Use o procedimento a seguir para adicionar permissões do Session Manager a um perfil do AWS Identity and Access Management (IAM) já existente. Ao adicionar permissões a um perfil já existente, você pode aprimorar a segurança do ambiente de computação sem precisar usar a política AmazonSSMManagedInstanceCore
da AWS para obter permissões de instância.
nota
Observe as seguintes informações:
-
Esse procedimento pressupõe que sua função existente já inclui outras permissões
ssm
do Systems Manager para ações que você deseja permitir o acesso. Essa política não é suficiente para usar o Session Manager. -
O exemplo de política a seguir contém uma ação
s3:GetEncryptionConfiguration
. Essa ação será obrigatória se você escolher a opção Aplicar criptografia de log do S3 nas preferências de registro em log do Session Manager.
Para adicionar permissões do Session Manager a uma função existente (console)
Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, escolha Perfis.
-
Selecione o nome do perfil ao qual você está adicionando as permissões.
-
Escolha a aba Permissões.
-
Escolha Adicionar permissões e, em seguida, selecione Criar política em linha.
-
Selecione a guia JSON.
-
Substitua o conteúdo da política padrão pelo conteúdo a seguir. Substitua
key-name
pelo nome do recurso da Amazon (ARN) da chave do AWS Key Management Service (AWS KMS key) que você deseja usar.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "
key-name
" } ] }Para obter informações sobre como usar uma chave KMS para criptografar dados de sessão, consulte Ativar a criptografia de chaves do KMS de dados de sessão (console).
Se você não or usar a criptografia do AWS KMS para sua sessão de dados, poderá remover o seguinte conteúdo da política:
, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "
key-name
" } -
Escolha Próximo: etiquetas.
-
(Opcional) Adicione tags escolhendo Add tag (Adicionar tag) e inserindo as tags preferenciais para a política.
-
Selecione Next: Review (Próximo: revisar).
-
Na página Revisar política, em Nome, digite um nome para a política em linha, como
SessionManagerPermissions
. -
(Opcional) Em Descrição, digite uma descrição para a política.
Escolha Criar política.
Para obter informações sobre as ações ssmmessages
, consulte Referência: ec2messages, ssmmessages e outras operações da API.