将会话管理器权限添加到现有实例配置文件 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将会话管理器权限添加到现有实例配置文件

按照以下步骤将会话管理器权限嵌入到现有 AWS Identity and Access Management (IAM) 实例配置文件中,此配置文件不依赖于Amazon提供的默认策略AmazonSSMManagedInstanceCore以获取实例权限。此过程假设现有配置文件已包括其他 Systems Manager agementssm权限对其进行访问。仅有此策略不足以使用会话管理器。

将会话管理器权限添加到现有实例配置文件(控制台)

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Roles

  3. 选择要在其中嵌入策略的角色的名称。

  4. 选择 Permissions 选项卡。

  5. 滚动到页面底部并选择添加内联策略

  6. 选择 JSON 选项卡。

  7. 将默认内容替换为以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }

    关于“ssmmessages”

    有关 ssmmessages 的信息,请参阅参考:ec2messages、ssmmessages 和其他 API 调用

    关于 “kms:Decrypt”

    在此策略中,kms:Decrypt 权限为会话数据启用客户密钥加密和解密。如果您将使用Amazon Key Management Service(Amazon KMS) 对会话数据进行加密,请将密钥名称与要使用 KMS 密钥的 Amazon 资源名称 (ARN),格式为arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

    如果您不使用Amazon KMS加密时,您可以从策略中删除以下内容。

    , { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }

    有关使用 KMS 密钥加密会话数据的信息,请参阅启用会话数据 KMS 密钥加密(控制台)

  8. 选择查看策略

  9. Review policy (查看策略) 页面上,对于 Name (名称),输入内联策略的名称,例如 SessionManagerPermissions

  10. 选择创建策略