• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Konfigurasikan izin instans yang diperlukan untuk Systems Manager
<a name="setup-instance-permissions"></a>

Secara default, AWS Systems Manager tidak memiliki izin untuk melakukan tindakan pada instance Anda. Anda dapat memberikan izin instans di tingkat akun menggunakan peran AWS Identity and Access Management (IAM), atau di tingkat instans menggunakan profil instance. Jika kasus penggunaan Anda memungkinkan, kami sarankan untuk memberikan akses di tingkat akun menggunakan Konfigurasi Manajemen Host Default.

**catatan**  
Anda dapat melewati langkah ini dan mengizinkan Systems Manager menerapkan izin yang diperlukan ke instans saat menyiapkan konsol terpadu. Untuk informasi selengkapnya, lihat [Menyiapkan AWS Systems Manager](systems-manager-setting-up-console.md).

## Konfigurasi yang disarankan untuk izin instans EC2
<a name="default-host-management"></a>

Konfigurasi Manajemen Host default memungkinkan Systems Manager mengelola instans Amazon EC2 Anda secara otomatis. Setelah Anda mengaktifkan setelan ini, semua instance yang menggunakan Instans Metadata Service Version 2 (IMDSv2) di Wilayah AWS dan Akun AWS dengan SSM Agent versi 3.2.582.0 atau yang lebih baru diinstal secara otomatis menjadi instance terkelola. Konfigurasi Manajemen Host Default tidak mendukung Layanan Metadata Instans Versi 1. *Untuk informasi tentang [transisi ke IMDSv2, lihat Transisi menggunakan Layanan Metadata Instans Versi 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html) di Panduan Pengguna Amazon EC2.* Untuk informasi tentang memeriksa versi yang SSM Agent diinstal pada instans Anda, lihat[Memeriksa nomor SSM Agent versi](ssm-agent-get-version.md). Untuk informasi tentang memperbaruiSSM Agent, lihat[Memperbarui secara otomatis SSM Agent](ssm-agent-automatic-updates.md#ssm-agent-automatic-updates-console). Manfaat instans terkelola meliputi:
+ Connect ke instans Anda dengan aman menggunakan. Session Manager
+ Lakukan pemindaian patch otomatis menggunakanPatch Manager.
+ Lihat informasi terperinci tentang instans Anda menggunakan Systems Manager Inventory.
+ Lacak dan kelola instance menggunakanFleet Manager.
+ Tetap SSM Agent up to date secara otomatis.

Fleet Manager, InventarisPatch Manager,, dan Session Manager merupakan alat di AWS Systems Manager.

Konfigurasi Manajemen Host Default memungkinkan pengelolaan instans tanpa menggunakan profil instans dan memastikan bahwa Systems Manager memiliki izin untuk mengelola semua instance di Wilayah dan akun. Jika izin yang diberikan tidak cukup untuk kasus penggunaan, Anda juga dapat menambahkan kebijakan ke peran IAM default yang dibuat oleh Konfigurasi Manajemen Host Default. Atau, jika Anda tidak memerlukan izin untuk semua kemampuan yang disediakan oleh peran IAM default, Anda dapat membuat peran dan kebijakan kustom Anda sendiri. Setiap perubahan yang dibuat pada peran IAM yang Anda pilih untuk Konfigurasi Manajemen Host Default berlaku untuk semua instans Amazon EC2 yang dikelola di Wilayah dan akun. Untuk informasi selengkapnya tentang kebijakan yang digunakan oleh Konfigurasi Manajemen Host Default, lihat[AWS kebijakan terkelola: Amazon SSMManaged EC2 InstanceDefaultPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy). Untuk informasi selengkapnya tentang Konfigurasi Manajemen Host Default, lihat[Mengelola instans EC2 secara otomatis dengan Konfigurasi Manajemen Host Default](fleet-manager-default-host-management-configuration.md).

**penting**  
Instans yang terdaftar menggunakan Konfigurasi Manajemen Host Default menyimpan informasi pendaftaran secara lokal di direktori `/lib/amazon/ssm` atau`C:\ProgramData\Amazon`. Menghapus direktori ini atau file-file mereka akan mencegah instance memperoleh kredensi yang diperlukan untuk terhubung ke Systems Manager menggunakan Default Host Management Configuration. Dalam kasus ini, Anda harus menggunakan profil instance untuk memberikan izin yang diperlukan untuk instans Anda, atau membuat ulang instance.

**catatan**  
Prosedur ini dimaksudkan untuk dilakukan hanya oleh administrator. Terapkan akses hak istimewa terkecil saat mengizinkan individu untuk mengonfigurasi atau memodifikasi Konfigurasi Manajemen Host Default. Anda harus mengaktifkan Konfigurasi Manajemen Host Default di setiap yang Wilayah AWS Anda inginkan untuk mengelola instans Amazon EC2 Anda secara otomatis.

**Untuk mengaktifkan pengaturan Konfigurasi Manajemen Host Default**  
Anda dapat mengaktifkan Konfigurasi Manajemen Host Default dari Fleet Manager konsol. Agar berhasil menyelesaikan prosedur ini menggunakan alat baris perintah Konsol Manajemen AWS atau pilihan Anda, Anda harus memiliki izin untuk operasi [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html), [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html), dan [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html)API. Selain itu, Anda harus memiliki izin untuk `iam:PassRole` izin untuk peran `AWSSystemsManagerDefaultEC2InstanceManagementRole` IAM. Berikut ini adalah contoh kebijakan . Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting",
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

Sebelum memulai, jika Anda memiliki profil instans yang dilampirkan ke instans Amazon EC2 Anda, hapus izin apa pun yang memungkinkan pengoperasian. `ssm:UpdateInstanceInformation` SSM AgentUpaya untuk menggunakan izin profil instance sebelum menggunakan izin Konfigurasi Manajemen Host Default. Jika Anda mengizinkan `ssm:UpdateInstanceInformation` operasi di profil instans Anda, instans tidak akan menggunakan izin Konfigurasi Manajemen Host Default.

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Di panel navigasi, pilih **Fleet Manager**.

1. Pilih **Konfigurasi Konfigurasi Manajemen Host Default** di bawah tarik-turun **Manajemen akun**.

1. **Aktifkan Aktifkan Konfigurasi Manajemen Host Default**.

1. Pilih peran IAM yang digunakan untuk mengaktifkan alat Systems Manager untuk instans Anda. Sebaiknya gunakan peran default yang disediakan oleh Konfigurasi Manajemen Host Default. Ini berisi set izin minimum yang diperlukan untuk mengelola instans Amazon EC2 Anda menggunakan Systems Manager. Jika Anda lebih suka menggunakan peran khusus, kebijakan kepercayaan peran tersebut harus mengizinkan Systems Manager sebagai entitas tepercaya.

1. Pilih **Konfigurasi** untuk menyelesaikan penyiapan. 

Setelah mengaktifkan Konfigurasi Manajemen Host Default, mungkin diperlukan waktu 30 menit agar instans Anda menggunakan kredensil peran yang Anda pilih. Anda harus mengaktifkan Konfigurasi Manajemen Host Default di setiap Wilayah yang ingin Anda kelola instans Amazon EC2 secara otomatis.

## Konfigurasi alternatif untuk izin instans EC2
<a name="instance-profile-add-permissions"></a>

Anda dapat memberikan akses pada tingkat instans individual dengan menggunakan profil instans AWS Identity and Access Management (IAM). Profil instans adalah kontainer yang menyampaikan informasi IAM role ke instans Amazon Elastic Compute Cloud (Amazon EC2) saat peluncuran. Anda dapat membuat profil instans untuk Systems Manager dengan melampirkan satu atau lebih kebijakan IAM yang menentukan izin yang diperlukan untuk peran baru atau peran yang telah Anda buat.

**catatan**  
Anda dapat menggunakanQuick Setup, alat di AWS Systems Manager, untuk mengonfigurasi profil instans dengan cepat pada semua instance di Anda Akun AWS. Quick Setupjuga membuat peran layanan IAM (atau *mengambil* peran), yang memungkinkan Systems Manager menjalankan perintah dengan aman pada instance Anda atas nama Anda. Dengan menggunakanQuick Setup, Anda dapat melewati langkah ini (Langkah 3) dan Langkah 4. Untuk informasi selengkapnya, lihat [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md). 

Perhatikan rincian berikut tentang membuat profil instans IAM:
+ Jika Anda mengonfigurasi mesin non-EC2 di lingkungan [hybrid dan multicloud untuk](operating-systems-and-machine-types.md#supported-machine-types) Systems Manager, Anda tidak perlu membuat profil instans untuk mereka. Sebagai gantinya, konfigurasikan server Anda dan VMs gunakan peran layanan IAM. Untuk informasi selengkapnya, lihat [Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud](hybrid-multicloud-service-role.md).
+ Jika Anda mengubah profil instans IAM, kredensi instans mungkin perlu beberapa waktu untuk menyegarkan. SSM Agenttidak akan memproses permintaan sampai ini terjadi. Untuk mempercepat proses penyegaran, Anda dapat memulai ulang SSM Agent atau memulai ulang instance.

Tergantung pada apakah Anda membuat peran baru untuk profil instans atau menambahkan izin yang diperlukan ke peran yang ada, gunakan salah satu prosedur berikut.<a name="setup-instance-profile-managed-policy"></a>

**Untuk membuat profil instans untuk instans terkelola Systems Manager (konsol)**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.

1. Untuk **jenis entitas Tepercaya**, pilih **Layanan AWS**.

1. Segera di bawah **Kasus penggunaan**, pilih **EC2**, lalu pilih **Berikutnya**.

1. Pada halaman **Tambahkan izin**, lakukan hal berikut: 
   + Gunakan bidang **Pencarian** untuk menemukan SSMManaged InstanceCore kebijakan **Amazon**. Pilih kotak centang di samping namanya, seperti yang ditunjukkan pada ilustrasi berikut.   
![\[Kotak centang dipilih di SSMManaged InstanceCore baris Amazon.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/setup-instance-profile-2.png)

     Konsol mempertahankan pilihan Anda bahkan jika Anda mencari kebijakan lain.
   + Jika Anda membuat kebijakan bucket S3 kustom di prosedur sebelumnya[(Opsional) Buat kebijakan khusus untuk akses bucket S3](#instance-profile-custom-s3-policy), cari kebijakan tersebut dan pilih kotak centang di samping namanya.
   + Jika Anda berencana untuk menggabungkan instance ke Active Directory yang dikelola oleh Directory Service, cari **Amazon SSMDirectory ServiceAccess** dan pilih kotak centang di samping namanya.
   + Jika Anda berencana untuk menggunakan EventBridge atau CloudWatch Log untuk mengelola atau memantau instans Anda, cari **CloudWatchAgentServerPolicy**dan pilih kotak centang di samping namanya.

1. Pilih **Berikutnya**.

1. Untuk **nama Peran**, masukkan nama untuk profil instans baru Anda, seperti**SSMInstanceProfile**.
**catatan**  
Buat catatan tentang nama peran. Anda akan memilih peran ini ketika Anda membuat instans baru yang ingin Anda kelola dengan menggunakan Systems Manager.

1. (Opsional) Untuk **Deskripsi**, perbarui deskripsi untuk profil contoh ini.

1. (Opsional) Untuk **Tag**, tambahkan satu atau beberapa pasangan nilai kunci tag untuk mengatur, melacak, atau mengontrol akses untuk peran ini, lalu pilih **Buat** peran. Sistem mengembalikan Anda ke halaman **Peran**.<a name="setup-instance-profile-custom-policy"></a>

**Untuk menambahkan izin profil instans pada Systems Manager untuk peran yang ada (konsol)**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**, lalu pilih peran yang ada yang ingin Anda kaitkan dengan profil instans untuk operasi Systems Manager.

1. Pada tab **Izin**, pilih **Tambahkan izin, Lampirkan kebijakan**.

1. Pada halaman **Lampirkan kebijakan**, lakukan hal berikut:
   + Gunakan bidang **Pencarian** untuk menemukan SSMManaged InstanceCore kebijakan **Amazon**. Pilih kotak centang di sebelah namanya. 
   + Jika Anda telah membuat kebijakan bucket S3 kustom, cari kebijakan tersebut dan pilih kotak centang di samping namanya. Untuk informasi tentang kebijakan bucket S3 kustom untuk profil instans, lihat [(Opsional) Buat kebijakan khusus untuk akses bucket S3](#instance-profile-custom-s3-policy).
   + Jika Anda berencana untuk menggabungkan instance ke Active Directory yang dikelola oleh Directory Service, cari **Amazon SSMDirectory ServiceAccess** dan pilih kotak centang di samping namanya.
   + Jika Anda berencana untuk menggunakan EventBridge atau CloudWatch Log untuk mengelola atau memantau instans Anda, cari **CloudWatchAgentServerPolicy**dan pilih kotak centang di samping namanya.

1. Pilih **Lampirkan kebijakan**.

Untuk informasi tentang cara memperbarui peran untuk menyertakan entitas tepercaya atau membatasi akses lebih lanjut, lihat [Memodifikasi peran dalam Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) Pengguna *IAM*. 

## (Opsional) Buat kebijakan khusus untuk akses bucket S3
<a name="instance-profile-custom-s3-policy"></a>

Membuat kebijakan kustom untuk akses Amazon S3 hanya jika Anda memerlukan untuk menggunakan VPC endpoint atau menggunakan bucket S3 Anda sendiri dalam operasi Systems Manager Anda. Anda dapat melampirkan kebijakan ini ke peran IAM default yang dibuat oleh Konfigurasi Manajemen Host Default, atau profil instans yang Anda buat di prosedur sebelumnya.

Untuk informasi tentang bucket S3 AWS terkelola yang dapat Anda akses dalam kebijakan berikut, lihat. [SSM Agentkomunikasi dengan bucket S3 AWS terkelola](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions)

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan** dan kemudian pilih **Buat kebijakan**. 

1. Pilih tab **JSON**, dan ganti teks default dengan yang berikut ini.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "s3:GetObject",
               "Resource": [
                   "arn:aws:s3:::aws-ssm-us-east-2/*",
                   "arn:aws:s3:::aws-windows-downloads-us-east-2/*",
                   "arn:aws:s3:::amazon-ssm-us-east-2/*",
                   "arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
                   "arn:aws:s3:::us-east-2-birdwatcher-prod/*",
                   "arn:aws:s3:::aws-ssm-distributor-file-us-east-2/*",
                   "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*",
                   "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetObject",
                   "s3:PutObject",
                   "s3:PutObjectAcl",
                   "s3:GetEncryptionConfiguration"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket/*",
                   "arn:aws:s3:::amzn-s3-demo-bucket"
               ]
           }
       ]
   }
   ```

------
**catatan**  
`Statement`Elemen pertama diperlukan hanya jika Anda menggunakan titik akhir VPC.  
`Statement`Elemen kedua diperlukan hanya jika Anda menggunakan bucket S3 yang Anda buat untuk digunakan dalam operasi Systems Manager.  
Izin daftar kontrol `PutObjectAcl` akses hanya diperlukan jika Anda berencana untuk mendukung akses lintas akun ke bucket S3 di akun lain.  
`GetEncryptionConfiguration`Elemen diperlukan jika bucket S3 Anda dikonfigurasi untuk menggunakan enkripsi.  
Jika bucket S3 Anda dikonfigurasi untuk menggunakan enkripsi, maka root bucket S3 (misalnya,`arn:aws:s3:::amzn-s3-demo-bucket`) harus dicantumkan di bagian **Sumber Daya**. Pengguna, grup, atau peran Anda harus dikonfigurasi dengan akses ke root bucket.

1. Jika Anda menggunakan VPC endpoint dalam operasi Anda, lakukan hal berikut: 

   Pada `Statement` elemen pertama, ganti setiap *region* placeholder dengan pengenal kebijakan Wilayah AWS ini yang akan digunakan. Misalnya, gunakan `us-east-2` untuk Wilayah US East (Ohio). Untuk daftar *region* nilai yang didukung, lihat kolom **Region** di [titik akhir layanan Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) di *Referensi Umum Amazon Web Services*.
**penting**  
Kami menyarankan Anda untuk menghindari menggunakan karakter wildcard (\$1) di tempat Wilayah tertentu dalam kebijakan ini. Misalnya, gunakan `arn:aws:s3:::aws-ssm-us-east-2/*` dan jangan gunakan `arn:aws:s3:::aws-ssm-*/*`. Menggunakan wildcard dapat menyediakan akses ke bucket S3 yang tidak ingin Anda berikan akses. Jika Anda ingin menggunakan profil instans untuk lebih dari satu Wilayah, kami sarankan Anda mengulangi elemen `Statement` pertama untuk setiap Wilayah.

   -atau-

   Jika Anda tidak menggunakan VPC endpoint dalam operasi Anda, Anda dapat menghapus elemen `Statement`.

1. Jika Anda menggunakan bucket S3 milik Anda sendiri dalam operasi Systems Manager, lakukan hal berikut:

   Di `Statement` elemen kedua, ganti *amzn-s3-demo-bucket* dengan nama bucket S3 di akun Anda. Anda akan menggunakan bucket ini untuk operasi Systems Manager Anda. Ini memberikan izin objek dalam bucket, gunakan `"arn:aws:s3:::my-bucket-name/*"` sebagai sumber daya. Untuk informasi selengkapnya tentang memberikan izin untuk bucket atau objek dalam bucket, lihat topik [tindakan Amazon S3 di](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-with-s3-actions.html) *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon* dan posting AWS blog Kebijakan [IAM dan Kebijakan Bucket dan\$1 ACLs Astaga\$1 (Mengontrol Akses ke Sumber Daya S3)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/).
**catatan**  
Jika Anda menggunakan lebih dari satu bucket, memberikan untuk masing-masing ARN. Lihat contoh berikut untuk izin pada bucket.  

   ```
   "Resource": [
   "arn:aws:s3:::amzn-s3-demo-bucket1/*",
   "arn:aws:s3:::amzn-s3-demo-bucket2/*"
                  ]
   ```

   -atau-

   Jika Anda tidak menggunakan bucket S3 milik Anda sendiri dalam operasi Systems Manager, Anda dapat menghapus elemen `Statement` kedua.

1. Pilih **Berikutnya: Tanda**.

1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.

1. Pilih **Berikutnya: Tinjauan**.

1. Untuk **Nama**, masukkan nama untuk mengidentifikasi kebijakan ini, seperti**SSMInstanceProfileS3Policy**.

1. Pilih **Buat kebijakan**.

## Pertimbangan kebijakan tambahan untuk instans terkelola
<a name="instance-profile-policies-overview"></a>

Bagian ini menjelaskan beberapa kebijakan yang dapat Anda tambahkan ke peran IAM default yang dibuat oleh Konfigurasi Manajemen Host Default, atau profil instans Anda. AWS Systems Manager Untuk memberikan izin komunikasi antara instans dan Systems Manager API, sebaiknya buat kebijakan khusus yang mencerminkan kebutuhan sistem dan persyaratan keamanan Anda. Bergantung pada rencana operasi, Anda mungkin memerlukan izin yang direpresentasikan dalam satu atau beberapa kebijakan lainnya.

**Kebijakan: `AmazonSSMDirectoryServiceAccess`**  
Hanya diperlukan jika Anda berencana untuk bergabung dengan instans Amazon EC2 untuk Windows Server ke direktori Microsoft AD.  
Kebijakan AWS terkelola ini memungkinkan SSM Agent untuk mengakses AWS Directory Service atas nama Anda untuk permintaan bergabung dengan domain oleh instans terkelola. Untuk informasi selengkapnya, lihat [Bergabung dengan Instans Windows EC2 dengan mulus](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html) di Panduan *AWS Directory Service Administrasi*.

**Kebijakan: `CloudWatchAgentServerPolicy`**  
Diperlukan hanya jika Anda berencana untuk menginstal dan menjalankan CloudWatch agen pada instans Anda untuk membaca metrik dan data log pada sebuah instance dan menuliskannya ke Amazon CloudWatch. Ini membantu Anda memantau, menganalisis, dan dengan cepat menanggapi masalah atau perubahan AWS sumber daya Anda.  
Peran IAM default Anda yang dibuat oleh Konfigurasi Manajemen Host Default atau profil instans memerlukan kebijakan ini hanya jika Anda akan menggunakan fitur seperti Amazon EventBridge atau Amazon CloudWatch Logs. (Anda juga dapat membuat kebijakan yang lebih ketat yang, misalnya, membatasi akses penulisan ke aliran CloudWatch log Log tertentu.)  
Menggunakan EventBridge dan CloudWatch Log fitur adalah opsional. Namun, kami sarankan untuk mengaturnya di awal proses konfigurasi Systems Manager jika Anda memutuskan untuk menggunakannya. Untuk informasi selengkapnya, lihat *[Panduan EventBridge Pengguna Amazon dan Panduan](https://docs.aws.amazon.com/eventbridge/latest/userguide/)* *[Pengguna CloudWatch Log Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
Untuk membuat kebijakan IAM dengan izin untuk alat Systems Manager tambahan, lihat sumber daya berikut:  
+ [Membatasi akses ke Parameter Store parameter menggunakan kebijakan IAM](sysman-paramstore-access.md)
+ [Menyiapkan Otomatisasi](automation-setup.md)
+ [Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager](session-manager-getting-started-instance-profile.md)

## Lampirkan profil instance Systems Manager ke instance (konsol)
<a name="attach-instance-profile"></a>

Prosedur berikut menjelaskan cara melampirkan profil instans IAM ke instans Amazon EC2 menggunakan konsol Amazon EC2.

1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)

1. Di panel navigasi, di bawah **Instans**, pilih **Instans**.

1. Arahkan ke dan pilih instans EC2 Anda dari daftar.

1. Pilih menu **Actions**, pilih **Security**, **Modify IAM role**.

1. Untuk **IAM role**, pilih profil instans yang Anda buat menggunakan prosedur ini [Konfigurasi alternatif untuk izin instans EC2](#instance-profile-add-permissions).

1. Pilih **Perbarui **peran IAM****.

Untuk informasi lebih lanjut tentang melampirkan IAM role ke instans, pilih salah satu dari berikut ini, tergantung pada jenis sistem operasi yang Anda pilih:
+ [Lampirkan peran IAM ke instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) di Panduan Pengguna *Amazon EC2*
+ [Lampirkan peran IAM ke instans](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) di Panduan Pengguna *Amazon EC2*

Lanjutkan ke [Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk Systems Manager](setup-create-vpc.md).