AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

将 Session Manager 权限添加到现有实例配置文件

可以执行以下步骤以在现有 IAM 实例配置文件中嵌入 Session Manager 权限,该配置文件不依赖于 AWS 提供的默认策略 AmazonSSMManagedInstanceCore 来提供实例权限。注意,此过程假设现有配置文件已包含您希望允许访问的操作的其他 Systems Manager ssm 权限。要使用 Session Manager,只有此策略是不够的。

将 Session Manager 权限添加到现有实例配置文件(控制台)

  1. Sign in to the AWS Management Console and open the IAM console at https://console.amazonaws.cn/iam/.

  2. 在导航窗格中,选择角色

  3. 选择要在其中嵌入策略的角色的名称。

  4. 选择 Permissions 选项卡。

  5. 滚动到页面底部并选择添加内联策略

  6. 选择 JSON 选项卡。

  7. 将默认内容替换为以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }

    关于“ssmmessages”

    有关 ssmmessages 的信息,请参阅参考:ec2messages、ssmmessages 和其他 API 调用

    关于 “kms:Decrypt”

    在此策略中,kms:Decrypt 权限为会话数据启用客户密钥加密和解密。如果您将为您的会话数据使用 AWS Key Management Service (AWS KMS) 加密,请将 key-name 替换为您要使用的客户主密钥 (CMK) 的 ARN,使用格式 arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

    如果您不为会话数据使用 AWS KMS 加密,您可以从策略中删除以下内容:

    , { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }

    有关使用 AWS KMS 和 CMK 加密会话数据的信息,请参阅 启用会话数据 AWS KMS 密钥加密(控制台)

  8. 选择查看策略

  9. 查看策略页面上,对于名称,输入内联策略的名称。例如:SessionManagerPermissions

  10. 选择 Create policy