• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 適用於 Session Manager 的範例 IAM 政策
使用本節中的範例來協助您建立 AWS Identity and Access Management (IAM) 政策,以提供最常用的Session Manager存取許可。
**注意**
您也可以使用 AWS KMS key 政策來控制哪些 IAM 實體 (使用者或角色) 和 AWS 帳戶 有權存取您的 KMS 金鑰。如需詳細資訊,請參閱《 *AWS Key Management Service 開發人員指南*》中的[管理 AWS KMS 資源存取和使用金鑰政策的概觀](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)。 [AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)
**Topics**
+ [Session Manager的最終使用者政策快速入門](#restrict-access-quickstart-end-user)
+ [Session Manager的管理者政策快速入門](#restrict-access-quickstart-admin)
## Session Manager的最終使用者政策快速入門
使用以下範例來替 Session Manager 建立 IAM 最終使用者政策。
您可以建立政策,允許使用者只從Session Manager主控台和 AWS Command Line Interface (AWS CLI)、只從 Amazon Elastic Compute Cloud (Amazon EC2) 主控台或從這三個主控台啟動工作階段。
這些政策提供最終使用者對特定受管節點啟動工作階段的能力,也能夠結束自己的工作階段。請參閱[Session Manager 的其他 IAM 政策範例](getting-started-restrict-access-examples.md)取得有關您想在政策進行自訂的範例
在以下範例政策中,將每個*範例資源預留位置*取代為您自己的資訊。
從以下標籤進行選擇,來針對您要提供的工作階段存取範圍檢視範例政策。
------
#### [ 工作階段管理員 and Fleet Manager ]
使用此範例政策,讓使用者只能從 Session Manager 與 Fleet Manager 主控台啟動和繼續工作階段。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
------
#### [ Amazon EC2 ]
使用此範例政策,來讓使用者只能從 Amazon EC2 主控台啟動和繼續工作階段。這個政策不提供從 Session Manager 主控台和 AWS CLI啟動工作階段所需要的所有許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:username}-*"
]
}
]
}
```
------
------
#### [ AWS CLI ]
使用此範例政策,讓使用者可以從 AWS CLI啟動和繼續工作階段。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
------
**注意**
`SSM-SessionManagerRunShell` 是 SSM 文件的預設名稱,Session Manager 會建立該 SSM 文件來存放您的工作階段組態偏好設定。您可以建立自訂工作階段文件,並改在這個政策中進行指定。您也可以為使用 SSH 開始工作階段的使用者指定 AWS提供的文件 `AWS-StartSSHSession`。如需有關使用 SSH 支援工作階段所需的設定步驟的資訊,請參閱 [(選用) 透過 Session Manager 允許和控制 SSH 連線的許可](session-manager-getting-started-enable-ssh-connections.md)。
`kms:GenerateDataKey` 許可讓您能夠建立加密工作階段資料所用的資料加密金鑰。如果您要對工作階段資料使用 AWS Key Management Service (AWS KMS) 加密,請將 *key-name* 取代為您要使用之 KMS 金鑰的 Amazon Resource Name (ARN),格式為 `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE`。如果您不使用 KMS 金鑰來加密工作階段資料,請將以下內容從政策中移除:
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-name"
}
```
如需使用 AWS KMS 加密工作階段資料的相關資訊,請參閱 [開啟工作階段資料的 KMS 金鑰加密 (主控台)](session-preferences-enable-encryption.md)。
當使用者嘗試從 Amazon EC2 主控台啟動工作階段時,需要 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html) 的許可,但必須先將 SSM Agent 更新至 Session Manager 所需的最低版本。Run Command 用於將命令傳送至執行個體以更新 Agent。
## Session Manager的管理者政策快速入門
使用以下範例來替 Session Manager 建立 IAM 管理員政策。
這些政策提供管理員能夠啟動工作階段到被 `Key=Finance,Value=WebServers` 所標記的受管節點的能力,建立、更新和刪除偏好設定的許可,以及僅結束自己工作階段的許可。請參閱[Session Manager 的其他 IAM 政策範例](getting-started-restrict-access-examples.md)取得有關您想在政策進行自訂的範例
您可以建立政策,允許管理員只從Session Manager主控台執行這些任務 AWS CLI,以及只從 Amazon EC2 主控台執行,或從這三個主控台執行這些任務。
在以下範例政策中,將每個*範例資源預留位置*取代為您自己的資訊。
從以下標籤進行選擇,來針對您要支援的存取案例檢視範例政策。
------
#### [ 工作階段管理員 and CLI ]
使用此範例政策,來讓管理員只能從 Session Manager 主控台與 AWS CLI執行與工作階段相關的任務。這個政策不提供從 Amazon EC2 主控台執行與工作階段相關的任務所需要的所有許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssmmessages:OpenDataChannel"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument",
"ssm:StartSession"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssmmessages:OpenDataChannel"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
#### [ Amazon EC2 ]
使用此範例政策,來讓管理員只能從 Amazon EC2 主控台執行與工作階段相關的任務。這個政策不提供從 Session Manager 主控台與 AWS CLI執行與工作階段相關的任務所需要的所有許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
#### [ 工作階段管理員, CLI, and Amazon EC2 ]
使用此範例政策,來讓管理員能從 Session Manager 主控台、 AWS CLI與 Amazon EC2 主控台執行與工作階段相關的任務。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument",
"ssm:StartSession"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
**注意**
如果有使用者嘗試從 Amazon EC2 主控台啟動工作階段,但必須先傳送命令來更新 SSM Agent,就需要 [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html) 的許可。