建立自訂IAM角色 Session Manager - AWS Systems Manager
建立具有最低Session Manager權限的IAM角色 (主控台)建立具有 Amazon S3 Session Manager 和日 CloudWatch 誌 (主控台) 許可的IAM角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立自訂IAM角色 Session Manager

您可以建立 AWS Identity and Access Management (IAM) 角色,授與Session Manager在 Amazon EC2 受管執行個體上執行動作的權限。您還可以包括一項政策,以授予將工作階段日誌傳送到 Amazon 簡單儲存服務 (Amazon S3) 和 Amazon CloudWatch 日誌所需的許可。

建立角色後,如需如何將IAM角色附加至執行個體的詳細資訊,請參閱 AWS re:Post 網站上的附加或取代執行個體設定檔。如需有關IAM執行個體設定檔和角色的詳細資訊,請參閱使用IAM者指南中的使用執行個體設定檔IAMAmazon 彈性運算雲端使用者指南EC2中的 Linux 執行個體使用者指南。如需為內部部署機器建立IAM服務角色的詳細資訊,請參閱建立混合式和多雲端環境中 Systems Manager 所需的IAM服務角色

建立具有最低Session Manager權限的IAM角色 (主控台)

使用下列程序建立自訂IAM角色,其原則僅提供執行個體Session Manager動作的權限。

建立含最小 Session Manager 許可的執行個體設定檔 (主控台)

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)。(顯示 Get Started (開始使用) 按鈕時先選擇它,然後選擇 Create Policy (建立政策)。)

  3. 選擇索JSON引標籤。

  4. 將預設內容取代為以下政策。若要使用 AWS Key Management Service (AWS KMS) 加密工作階段資料,請取代 key-name 使用您要使用的 Amazon 資源名稱(ARN)。 AWS KMS key 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

    如需有關使用KMS金鑰加密工作階段資料的資訊,請參閱開啟工作階段資料的 KMS 金鑰加密 (主控台)

    如果您不會對工作階段資料使用 AWS KMS 加密,則可以從政策中移除以下內容。

    ,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

  5. 選擇下一步:標籤

  6. (選用) 透過選擇 Add tag (新增標籤),然後輸入政策的首選標籤來新增標籤。

  7. 選擇下一步:檢閱

  8. Review Policy (檢閱政策) 頁面上 Name (名稱)中,輸入該內嵌政策的名稱,例如 SessionManagerPermissions

  9. (選用) Description (說明),輸入政策的說明。

  10. 選擇 建立政策

  11. 在導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)

  12. 在 [建立角色] 頁面上,選擇 [AWS 服務],然後針對 [使用案例] 選擇EC2

  13. 選擇 Next (下一步)

  14. Add permissions (新增許可) 頁面,選取您剛建立政策左側的核取方塊,例如 SessionManagerPermissions

  15. 選擇 Next (下一步)

  16. 名稱、檢閱和建立頁面上,為角色名稱輸入IAM角色的名稱,例如MySessionManagerRole

  17. (選用) Role description (角色說明),輸入執行個體設定檔的說明。

  18. (選用) 透過選擇 Add tag (新增標籤),然後輸入角色的首選標籤來新增標籤。

    選擇建立角色

如需有關 ssmmessages 動作的資訊,請參閱 參考:ec2messages、ssmmessages 和其他API操作

建立具有 Amazon S3 Session Manager 和日 CloudWatch 誌 (主控台) 許可的IAM角色

使用下列程序來建立具有針對執行個體Session Manager動作權限的原則的自訂IAM角色。該政策還提供存放在 Amazon 簡單儲存服務 (Amazon S3) 儲存貯體和 Amazon 日誌日誌群組中的工作階段 CloudWatch 日誌所需的許可。

重要

若要將工作階段日誌輸出到其他儲存貯體擁有的 Amazon S3 儲存貯體 AWS 帳戶,您必須將s3:PutObjectAcl權限新增至IAM角色政策。此外,您必須確保儲存貯體政策授與擁有帳戶所使用IAM角色的跨帳戶存取權,以授與受管理執行個體的 Systems Manager 權限。如果值區使用金鑰管理服務 (KMS) 加密,則值區的KMS政策也必須授予此跨帳戶存取權。如需有關在 Amazon S3 中設定跨帳戶儲存貯體許可的更多資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的授予跨帳戶儲存貯體許可一節。如果未新增此許可,則擁有該 Amazon Simple Storage Service (Amazon S3) 儲存貯體的帳戶無法存取工作階段輸出日誌。

如需有關指定儲存工作階段日誌偏好的更多資訊,請參閱啟用和停用工作階段記錄

若要建立具有 Amazon S3 Session Manager 和日 CloudWatch 誌 (主控台) 許可的IAM角色

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Policies (政策),然後選擇 Create policy (建立政策)。(顯示 Get Started (開始使用) 按鈕時先選擇它,然後選擇 Create Policy (建立政策)。)

  3. 選擇索JSON引標籤。

  4. 將預設內容取代為以下政策。替換每個 example resource placeholder 使用您自己的信息。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel",
                "ssm:UpdateInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        },
        {
            "Effect": "Allow",
            "Action": "kms:GenerateDataKey",
            "Resource": "*"
        }
    ]
}

  5. 選擇下一步:標籤

  6. (選用) 透過選擇 Add tag (新增標籤),然後輸入政策的首選標籤來新增標籤。

  7. 選擇下一步:檢閱

  8. Review Policy (檢閱政策) 頁面上 Name (名稱)中,輸入該內嵌政策的名稱,例如 SessionManagerPermissions

  9. (選用) Description (說明),輸入政策的說明。

  10. 選擇 建立政策

  11. 在導覽窗格中,選擇 Roles (角色),然後選擇 Create role (建立角色)

  12. 在 [建立角色] 頁面上,選擇 [AWS 服務],然後針對 [使用案例] 選擇EC2

  13. 選擇 Next (下一步)

  14. Add permissions (新增許可) 頁面,選取您剛建立政策左側的核取方塊,例如 SessionManagerPermissions

  15. 選擇 Next (下一步)

  16. 名稱、檢閱和建立頁面上,為角色名稱輸入IAM角色的名稱,例如MySessionManagerRole

  17. (選用) 在 Role description (角色說明) 中,輸入角色的說明。

  18. (選用) 透過選擇 Add tag (新增標籤),然後輸入角色的首選標籤來新增標籤。

  19. 選擇建立角色