通过在 IAM policy 中指定默认会话文档来启动默认 Shell 会话 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

通过在 IAM policy 中指定默认会话文档来启动默认 Shell 会话

当您在 Systems Manager 控制台中为 Amazon Web Services 账户 配置 Session Manager 或更改会话首选项时,系统会创建一个名为 SSM-SessionManagerRunShell 的 SSM 会话文档。这是默认的会话文档。Session Manager 使用此文档存储您的会话首选项,其中包括以下信息:

  • 您要保存会话数据的位置,例如 Amazon Simple Storage Service(Amazon S3)存储桶或 Amazon CloudWatch Logs 日志组。

  • 用于加密会话数据的 Amazon Key Management Service(Amazon KMS)密钥 ID。

  • 会话是否允许“运行身份”支持。

以下是 SSM-SessionManagerRunShell 会话首选项文档中包含的信息的示例。

{
  "schemaVersion": "1.0",
  "description": "Document to hold regional settings for Session Manager",
  "sessionType": "Standard_Stream",
  "inputs": {
    "s3BucketName": "MyS3TestBucket",
    "s3KeyPrefix": "BucketPrefix",
    "s3EncryptionEnabled": true,
    "cloudWatchLogGroupName": "MyCWLogGroup",
    "cloudWatchEncryptionEnabled": false,
    "kmsKeyId": "1a2b3c4d",
    "runAsEnabled": true,
    "runAsDefaultUser": "RunAsUser"
  }
}

默认情况下,当用户 Amazon Web Services Management Console 从启动会话时,Session Manager 使用默认会话文档。这适用于 Systems Manager 控制台中的 Fleet Manager 或 Session Manager,或 Amazon EC2 控制台中的 EC2 Connect。当用户使用如下示例所示的 Amazon CLI 命令启动会话时,Session Manager 也会使用默认会话文档:

aws ssm start-session \
    --target i-02573cafcfEXAMPLE

如果您希望用户或群组访问默认 Shell 会话,我们建议您同时在 IAM policy 中指定默认会话文档,如以下示例所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableSSMSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:us-west-2:123456789012:instance/i-02573cafcfEXAMPLE",
                "arn:aws:ssm:us-west-2:123456789012:document/SSM-SessionManagerRunShell"
            ]
        }
    ]
}