Creazione di un ruolo IAM con le autorizzazioni minime per il Session Manager (console)Creazione di un ruolo IAM con autorizzazioni per Session Manager e Amazon S3 e CloudWatch Logs (console)

Creare un ruolo IAM personalizzato per Session Manager

Puoi creare un ruolo AWS Identity and Access Management (IAM) che conceda a Session Manager l'autorizzazione a eseguire azioni sulle istanze gestite di Amazon EC2. Puoi anche includere una policy per concedere le autorizzazioni necessarie per fare in modo che i log di sessione vengano inviati ad Amazon Simple Storage Service (Amazon S3) e File di log Amazon CloudWatch.

Dopo aver creato il ruolo IAM, per informazioni su come collegare il ruolo a un’istanza, consulta Collega o sostituisci il profilo di un’istanza sul sito Web di AWS re:Post. Per ulteriori informazioni sui profili e i ruoli delle istanze IAM, consulta Utilizzo di profili di istanze nella Guida per l'utente IAM e Ruoli IAM per Amazon EC2 nella Guida per l’utente di Amazon Elastic Compute Cloud per istanze Linux. Per ulteriori informazioni sulla creazione di un ruolo di servizio IAM per macchine on-premises, consulta Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud.

Argomenti

Creazione di un ruolo IAM con le autorizzazioni minime per il Session Manager (console)
Creazione di un ruolo IAM con autorizzazioni per Session Manager e Amazon S3 e CloudWatch Logs (console)

Creazione di un ruolo IAM con le autorizzazioni minime per il Session Manager (console)

Utilizza la procedura seguente per creare un ruolo IAM personalizzato con una policy che fornisce solo le autorizzazioni per le operazioni del Session Manager sulle tue istanze.

Per creare un profilo dell'istanza con autorizzazioni minime per il Session Manager (console)

Accedere alla AWS Management Console e aprire la console di IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel pannello di navigazione, scegliere Policies (Policy) e Create Policy (Crea policy). (Se viene visualizzato il pulsante Get Started (Inizia), sceglierlo, quindi scegliere Create Policy (Crea policy)).
Scegli la scheda JSON.

Sostituire il contenuto di default con la seguente policy. Per crittografare i dati di sessione utilizzando AWS Key Management Service (AWS KMS), sostituisci key-name con il nome della risorsa Amazon (ARN) della AWS KMS key che desideri utilizzare.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

Per ulteriori informazioni sull'utilizzo di una chiave KMS per crittografare i dati della sessione, consulta Attiva la crittografia delle chiavi KMS per i dati delle sessioni (console).

Se non utilizzi la crittografia AWS KMS per i dati della sessione, puoi rimuovere i seguenti contenuti dalla policy:


,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

Scegli Successivo: Tag.
(Facoltativo) Aggiungi i tag scegliendo Aggiungi tag e inserendo i tag preferiti per la policy.
Seleziona Next: Revisione.
Nella pagina Review policy (Rivedi policy), per l'opzione Name (Nome) specifica un nome per la policy inline, ad esempio SessionManagerPermissions.
(Facoltativo) In Description (Descrizione), inserire una descrizione per la policy.
Scegliere Create Policy (Crea policy).
Nel pannello di navigazione, scegliere Roles (Ruoli) e quindi Create role (Crea ruolo).
Sulla pagina Crea ruolo, scegli AWSservizio, e per Caso d'uso, scegli EC2.
Seleziona Next (Successivo).
Nella pagina Attached permissions policy (Policy delle autorizzazioni collegate), selezionare la casella di controllo a sinistra del nome della policy appena creata, ad esempio SessionManagerPermissions.
Seleziona Next (Successivo).
Nella pagina Rinomina, revisione e creazione, per Nome ruolo immettere un nome per il ruolo IAM, ad esempio MySessionManagerRole.
(Facoltativo) Per Role description (Descrizione ruolo), immettere una descrizione per il profilo dell'istanza.
(Facoltativo) Aggiungi i tag scegliendo Aggiungi tag e inserendo i tag preferiti per il ruolo.

Scegli Crea ruolo.

Per informazioni sulle operazioni di ssmmessages, consulta Referenza: ec2messages, ssmmessages e altre operazioni API.

Creazione di un ruolo IAM con autorizzazioni per Session Manager e Amazon S3 e CloudWatch Logs (console)

Utilizza la procedura seguente per creare un ruolo IAM personalizzato con una policy che fornisce le autorizzazioni per le operazioni del Session Manager sulle tue istanze. La policy fornisce inoltre le autorizzazioni necessarie affinché i registri delle sessioni vengano archiviati in bucket Amazon Simple Storage Service (Amazon S3) e gruppi di log Amazon CloudWatch Logs.

Importante

Per eseguire l'output dei log di sessione su un bucket Amazon S3 appartenente a un Account AWS diverso, devi aggiungere l'autorizzazione s3:PutObjectAcl alla policy del ruolo IAM. Inoltre, devi assicurarti che la policy del bucket conceda l'accesso multi-account al ruolo IAM utilizzato dall'account proprietario per concedere le autorizzazioni di Systems Manager per le istanze gestite. Se il bucket utilizza la crittografia Key Management Service (KMS), anche la policy KMS del bucket deve concedere questo accesso multi-account. Per ulteriori informazioni sulla configurazione di autorizzazioni del bucket multi-account in Amazon S3, consulta Concessione di autorizzazioni del bucket multi-account nella Guida per l'utente di Amazon Simple Storage Service. Se queste autorizzazioni multi-account non vengono aggiunte, l'account proprietario del bucket Amazon S3 non è in grado di accedere ai log di output della sessione.

Per informazioni su come specificare le preferenze di archiviazione per i log delle sessioni, consulta Abilitazione e disabilitazione della registrazione di sessione.

Per creare un ruolo IAM con autorizzazioni per Session Manager e Amazon S3 e CloudWatch Logs (console)

Accedere alla AWS Management Console e aprire la console di IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel pannello di navigazione, scegliere Policies (Policy) e Create Policy (Crea policy). (Se viene visualizzato il pulsante Get Started (Inizia), sceglierlo, quindi scegliere Create Policy (Crea policy)).
Scegli la scheda JSON.

Sostituire il contenuto di default con la seguente policy. Sostituisci ciascun segnaposto delle risorse di esempio con le tue informazioni.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel",
                "ssm:UpdateInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        },
        {
            "Effect": "Allow",
            "Action": "kms:GenerateDataKey",
            "Resource": "*"
        }
    ]
}

Scegli Successivo: Tag.
(Facoltativo) Aggiungi i tag scegliendo Aggiungi tag e inserendo i tag preferiti per la policy.
Seleziona Next: Revisione.
Nella pagina Review policy (Rivedi policy), per l'opzione Name (Nome) specifica un nome per la policy inline, ad esempio SessionManagerPermissions.
(Facoltativo) In Description (Descrizione), inserire una descrizione per la policy.
Scegliere Create Policy (Crea policy).
Nel pannello di navigazione, scegliere Roles (Ruoli) e quindi Create role (Crea ruolo).
Sulla pagina Crea ruolo, scegli AWSservizio, e per Caso d'uso, scegli EC2.
Seleziona Next (Successivo).
Nella pagina Attached permissions policy (Policy delle autorizzazioni collegate), selezionare la casella di controllo a sinistra del nome della policy appena creata, ad esempio SessionManagerPermissions.
Seleziona Next (Successivo).
Nella pagina Rinomina, revisione e creazione, per Nome ruolo immettere un nome per il ruolo IAM, ad esempio MySessionManagerRole.
(Facoltativo) In Role description (Descrizione ruolo), immettere una descrizione per il nuovo ruolo.
(Facoltativo) Aggiungi i tag scegliendo Aggiungi tag e inserendo i tag preferiti per il ruolo.
Scegli Crea ruolo.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente

Fase 3: Controlla l'accesso della sessione ai nodi gestiti