步骤 3:控制会话对托管式节点的访问
您可以使用 AWS Identity and Access Management(IAM)policy 授予或撤消对托管式节点的 Session Manager 访问权限。您可以创建策略并将其附加到 IAM 用户或群组,以指定此用户或群组可以连接到哪些托管式节点。您还可以指定用户或群组可以在这些托管式节点上执行的 Session Manager API 操作。
为了帮助您开始使用 Session Manager 的 IAM 权限策略,我们为最终用户和管理员用户创建了示例策略。您只需稍作修改即可使用这些策略。或者,将这些策略用作创建自定义 IAM policy 的指南。有关更多信息,请参阅 Session Manager 的 IAM policy 示例。有关如何创建 IAM policy 并将策略附加到用户或组的信息,请参阅《IAM 用户指南》中的创建 IAM policy 及添加和移除 IAM policy。
关于会话 ID ARN 格式
为 Session Manager 访问权限创建 IAM policy 时,您可以指定会话 ID 作为 Amazon 资源名称(ARN)的一部分。会话 ID 包括作为变量的用户名。为了帮助说明这一点,以下是 Session Manager ARN 的格式和示例:
arn:aws:ssm:
region-id
:account-id
:session/session-id
例如:
arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE
有关在 IAM policy 中使用变量的更多信息,请参阅 IAM policy 元素:变量。