Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
Session Manager 的 IAM policy 示例
使用此部分中的示例可帮助您创建 Amazon Identity and Access Management (IAM) policy,以提供访问 Session Manager 所需的最常用权限。
Session Manager 的快速入门最终用户策略
使用以下示例为 Session Manager 创建 IAM 终端用户策略。
您可以创建一个策略,允许用户仅从 Session Manager 控制台和 Amazon Command Line Interface (Amazon CLI)、仅从 Amazon Elastic Compute Cloud (Amazon EC2) 控制台或从这三项中启动会话。
这些策略为终端用户提供启动连接到特定托管式节点的会话以及仅结束自己的会话的功能。有关可能需要对策略进行的自定义的示例,请参阅 Session Manager 的其他示例 IAM policy。
在以下示例策略中,将每个示例资源占位符替换为您自己的信息。
从以下选项卡中进行选择,查看要提供的会话访问范围的示例策略。
- 会话管理器 and Fleet Manager
-
使用此示例策略使用户能够仅从 Session Manager 和 Fleet Manager 控制台启动和恢复会话。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/instance-id",
"arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell" 
],
"Condition": {
"BoolIfExists": {
"ssm:SessionDocumentAccessCheck": "true" 
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey" 
],
"Resource": "key-name"
}
]
}
- Amazon EC2
-
使用此示例策略使用户能够仅从 Amazon EC2 控制台启动和恢复会话。该策略不提供从 Session Manager 控制台和 Amazon CLI 启动会话所需的所有权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand" 
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/instance-id",
"arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
- Amazon CLI
-
使用此示例策略使用户能够仅从 Amazon CLI 启动和恢复会话。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/instance-id",
"arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell"
],
"Condition": {
"BoolIfExists": {
"ssm:SessionDocumentAccessCheck": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-name"
}
]
}
1 SSM-SessionManagerRunShell 是 Session Manager 创建的用于存储会话配置首选项的 SSM 文档的默认名称。您可以创建自定义会话文档,并在此策略中指定它。您还可以为使用 SSH 启动会话的用户指定 Amazon 提供的文档 AWS-StartSSHSession。有关使用 SSH 支持会话所需的配置步骤的信息,请参阅(可选)通过 Session Manager 允许和控制 SSH 连接的权限。
2 如果将条件元素 ssm:SessionDocumentAccessCheck 指定为 true,则系统会在建立会话之前检查用户是否具有对定义的会话文档(在本例中为 SSM-SessionManagerRunShell)的显式访问权限。有关更多信息,请参阅 启动会话时强制执行会话文档权限检查。
3 kms:GenerateDataKey 权限可让您创建用于加密会话数据的数据加密密钥。如果您将为您的会话数据使用 Amazon Key Management Service (Amazon KMS) 加密,请将 key-name 替换为您要使用的 KMS 密钥的 Amazon Resource Name (ARN),使用格式 arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE。如果您不为会话数据使用 KMS 密钥加密,请从策略中删除以下内容。
,
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-name"
}
有关使用 Amazon KMS 加密会话数据的信息,请参阅 启用会话数据的 KMS 密钥加密(控制台)。
4 如果用户尝试从 Amazon EC2 控制台启动会话,则需要 SendCommand 权限,但 SSM Agent 必须先更新到 Session Manager 所需的最低版本。Run Command 用于向实例发送命令,以便更新代理。
(快速入门)Session Manager 管理员策略
使用以下示例可为 Session Manager 创建 IAM 管理员策略。
这些策略为管理员提供启动与使用 Key=Finance,Value=WebServers 标记的托管式节点的会话的功能,创建、更新和删除首选项的权限,以及仅结束自己的会话的权限。有关可能需要对策略进行的自定义的示例,请参阅 Session Manager 的其他示例 IAM policy。
您可以创建一个策略,允许管理员仅从 Session Manager 控制台和 Amazon CLI、仅从 Amazon EC2 控制台或从这三项中执行这些任务。
在以下示例策略中,将每个示例资源占位符替换为您自己的信息。
从以下选项卡中进行选择,查看要支持的访问方案的示例策略。
- 会话管理器 and CLI
-
使用此示例策略使管理员能够仅从 Session Manager 控制台和 Amazon CLI 执行会话相关任务。此策略不提供从 Amazon EC2 控制台执行会话相关任务所需的所有权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument"
],
"Resource": "arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
- Amazon EC2
-
使用此示例策略使管理员能够仅从 Amazon EC2 控制台执行会话相关任务。该策略不提供从 Session Manager 控制台和 Amazon CLI 执行会话相关任务所需的所有权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
- 会话管理器, CLI, and Amazon EC2
-
使用此示例策略使管理员能够从 Session Manager 控制台、Amazon CLI 和 Amazon EC2 控制台执行会话相关任务。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:region:account-id:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument"
],
"Resource": "arn:aws:ssm:region:account-id:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
1 如果用户尝试从 Amazon EC2 控制台启动会话,但必须发送命令以首先更新 SSM Agent,则需要 SendCommand 的权限。