向现有 IAM 角色添加 Session Manager 权限 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

向现有 IAM 角色添加 Session Manager 权限

按照以下步骤,将 Session Manager 权限嵌入现有 Amazon Identity and Access Management (IAM) 角色中,该角色不依赖于 Amazon 提供的原定设置策略 AmazonSSMManagedInstanceCore 来提供实例权限。此过程假设现有角色已包含您希望允许访问的操作的其他 Systems Manager ssm 权限。要使用 Session Manager,只有此策略是不够的。

向现有角色添加 Session Manager 权限(控制台)

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择角色

  3. 选择要在其中嵌入策略的角色的名称。

  4. 选择权限项卡。

  5. 选择 Add inline policy (添加内联策略)。链接位于页面右侧。

  6. 请选择 JSON 选项卡。

  7. 将原定设置内容替换为以下策略。将 key-name(密钥名称)替换为要使用的 KMS 密钥的 Amazon Resource Name (ARN)。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }

    有关使用 KMS 密钥加密会话数据的信息,请参阅启用会话数据的 KMS 密钥加密(控制台)

    如果您不为会话数据使用 Amazon KMS 加密,可以从策略中删除以下内容。

    , { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }
  8. 请选择下一步:标签

  9. (可选)通过选择 Add tag(添加标签)并输入策略的首选标签来添加标签。

  10. 请选择下一步:审核

  11. 查看策略页面上,对于名称,输入内联策略的名称,例如 SessionManagerPermissions

  12. (可选)对于 Description (描述),输入策略的描述。

    选择 Create policy (创建策略)

有关 ssmmessages 操作的信息,请参阅 参考:ec2messages、ssmmessages 和其他 API 操作