既存の IAM ロールに Session Manager 許可を追加する - AWS Systems Manager

既存の IAM ロールに Session Manager 許可を追加する

以下の手順を使用して、既存の AWS Identity and Access Management (IAM) ロールに Session Manager 権限を追加します。既存のロールに権限を追加することで、インスタンス権限に AWS AmazonSSMManagedInstanceCore ポリシーを使用することなく、コンピューティング環境のセキュリティを強化できます。

注記

以下の情報に注意してください。

  • この手順は、アクセスを許可するアクションに対する他の Systems Manager ssm 権限が、既存のロールに既に含まれていることを前提とします。このポリシーだけでは、Session Manager を使用するには十分ではありません。

  • 次のポリシー例には、s3:GetEncryptionConfiguration アクションが含まれています。このアクションは、Session Manager ロギング設定で [S3 ログ暗号化を強制] オプションインを選択した場合に必要です。

Session Manager の許可を既存のロール (コンソール) に追加する場合
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで Roles (ロール) を選択します。

  3. アクセス許可を追加するロール名を選択します。

  4. [アクセス許可] タブを選択します。

  5. [アクセス許可の追加][インラインポリシーの作成] の順に選択します。

  6. [JSON] タブを選択します。

  7. デフォルトのポリシーコンテンツを次のコンテンツに置き換えます。key-name を、使用する AWS Key Management Service キー (AWS KMS key) の Amazon リソースネーム (ARN) に置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }

    セッションデータを暗号化するための KMS キーの使用については、「セッションデータの KMS キー暗号化を有効にする (コンソール)」を参照してください。

    セッションデータに AWS KMS 暗号化を使用しない場合は、ポリシーから以下のコンテンツを削除できます。

    , { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }
  8. [Next: Tags] (次へ: タグ) を選択します。

  9. (オプション) [Add tag] (タグを追加) を選択してタグを追加し、ポリシーの優先タグを入力します。

  10. [次へ: レビュー] を選択します。

  11. [Review policy (ポリシーの確認)] ページで、[Name (名前)] にインラインポリシーの名前を入力します (SessionManagerPermissions など)。

  12. (オプション) [Description (説明)] に、ポリシーの説明を入力します。

    [Create policy] を選択します。

ssmmessages アクションの詳細については、「リファレンス: ec2messages、ssmmessages およびその他の API オペレーション」を参照してください。