步驟 2：為 Session Manager 確認或新增執行個體許可

根據預設， AWS Systems Manager 沒有在您的執行個體上執行動作的許可。您可以使用 AWS Identity and Access Management (IAM) 角色在帳戶層級提供執行個體許可，或使用執行個體設定檔在執行個體層級提供許可。如果您的使用案例允許，建議您使用預設主機管理組態在帳戶層級授予存取權。如果您已經使用 AmazonSSMManagedEC2InstanceDefaultPolicy 政策設定帳戶的預設主機管理組態，則可以執行下一個步驟。如需有關預設主機管理組態的詳細資訊，請參閱 使用預設主機管理組態來自動管理 EC2 執行個體。

您也可以使用執行個體設定檔為執行個體提供必要的許可。使用執行個體設定檔將 IAM 角色傳遞給 Amazon EC2 執行個體。您可以將 IAM 執行個體設定檔連接至啟動的 Amazon EC2 執行個體或先前啟動的執行個體。如需詳細資訊，請參閱使用執行個體設定檔。

對於內部部署伺服器或虛擬機器 (VM)，許可由與混合式啟用相關聯的 IAM 服務角色提供，該角色可用來向 Systems Manager 註冊您的內部部署伺服器和 VM。內部部署伺服器和 VM 不使用執行個體設定檔。

如果您已使用其他 Systems Manager 工具，例如 Run Command或 Parameter Store，則具有 必要基本許可的執行個體描述檔可能Session Manager已連接至您的 Amazon EC2 執行個體。如果包含 AWS 受管政策的執行個體設定檔AmazonSSMManagedInstanceCore已連接至您的執行個體，Session Manager則已提供 所需的許可。如果混合式啟用中使用的 IAM 服務角色包含 AmazonSSMManagedInstanceCore 管理的政策，則這也會是 True。

但是，在某些案例中，您可能需要修改連接到您執行個體設定檔的許可。例如，您想要提供一組更窄的執行個體許可、為執行個體描述檔建立自訂政策，或是想要使用 Amazon Simple Storage Service (Amazon S3) 加密或 AWS Key Management Service (AWS KMS) 加密選項來保護工作階段資料。針對這些案例，請執行以下其中一項作業，允許在您的執行個體上執行 Session Manager 動作：