本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 2:為 Session Manager 確認或新增執行個體許可
根據預設, AWS Systems Manager 沒有對執行個體執行動作的權限。您可以使用 AWS Identity and Access Management (IAM) 角色在帳戶層級提供執行個體權限,或使用執行個體設定檔在執行個體層級提供執行個體權限。如果您的使用案例允許,建議您使用預設主機管理組態在帳戶層級授予存取權。如果您已經使用 AmazonSSMManagedEC2InstanceDefaultPolicy
政策設定帳戶的預設主機管理組態,則可以執行下一個步驟。如需有關預設主機管理組態的詳細資訊,請參閱 使用預設主機管理組態自動管理EC2執行個體。
您也可以使用執行個體設定檔為執行個體提供必要的許可。執行個體設定檔會將IAM角色傳遞給 Amazon EC2 執行個體。您可以在啟動 Amazon IAM 執行個體時將EC2執行個體設定檔附加到該執行個體或先前啟動的執行個體。如需詳細資訊,請參閱使用執行個體設定檔。
對於內部部署伺服器或虛擬機器 (VMs),權限是由與用於註冊內部部署伺IAM服器的混合式啟用相關聯的服務角色提VMs供,以及 Systems Manager。內部部署伺服器且VMs不使用執行個體設定檔。
如果您已經使用其他 Systems Manager 功能 (例如Run Command或)Parameter Store,具有所需基本許可的執行個體設定檔Session Manager可能已附加至您的 Amazon EC2 執行個體。若包含 AWS
管理的政策 AmazonSSMManagedInstanceCore
的執行個體設定檔已連接到您的執行個體,則已提供 Session Manager 的必要許可。如果混合啟用中使用的IAM服務角色包含AmazonSSMManagedInstanceCore
受管理策略,則也會發生這種情況。
但是,在某些案例中,您可能需要修改連接到您執行個體設定檔的許可。例如,您想要提供較窄的執行個體許可集、已為執行個體設定檔建立自訂政策,或者想要使用 Amazon 簡單儲存服務 (Amazon S3) 加密或 AWS Key Management Service (AWS KMS) 加密選項來保護工作階段資料。針對這些案例,請執行以下其中一項作業,允許在您的執行個體上執行 Session Manager 動作:
-
內嵌自訂IAM角色中Session Manager動作的權限
若要將Session Manager動作的權限新增至不依賴 AWS-提供的預設原則的現有IAM角色
AmazonSSMManagedInstanceCore
,請遵循中將Session Manager權限新增至現有IAM角色的步驟。 -
建立僅具有Session Manager權限的自訂IAM角色
若要建立僅包含Session Manager動作權限的IAM角色,請遵循中的步驟建立自訂IAM角色 Session Manager。
-
建立並使用具有所有 Systems Manager 動作權限的新IAM角色
若要為使用由 AWS 提供的預設原則授與所有系統管理員權限的 Systems Manager 受管理執行個體建立IAM角色,請依照設定系 Systems Manager 員所需的執行個體權限中的步驟執行。