既存の IAM ロールに Session Manager 許可を追加する
以下の手順を使用して、既存の AWS Identity and Access Management (IAM) ロールに Session Manager 権限を追加します。既存のロールに権限を追加することで、インスタンス権限に AWS AmazonSSMManagedInstanceCore ポリシーを使用することなく、コンピューティング環境のセキュリティを強化できます。
注記
以下の情報に注意してください。
-
この手順は、アクセスを許可するアクションに対する他の Systems Manager
ssm権限が、既存のロールに既に含まれていることを前提とします。このポリシーだけでは、Session Manager を使用するには十分ではありません。 -
次のポリシー例には、
s3:GetEncryptionConfigurationアクションが含まれています。このアクションは、Session Manager ロギング設定で [S3 ログ暗号化を強制] オプションインを選択した場合に必要です。
Session Manager の許可を既存のロール (コンソール) に追加する場合
AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで Roles (ロール) を選択します。
-
アクセス許可を追加するロール名を選択します。
-
[アクセス許可] タブを選択します。
-
[アクセス許可の追加]、[インラインポリシーの作成] の順に選択します。
-
[JSON] タブを選択します。
-
デフォルトのポリシーコンテンツを次のコンテンツに置き換えます。
key-nameを、使用する AWS Key Management Service キー (AWS KMS key) の Amazon リソースネーム (ARN) に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }セッションデータを暗号化するための KMS キーの使用については、「セッションデータの KMS キー暗号化を有効にする (コンソール)」を参照してください。
セッションデータに AWS KMS 暗号化を使用しない場合は、ポリシーから以下のコンテンツを削除できます。
, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } -
[Next: Tags] (次へ: タグ) を選択します。
-
(オプション) [Add tag] (タグを追加) を選択してタグを追加し、ポリシーの優先タグを入力します。
-
[次へ: レビュー] を選択します。
-
[Review policy (ポリシーの確認)] ページで、[Name (名前)] にインラインポリシーの名前を入力します (
SessionManagerPermissionsなど)。 -
(オプション) [Description (説明)] に、ポリシーの説明を入力します。
[Create policy] を選択します。
ssmmessages アクションの詳細については、「リファレンス: ec2messages、ssmmessages およびその他の API オペレーション」を参照してください。
