Etapa 2: verificar ou adicionar permissões de instância para o Session Manager
Por padrão, o AWS Systems Manager não tem permissão para executar ações em suas instâncias. É possível fornecer permissões de instância no nível da conta usando um perfil do AWS Identity and Access Management (IAM) ou no nível da instância usando um perfil de instância. Se o seu caso de uso permitir, recomendamos conceder acesso no nível da conta usando a configuração de gerenciamento de host padrão. Se já definiu a configuração de gerenciamento do host padrão para sua conta usando a política AmazonSSMManagedEC2InstanceDefaultPolicy, você pode avançar para a próxima etapa. Para obter mais informações sobre a configuração de gerenciamento do host padrão, consulte Gerenciar instâncias do EC2 automaticamente com a Configuração de gerenciamento de hosts padrão.
Se preferir, você pode usar perfis de instância para fornecer as permissões necessárias às suas instâncias. Um perfil da instância passa uma função do IAM para uma instância do Amazon EC2. Você pode anexar um perfil da instância do IAM a uma instância do Amazon EC2 ao executá-la ou a uma instância executada anteriormente. Para obter mais informações, consulte Usar os perfis da instância.
Para servidores on-premises ou máquinas virtuais (VMs), as permissões são fornecidas pela função de serviço do IAM associada à ativação híbrida usada para registrar seus servidores e VMs on-premises com o Systems Manager. Servidores on-premises e VMs locais não usam perfis da instância.
Se você já usou outros recursos do Systems Manager, como o Run Command ou o Parameter Store, um perfil da instância com as permissões básicas necessárias para o Session Manager poderá já estar anexado às suas instâncias do Amazon EC2. Se um perfil da instância que contém a política gerenciada AmazonSSMManagedInstanceCore da AWS já estiver anexado às suas instâncias, as permissões para Session Manager já estarão fornecidas. Isso também é verdade se a função de serviço do IAM usada na ativação híbrida contiver a política gerenciada AmazonSSMManagedInstanceCore.
No entanto, em alguns casos, pode ser necessário modificar as permissões anexadas ao seu perfil de instância. Por exemplo, você quer fornecer um conjunto mais restrito de permissões de instância, você criou uma política personalizada para seu perfil da instância ou você quer usar as opções de criptografia do Amazon Simple Storage Service (Amazon S3) ou do AWS Key Management Service (AWS KMS) para proteger os dados da sessão. Nesses casos, para permitir que as ações do Session Manager sejam executadas em suas instâncias, proceda de uma das seguintes maneiras:
-
Incorpore permissões para as ações do Session Manager em uma função do IAM personalizada
Para adicionar permissões para ações do Session Manager a uma função do IAM existente que não dependa da política padrão
AmazonSSMManagedInstanceCorefornecida pela AWS, siga as etapas em Adicionar permissões do Session Manager a um perfil do IAM existente. -
Crie uma função do IAM personalizada apenas com permissões do Session Manager
Para criar uma função do IAM que contenha permissões somente para ações do Session Manager, siga as etapas em Crie uma função do IAM personalizada para o Session Manager.
-
Crie e use uma nova função do IAM com permissões para todas as ações do Systems Manager
Para criar um perfil do IAM para as instâncias gerenciadas do Systems Manager que usam uma política padrão fornecida pela AWS para conceder todas as permissões do Systems Manager, siga as etapas em Configurar permissões de instância obrigatórias para o Systems Manager.
Tópicos
