步骤 2:验证或添加 Session Manager 的实例权限 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

步骤 2:验证或添加 Session Manager 的实例权限

默认情况下,Amazon Systems Manager 没有在您的实例上执行操作的权限。您可以使用 Amazon Identity and Access Management(IAM)角色在账户级别提供实例权限,也可以使用实例配置文件在实例级别提供实例权限。如果您的应用场景允许,我们建议使用“默认主机管理配置”在账户级别授予访问权限。如果您已经使用 AmazonSSMManagedEC2InstanceDefaultPolicy 策略为账户设置了“默认主机管理配置”,则可以继续执行下一步。有关“默认主机管理配置”的更多信息,请参阅使用“默认主机管理配置”设置

或者,您可以使用实例配置文件为实例提供所需权限。实例配置文件会将 IAM 角色传递给 Amazon EC2 实例。您可以将 IAM 实例配置文件附加到 Amazon EC2 实例(在启动该实例时)或之前启动的实例。有关更多信息,请参阅使用实例配置文件

对于本地部署服务器或虚拟机 (VM),权限由与混合激活关联的 IAM 服务角色提供,该激活用于将您的本地部署服务器和虚拟机注册到 Systems Manager。本地服务器和虚拟机不使用实例配置文件。

如果您已使用其他 Systems Manager 功能(例如 Run Command 或 Parameter Store),则可能已将具有 Session Manager 所需的基本权限的实例配置文件附加到 Amazon EC2 实例。如果包含 Amazon 托管式策略 AmazonSSMManagedInstanceCore 的实例配置文件已附上您的实例,则已提供 Session Manager 所需的权限。如果混合激活中使用的 IAM 服务角色包含 AmazonSSMManagedInstanceCore 托管式策略,则也已提供所需权限。

重要

您无法更改与混合激活关联的 IAM 服务角色。如果您发现服务角色不包含所需权限,则必须取消注册托管式实例,然后利用使用具有所需权限的服务角色的新混合激活进行注册。有关取消注册托管式实例的更多信息,请参阅 在混合和多云环境中取消注册托管式节点。有关为本地计算机创建 IAM 服务角色的更多信息,请参阅为混合环境创建 IAM 服务角色

但在某些情况下,您可能需要修改附加到实例配置文件的权限。例如,您希望提供一组更少的实例权限,您已为实例配置文件创建自定义策略,或者您希望使用 Amazon Simple Storage Service (Amazon S3) 加密或 Amazon Key Management Service (Amazon KMS) 加密选项以保护会话数据。对于这些情况,请执行以下操作之一,以允许在您的实例上执行 Session Manager 操作:

  • 在自定义 IAM 角色中嵌入 Session Manager 操作权限

    要将 Session Manager 操作的权限添加到不依赖于 Amazon 提供的原定设置策略 AmazonSSMManagedInstanceCore 的现有 IAM 角色,请按照 向现有 IAM 角色添加 Session Manager 权限 中的步骤操作。

  • 创建仅具有 Session Manager 权限的自定义 IAM 角色

    要创建仅具有 Session Manager 操作权限的 IAM 角色,请按照 为 Session Manager 创建自定义 IAM 角色 中的步骤操作。

  • 创建和使用具有所有 Systems Manager 操作权限的新 IAM 角色

    要为 Systems Manager 托管实例创建使用 Amazon 提供的默认策略授予所有 Systems Manager 权限的 IAM 角色,请按照为 Systems Manager 配置实例权限中的步骤进行操作。

主题