步驟 2：為 Session Manager 確認或新增執行個體許可

在預設情況下，AWS Systems Manager 沒有在您執行個體上執行動作的許可。您可以使用 AWS Identity and Access Management (IAM) 角色在帳戶層級提供執行個體許可，或使用執行個體設定檔在執行個體層級提供許可。如果您的使用案例允許，建議您使用預設主機管理組態在帳戶層級授予存取權。如果您已經使用 AmazonSSMManagedEC2InstanceDefaultPolicy 政策設定帳戶的預設主機管理組態，則可以執行下一個步驟。如需有關預設主機管理組態的詳細資訊，請參閱 使用預設主機管理組態來自動管理 EC2 執行個體。

您也可以使用執行個體設定檔為執行個體提供必要的許可。使用執行個體設定檔將 IAM 角色傳遞給 Amazon EC2 執行個體。您可以將 IAM 執行個體設定檔連接至啟動的 Amazon EC2 執行個體或先前啟動的執行個體。如需詳細資訊，請參閱使用執行個體設定檔。

對於內部部署伺服器或虛擬機器 (VM)，許可由與混合式啟用相關聯的 IAM 服務角色提供，該角色可用來向 Systems Manager 註冊您的內部部署伺服器和 VM。內部部署伺服器和 VM 不使用執行個體設定檔。

若您已使用 Systems Manager 的其他工具 (例如 Run Command 或 Parameter Store)，您的 Amazon EC2 執行個體便可能已經連接具備 Session Manager 必要基本許可的執行個體設定檔。若包含 AWS 管理的政策 AmazonSSMManagedInstanceCore 的執行個體設定檔已連接到您的執行個體，則已提供 Session Manager 的必要許可。如果混合式啟用中使用的 IAM 服務角色包含 AmazonSSMManagedInstanceCore 管理的政策，則這也會是 True。

但是，在某些案例中，您可能需要修改連接到您執行個體設定檔的許可。例如，您希望提供更窄的一組執行個體許可、您已為執行個體設定檔建立自訂政策，或是您希望使用 Amazon Simple Storage Service (Amazon S3) 加密或 AWS Key Management Service (AWS KMS) 加密來保護工作階段資料的安全。針對這些案例，請執行以下其中一項作業，允許在您的執行個體上執行 Session Manager 動作：