为会话管理器创建自定义 IAM 实例配置文件 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为会话管理器创建自定义 IAM 实例配置文件

您可以创建一个自定义 AWS Identity and Access Management (IAM) 实例配置文件,该配置文件仅提供在实例上执行会话管理器操作的权限。您还可以创建策略来提供将会话活动日志发送到 Amazon Simple Storage Service (Amazon S3) 和 Amazon CloudWatch Logs 所需的权限。

创建实例配置文件后,请参阅将 IAM 角色附加到实例附加或替换实例配置文件有关如何将实例配置文件附加到实例的信息,有关 IAM 实例配置文件和角色的更多信息,请参阅使用实例配置文件适用于 Amazon EC2 的 IAM 角色中的IAM 用户指南

创建具有最小会话管理器权限的实例配置文件(控制台)

使用以下过程可创建一个自定义 IAM 实例配置文件,其策略仅提供在实例上执行会话 Manager 操作的权限。

创建具有最小会话管理器权限的实例配置文件(控制台)

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择策略,然后选择创建策略。(如果 Get Started 按钮出现,选择此按钮,然后选择 Create Policy。)

  3. 选择 JSON 选项卡。

  4. 将默认内容替换为以下内容:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:UpdateInstanceInformation", "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" } ] }

    关于“ssmmessages”

    有关 ssmmessages 的信息,请参阅参考:ec2messages、ssmmessages 和其他 API 调用

    关于 “kms:Decrypt”

    在此策略中,kms:Decrypt 权限为会话数据启用客户密钥加密和解密。如果您将使用Amazon Key Management Service(Amazon KMS) 对会话数据进行加密,请将密钥名称与要使用 KMS 密钥的 Amazon 资源名称 (ARN),格式为arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

    如果您不使用Amazon KMS加密时,您可以从策略中删除以下内容。

    , { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "key-name" }

    有关使用 KMS 密钥加密会话数据的信息,请参阅启用会话数据 KMS 密钥加密(控制台)

  5. 选择查看策略

  6. Review policy (查看策略) 页面上,对于 Name (名称),输入内联策略的名称,例如 SessionManagerPermissions

  7. (可选)对于描述,输入策略的描述。

  8. 选择创建策略

  9. 在导航窗格中,选择角色,然后选择创建角色

  10. 创建角色页面上,选择 Amazon 服务,然后从选择将使用此角色的服务列表中,选择 EC2

  11. 选择 Next:。Permissions (下一步:权限)

  12. Attached permissions policy (附加的权限策略) 页面上,选中刚刚创建的策略名称左侧的复选框,例如 SessionManagerPermissions

  13. 选择 Next:。审核

  14. 在存储库的审核页面,用于的Role name (角色名称)中,输入 IAM 实例配置文件的名称,例如MySessionManagerInstanceProfile

  15. (可选)对于角色描述,输入实例配置文件的描述。

  16. 选择创建角色

创建具有会话管理器、Amazon S3 和 CloudWatch Logs(控制台)权限的实例配置文件

使用以下过程可创建一个自定义 IAM 实例配置文件,其策略提供了在实例上执行会话管理器操作的权限。此策略还提供了将会话日志存储在 Amazon Simple Storage Service (Amazon S3) 存储桶和 Amazon CloudWatch Logs 日志组中所需的权限。

有关指定存储会话日志的首选项的信息,请参阅记录会话活动

创建具有会话管理器、Amazon S3 和 CloudWatch Logs 权限的实例配置文件(控制台)

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择策略,然后选择创建策略。(如果 Get Started 按钮出现,选择此按钮,然后选择 Create Policy。)

  3. 选择 JSON 选项卡。

  4. 将默认内容替换为以下内容。请务必将替换为文档示例存储桶s3 存储桶前缀替换为您的存储桶名称及其前缀(如果有)。有关以下策略中的 ssmmessages 的信息,请参阅 参考:ec2messages、ssmmessages 和其他 API 调用

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel", "ssm:UpdateInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/s3-bucket-prefix/*" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": "kms:GenerateDataKey", "Resource": "*" } ] }
    重要

    Amazon S3 会话日志输出到其他Amazon Web Services 账户,您必须添加 IAMs3:PutObjectAcl访问此策略的权限。如果此权限未添加,拥有 Amazon S3 存储桶的账户将无法访问会话输出日志。

  5. 选择查看策略

  6. Review policy (查看策略) 页面上,对于 Name (名称),输入内联策略的名称,例如 SessionManagerPermissions

  7. (可选)对于描述,输入策略的描述。

  8. 选择创建策略

  9. 在导航窗格中,选择角色,然后选择创建角色

  10. 创建角色页面上,选择 Amazon 服务,然后从选择将使用此角色的服务列表中,选择 EC2

  11. 选择 Next:。Permissions (下一步:权限)

  12. Attached permissions policy (附加的权限策略) 页面上,选中刚刚创建的策略名称左侧的复选框,例如 SessionManagerPermissions

  13. 选择 Next:。审核

  14. 在存储库的审核页面,用于的Role name (角色名称)中,输入 IAM 实例配置文件的名称,例如MySessionManagerInstanceProfile

  15. (可选)对于角色描述,输入实例配置文件的描述。

  16. 选择创建角色