本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將 Session Manager 許可新增至現有 IAM 角色
使用以下程序將 Session Manager 許可新增至現有 AWS Identity and Access Management (IAM) 角色。透過將許可新增至現有角色,您可以增強運算環境的安全性,而不必將 AWS AmazonSSMManagedInstanceCore政策用於執行個體許可。
注意
記下以下資訊:
-
這個程序假設您現有的角色已經包含其他您希望允許存取動作的 Systems Manager
ssm許可。這個政策無法獨立使用 Session Manager。 -
下列政策範例包含一個
s3:GetEncryptionConfiguration動作。如果您在 Session Manager 記錄偏好設定中選擇了強制 S3 日誌加密選項,則需要執行此動作。
將 Session Manager 許可新增至現有角色 (主控台)
登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在導覽窗格中,選擇角色。
-
選取您要為其新增許可的角色名稱。
-
選擇許可索引標籤標籤。
-
選擇新增許可,然後選取建立內嵌政策。
-
選擇 JSON 標籤。
-
將預設政策內容取代為以下內容。將
key-name取代為您要使用的 AWS Key Management Service 金鑰 () 的 Amazon Resource Name (ARN AWS KMS key)。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }如需使用 KMS 金鑰來加密工作階段資料的詳細資訊,請參閱 開啟工作階段資料的 KMS 金鑰加密 (主控台)。
如果您不對工作階段資料使用 AWS KMS 加密,您可以從政策中移除下列內容。
, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } -
選擇下一步:標籤。
-
(選用) 透過選擇 Add tag (新增標籤),然後輸入政策的首選標籤來新增標籤。
-
選擇下一步:檢閱。
-
在檢閱政策頁面上名稱中,輸入該內嵌政策的名稱,例如
SessionManagerPermissions。 -
(選用) 在說明中輸入政策的說明。
選擇 建立政策。
如需有關 ssmmessages 動作的資訊,請參閱 參考:ec2messages、ssmmessages 和其他 API 操作。
