IAM ポリシーでデフォルトのセッションドキュメントを指定して、デフォルトのシェルセッションを開始します。
AWS アカウント 用に Session Manager を設定したり、Systems Manager コンソールでセッション設定を変更したりすると、システムによって SSM-SessionManagerRunShell という名前の SSM セッションドキュメントが作成されます。これはデフォルトのセッションドキュメントです。Session Manager はこのドキュメントを使用して、次のような情報を含むセッション設定を保存します。
-
Amazon Simple Storage Service (Amazon S3) バケットまたは Amazon CloudWatch Logs ロググループなどのセッションデータを格納する場所です。
-
セッションデータを暗号化するための AWS Key Management Service (AWS KMS) キー ID。
-
セッションで Run As サポートが許可されているかどうか。
SSM-SessionManagerRunShell セッションの設定文書に含まれる情報の例を次に示します。
{ "schemaVersion": "1.0", "description": "Document to hold regional settings for Session Manager", "sessionType": "Standard_Stream", "inputs": { "s3BucketName": "amzn-s3-demo-bucket", "s3KeyPrefix": "MyS3Prefix", "s3EncryptionEnabled": true, "cloudWatchLogGroupName": "MyCWLogGroup", "cloudWatchEncryptionEnabled": false, "kmsKeyId": "1a2b3c4d", "runAsEnabled": true, "runAsDefaultUser": "RunAsUser" } }
デフォルトでは、ユーザーが AWS Management Console からセッションを開始すると、Session Manager はデフォルトのセッションドキュメントを使用します。これは、Systems Manager コンソール、Amazon EC2 コンソールの EC2 Connect で Fleet Manager または Session Manager のいずれかに適用されます。また、Session Manager はユーザーが次の例のような AWS CLI コマンドを使用してセッションを開始したときに、デフォルトのセッションドキュメントを使用します。
aws ssm start-session \ --target i-02573cafcfEXAMPLE
デフォルトのシェルセッションを開始するには、次の例に示すように、IAM ポリシーでデフォルトのセッションドキュメントを指定する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableSSMSession", "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ec2:us-west-2:123456789012:instance/i-02573cafcfEXAMPLE", "arn:aws:ssm:us-west-2:123456789012:document/SSM-SessionManagerRunShell" ] } ] }
