Você concede ou revoga o acesso do Session Manager a nós gerenciados usando políticas do AWS Identity and Access Management (IAM). É possível criar uma política e anexá-la a um usuário ou grupo do IAM que especifica a quais nós gerenciados o usuário ou grupo pode se conectar. Também é possível especificar as operações de API do Session Manager que o usuário ou os grupos podem realizar nesses nós gerenciados.
Para ajudar você a começar a usar as políticas de permissão do IAM para o Session Manager, criamos exemplos de políticas para um usuário final e um usuário administrador. Você pode usar essas políticas fazendo apenas pequenas alterações. Ou use esses exemplos como um guia para criar políticas personalizadas do IAM. Para ter mais informações, consulte Exemplo de políticas do IAM para Session Manager. Para obter informações sobre como criar políticas do IAM e anexá-las a usuários ou grupos, consulte Criação de políticas do IAM e Adição e remoção de políticas do IAM no Guia do usuário do IAM.
Sobre formatos de ARN do ID da sessão
Ao criar uma política do IAM para acesso do Session Manager, especifique um ID da sessão como parte do nome do recurso da Amazon (ARN). O ID da sessão contém o nome do usuário como variável. Para ajudar a ilustrar isso, veja o formato de um ARN do Session Manager e um exemplo:
arn:aws:ssm:region-id:account-id:session/session-id
Por exemplo:
arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE
Para obter mais informações sobre usar variáveis em políticas IAM, consulte Elementos da política do IAM: variáveis.
Tópicos
