向现有 IAM 角色添加 Session Manager 权限
使用以下过程为现有 Amazon Identity and Access Management(IAM)角色添加 Session Manager 权限。通过向现有角色添加权限,您可以增强计算环境的安全性,而不必使用 AmazonAmazonSSMManagedInstanceCore 策略来获得实例权限。
注意
请注意以下信息:
-
此过程假设现有角色已包含您希望允许访问的操作的其他 Systems Manager
ssm权限。要使用 Session Manager,只有此策略是不够的。 -
以下策略示例包括一项
s3:GetEncryptionConfiguration操作。如果您在 Session Manager 日志首选项中选择了强制 S3 日志加密选项,则需要执行此操作。
向现有角色添加 Session Manager 权限(控制台)
登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择角色。
-
选择要向其添加权限的角色的名称。
-
选择 Permissions(权限)选项卡。
-
选择添加权限,然后选择创建内联策略。
-
选择 JSON 选项卡。
-
将默认策略内容替换为以下内容。将
key-name替换为您要使用的 Amazon Key Management Service 密钥(Amazon KMS key)的 Amazon 资源名称(ARN)。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }有关使用 KMS 密钥加密会话数据的信息,请参阅 启用会话数据的 KMS 密钥加密(控制台)。
如果您不为会话数据使用 Amazon KMS 加密,可以从策略中删除以下内容。
, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } -
选择下一步:标签。
-
(可选)通过选择 Add tag(添加标签)并输入策略的首选标签来添加标签。
-
选择 下一步: 审核。
-
在查看策略页面上,对于名称,输入内联策略的名称,例如
SessionManagerPermissions。 -
(可选)对于 Description (描述),输入策略的描述。
选择 Create policy (创建策略)。
有关 ssmmessages 操作的信息,请参阅 参考:ec2messages、ssmmessages 和其他 API 操作。