기존 IAM 역할에 Session Manager 권한 추가
다음 절차를 사용하여 기존 AWS Identity and Access Management(IAM) 역할에 Session Manager 권한을 추가합니다. 기존 역할에 권한을 추가하면 인스턴스 권한에 대한 AWS AmazonSSMManagedInstanceCore
정책을 사용하지 않고 컴퓨팅 환경의 보안을 강화할 수 있습니다.
참고
다음과 같은 정보를 참고합니다.
-
이 절차에서는 기존 역할에 액세스를 허용하려는 작업에 대한 다른 Systems Manager
ssm
권한이 이미 포함되어 있다고 가정합니다. 이 정책만으로는 Session Manager를 사용하는 데 충분하지 않습니다. -
다음 정책 예제에는
s3:GetEncryptionConfiguration
작업이 포함되어 있습니다. Session Manager 로깅 기본 설정에서 S3 로그 암호화 적용 옵션을 선택한 경우 이 작업이 필요합니다.
Session Manager 권한을 기존 역할에 추가(콘솔)
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
탐색 창에서 역할을 선택합니다.
-
권한을 추가하려는 역할의 이름을 선택합니다.
-
권한 탭을 선택합니다.
-
권한 추가를 선택하고 인라인 정책 추가를 선택합니다.
-
JSON 탭을 선택합니다.
-
기본 정책 콘텐츠를 다음과 같은 콘텐츠로 바꿉니다.
key-name
을 사용하려는 AWS Key Management Service 키(AWS KMS key)의 Amazon 리소스 이름(ARN)으로 바꿉니다.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "
key-name
" } ] }KMS 키를 사용하여 세션 데이터를 암호화하는 방법에 대한 자세한 내용은 세션 데이터의 KMS 키 암호화를 설정하려면(콘솔) 섹션을 참조하세요.
세션 데이터에 AWS KMS 암호화를 사용하지 않으려면 정책에서 다음 콘텐츠를 제거할 수 있습니다.
, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "
key-name
" } -
다음: 태그를 선택합니다.
-
(선택 사항) 태그 추가(Add tag)를 선택하고 정책에 대한 기본 설정 태그를 입력하여 태그를 추가합니다.
-
다음: 검토를 선택합니다.
-
정책 검토(Review policy) 페이지에서 이름(Name)에 인라인 정책 이름을 입력합니다(예:
SessionManagerPermissions
) -
(선택 사항) 설명에 정책에 대한 설명을 입력합니다.
정책 생성을 선택합니다.
ssmmessages
작업에 대한 자세한 내용은 참조: ec2messages, ssmmessages 및 기타 API 작업 섹션을 참조하세요.