ステップ 3: マネージドノードへのセッションアクセスを制御

この方法で、AWS Identity and Access Management (IAM) ポリシーを使用してマネージドノードへの Session Manager のアクセスを許可または取り消すことができます。ポリシーを作成して IAM ユーザーまたはグループにアタッチし、そのユーザーまたはグループが接続できるマネージドノードを指定することができます。また、ユーザーまたはグループがマネージドノードで実行できる Session Manager API オペレーションを指定することもできます。

Session Manager の IAM アクセス許可ポリシーを使い始めるために、エンドユーザーと管理者ユーザー用のサンプルポリシーを作成しました。これらのポリシーは、わずかな変更だけで使用できます。または、これらをガイドとして使用し、カスタム IAM ポリシーを作成することもできます。詳細については、「Session Manager のサンプル IAM ポリシー」を参照してください。IAM ポリシーの作成方法、およびポリシーをユーザーまたはグループにアタッチする方法については、「IAM ユーザーガイド」の「IAM ポリシーの作成」および「IAM ポリシーの追加と削除」を参照してください。

セッション ID の ARN 形式について

Session Manager アクセスの IAM ポリシーを作成する際は、Amazon リソースネーム (ARN) の一部としてセッション ID を指定します。セッション ID にはユーザー名が変数として含まれます。これを説明するために、Session Manager ARN の形式と例を以下に示します。

arn:aws:ssm:region-id:account-id:session/session-id

例:

arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE

IAM ポリシーで変数を使用する方法の詳細については、「IAM ポリシーエレメント: 変数」を参照してください。