran baru atau peran yang telah Anda buat.

catatan

Anda dapat menggunakanQuick Setup, kemampuan AWS Systems Manager, untuk dengan cepat mengkonfigurasi profil instans pada semua instance di Anda Akun AWS. Quick Setupjuga membuat peran layanan IAM (atau mengambil peran), yang memungkinkan Systems Manager menjalankan perintah dengan aman pada instance Anda atas nama Anda. Dengan menggunakanQuick Setup, Anda dapat melewati langkah ini (Langkah 3) dan Langkah 4. Untuk informasi selengkapnya, lihat AWS Systems Manager Quick Setup.

Perhatikan rincian berikut tentang membuat profil instans IAM:

  • Jika Anda mengonfigurasi mesin non-EC2 di lingkungan hybrid dan multicloud untuk Systems Manager, Anda tidak perlu membuat profil instans untuk mereka. Sebaliknya, konfigurasi server dan VM Anda untuk menggunakan peran layanan IAM. Untuk informasi selengkapnya, lihat Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud.

  • Jika Anda mengubah profil instans IAM, kredensi instans mungkin perlu beberapa waktu untuk menyegarkan. SSM Agenttidak akan memproses permintaan sampai ini terjadi. Untuk mempercepat proses penyegaran, Anda dapat memulai ulang SSM Agent atau memulai ulang instance.

Tergantung pada apakah Anda membuat peran baru untuk profil instans atau menambahkan izin yang diperlukan ke peran yang ada, gunakan salah satu prosedur berikut.

Untuk membuat profil instans untuk instans terkelola Systems Manager (konsol)

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran, lalu pilih Buat peran.

  3. Untuk jenis entitas Tepercaya, pilih Layanan AWS.

  4. Segera di bawah Kasus penggunaan, pilih EC2, lalu pilih Berikutnya.

  5. Pada halaman Tambahkan izin, lakukan hal berikut:

    • Gunakan bidang Pencarian untuk menemukan kebijakan Inti AmazonSSM ManagedInstance. Pilih kotak centang di sebelah namanya.

      Memilih layanan EC2 di konsol IAM

      Konsol mempertahankan pilihan Anda bahkan jika Anda mencari kebijakan lain.

    • Jika Anda membuat kebijakan bucket S3 kustom di prosedur sebelumnya(Opsional) Buat kebijakan khusus untuk akses bucket S3, cari kebijakan tersebut dan pilih kotak centang di samping namanya.

    • Jika Anda berencana untuk menggabungkan instance ke Active Directory yang dikelola oleh AWS Directory Service, cari AmazonSSM DirectoryService Access dan pilih kotak centang di samping namanya.

    • Jika Anda berencana untuk menggunakan EventBridge atau CloudWatch Log untuk mengelola atau memantau instans Anda, cari CloudWatchAgentServerKebijakan dan pilih kotak centang di samping namanya.

  6. Pilih Selanjutnya.

  7. Untuk nama Peran, masukkan nama untuk profil instans baru Anda, sepertiSSMInstanceProfile.

    catatan

    Buat catatan tentang nama peran. Anda akan memilih peran ini ketika Anda membuat instans baru yang ingin Anda kelola dengan menggunakan Systems Manager.

  8. (Opsional) Untuk Deskripsi, perbarui deskripsi untuk profil contoh ini.

  9. (Opsional) Untuk Tag, tambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih Buat peran. Sistem mengembalikan Anda ke halaman Peran.

Tampilkan lebih banyakTampilkan lebih sedikit
Untuk menambahkan izin profil instans pada Systems Manager untuk peran yang ada (konsol)

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran, lalu pilih peran yang ada yang ingin Anda kaitkan dengan profil instans untuk operasi Systems Manager.

  3. Pada tab Izin, pilih Tambahkan izin, Lampirkan kebijakan.

  4. Pada halaman Lampirkan kebijakan, lakukan hal berikut:

    • Gunakan bidang Pencarian untuk menemukan kebijakan Inti AmazonSSM ManagedInstance. Pilih kotak centang di sebelah namanya.

    • Jika Anda telah membuat kebijakan bucket S3 kustom, cari kebijakan tersebut dan pilih kotak centang di samping namanya. Untuk informasi tentang kebijakan bucket S3 kustom untuk profil instans, lihat (Opsional) Buat kebijakan khusus untuk akses bucket S3.

    • Jika Anda berencana untuk menggabungkan instance ke Active Directory yang dikelola oleh AWS Directory Service, cari AmazonSSM DirectoryService Access dan pilih kotak centang di samping namanya.

    • Jika Anda berencana untuk menggunakan EventBridge atau CloudWatch Log untuk mengelola atau memantau instans Anda, cari CloudWatchAgentServerKebijakan dan pilih kotak centang di samping namanya.

  5. Pilih Lampirkan kebijakan.

Tampilkan lebih banyakTampilkan lebih sedikit

Untuk informasi tentang cara memperbarui peran untuk menyertakan entitas tepercaya atau membatasi akses lebih lanjut, lihat Memodifikasi peran dalam Panduan Pengguna IAM.

(Opsional) Buat kebijakan khusus untuk akses bucket S3

Membuat kebijakan kustom untuk akses Amazon S3 hanya jika Anda memerlukan untuk menggunakan VPC endpoint atau menggunakan bucket S3 Anda sendiri dalam operasi Systems Manager Anda. Anda dapat melampirkan kebijakan ini ke peran IAM default yang dibuat oleh Konfigurasi Manajemen Host Default, atau profil instans yang Anda buat di prosedur sebelumnya.

Untuk informasi tentang bucket S3 AWS terkelola yang dapat Anda akses dalam kebijakan berikut, lihat. SSM Agentkomunikasi dengan bucket S3 AWS terkelola

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan dan kemudian pilih Buat kebijakan.

  3. Pilih tab JSON, dan ganti teks default dengan yang berikut ini.

    {
    "Version": "2012-10-17",
    "Statement": [
        Footnote callout 1 to explain a line in a JSON policy{
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::aws-ssm-region/*",
                "arn:aws:s3:::aws-windows-downloads-region/*",
                "arn:aws:s3:::amazon-ssm-region/*",
                "arn:aws:s3:::amazon-ssm-packages-region/*",
                "arn:aws:s3:::region-birdwatcher-prod/*",
                "arn:aws:s3:::aws-ssm-distributor-file-region/*",
                "arn:aws:s3:::aws-ssm-document-attachments-region/*",
                "arn:aws:s3:::patch-baseline-snapshot-region/*"
            ]
        },
        Footnote callout 2 to explain a line in a JSON policy{
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl", Footnote callout 3 to explain a line in a JSON policy
                "s3:GetEncryptionConfiguration" Footnote callout 4 to explain a line in a JSON policy
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET" Footnote callout 5 to explain a line in a JSON policy
            ]
        }
    ]
}

    1 Yang pertama elemen Statement hanya diperlukan jika Anda menggunakan VPC endpoint.

    2 Yang kedua elemen Statement hanya diperlukan jika Anda menggunakan bucket S3 yang Anda buat untuk digunakan dalam operasi Systems Manager Anda.

    3 Izin daftar kontrol akses PutObjectAcl hanya diperlukan jika Anda berencana untuk mendukung akses lintas akun ke bucket S3 di akun lain.

    4 Elemen GetEncryptionConfiguration diperlukan jika bucket S3 Anda dikonfigurasi untuk menggunakan enkripsi.

    5 Jika bucket S3 Anda dikonfigurasi untuk menggunakan enkripsi, maka bucket root S3 (misalnya, arn:aws:s3:::DOC-EXAMPLE-BUCKET) harus terdaftar dalam bagian Sumber Daya. Pengguna, grup, atau peran Anda harus dikonfigurasi dengan akses ke root bucket.

  4. Jika Anda menggunakan VPC endpoint dalam operasi Anda, lakukan hal berikut:

    Dalam elemen Statement pertama, ganti masing-masing wilayah Placeholder dengan pengidentifikasi kebijakan dasar Wilayah AWS yang akan digunakan. Misalnya, gunakan us-east-2 untuk Wilayah US East (Ohio). Untuk daftar nilai wilayah yang didukung, lihat kolom Region di titik akhir layanan Systems Manager di Referensi Umum Amazon Web Services.

    penting

    Kami menyarankan Anda untuk menghindari menggunakan karakter wildcard (*) di tempat Wilayah tertentu dalam kebijakan ini. Misalnya, gunakan arn:aws:s3:::aws-ssm-us-east-2/* dan jangan gunakan arn:aws:s3:::aws-ssm-*/*. Menggunakan wildcard dapat menyediakan akses ke bucket S3 yang tidak ingin Anda berikan akses. Jika Anda ingin menggunakan profil instans untuk lebih dari satu Wilayah, kami sarankan Anda mengulangi elemen Statement pertama untuk setiap Wilayah.

    -atau-

    Jika Anda tidak menggunakan VPC endpoint dalam operasi Anda, Anda dapat menghapus elemen Statement.

  5. Jika Anda menggunakan bucket S3 milik Anda sendiri dalam operasi Systems Manager, lakukan hal berikut:

    Di elemen Statement kedua, ganti DOC-CONTOH-BUCKET dengan nama bucket S3 di akun Anda. Anda akan menggunakan bucket ini untuk operasi Systems Manager Anda. Ini memberikan izin objek dalam bucket, gunakan "arn:aws:s3:::my-bucket-name/*" sebagai sumber daya. Untuk informasi selengkapnya tentang memberikan izin untuk bucket atau objek dalam bucket, lihat topik tindakan Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon dan posting AWS blog Kebijakan IAM dan Kebijakan Bucket dan ACL! Astaga! (Mengontrol Akses ke Sumber Daya S3).

    catatan

    Jika Anda menggunakan lebih dari satu bucket, memberikan untuk masing-masing ARN. Lihat contoh berikut untuk izin pada bucket.

    "Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"
               ]

    -atau-

    Jika Anda tidak menggunakan bucket S3 milik Anda sendiri dalam operasi Systems Manager, Anda dapat menghapus elemen Statement kedua.

  6. Pilih Berikutnya: Tanda.

  7. (Opsional) Tambahkan tag dengan memilih Tambah tag, dan masukkan tag pilihan untuk kebijakan tersebut.

  8. Pilih Berikutnya: Tinjau.

  9. Untuk Nama, masukkan nama untuk mengidentifikasi kebijakan ini, sepertiSSMInstanceProfileS3Policy.

  10. Pilih Buat kebijakan.

Pertimbangan kebijakan tambahan untuk instans terkelola

Bagian ini menjelaskan beberapa kebijakan yang dapat Anda tambahkan ke peran IAM default yang dibuat oleh Konfigurasi Manajemen Host Default, atau profil instans Anda. AWS Systems Manager Untuk memberikan izin komunikasi antara instans dan Systems Manager API, sebaiknya buat kebijakan khusus yang mencerminkan kebutuhan sistem dan persyaratan keamanan Anda. Bergantung pada rencana operasi, Anda mungkin memerlukan izin yang direpresentasikan dalam satu atau beberapa kebijakan lainnya.

Kebijakan: AmazonSSMDirectoryServiceAccess

Hanya diperlukan jika Anda berencana untuk bergabung dengan instans Amazon EC2 untuk Windows Server ke direktori Microsoft AD.

Kebijakan AWS terkelola ini memungkinkan SSM Agent untuk mengakses AWS Directory Service atas nama Anda untuk permintaan bergabung dengan domain oleh instans terkelola. Untuk informasi selengkapnya, lihat Bergabung dengan Instans Windows EC2 dengan mulus di Panduan AWS Directory Service Administrasi.

Kebijakan: CloudWatchAgentServerPolicy

Diperlukan hanya jika Anda berencana untuk menginstal dan menjalankan CloudWatch agen pada instans Anda untuk membaca metrik dan data log pada sebuah instance dan menuliskannya ke Amazon CloudWatch. Ini membantu Anda memantau, menganalisis, dan dengan cepat menanggapi masalah atau perubahan AWS sumber daya Anda.

Peran IAM default Anda yang dibuat oleh Konfigurasi Manajemen Host Default atau profil instans memerlukan kebijakan ini hanya jika Anda akan menggunakan fitur seperti Amazon EventBridge atau Amazon CloudWatch Logs. (Anda juga dapat membuat kebijakan yang lebih ketat yang, misalnya, membatasi akses penulisan ke aliran CloudWatch log Log tertentu.)

catatan

Menggunakan EventBridge dan CloudWatch Log fitur adalah opsional. Namun, kami sarankan untuk mengaturnya di awal proses konfigurasi Systems Manager jika Anda memutuskan untuk menggunakannya. Untuk informasi selengkapnya, lihat Panduan EventBridge Pengguna Amazon dan Panduan Pengguna CloudWatch Log Amazon.

Untuk membuat kebijakan IAM dengan izin untuk kemampuan Systems Manager tambahan, lihat sumber daya berikut:

Lampirkan profil instance Systems Manager ke instance (konsol)

  1. Masuk ke AWS Management Console dan buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, di bawah Instans, pilih Instans.

  3. Arahkan ke dan pilih instans EC2 Anda dari daftar.

  4. Pilih menu Actions, pilih Security, Modify IAM role.

  5. Untuk IAM role, pilih profil instans yang Anda buat menggunakan prosedur ini Konfigurasi alternatif untuk izin instans EC2.

  6. Pilih Perbarui peran IAM.

Untuk informasi lebih lanjut tentang melampirkan IAM role ke instans, pilih salah satu dari berikut ini, tergantung pada jenis sistem operasi yang Anda pilih:

Lanjutkan ke Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk Systems Manager.