步骤 2:验证或创建具有 Session Manager 权限的 IAM 角色 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

步骤 2:验证或创建具有 Session Manager 权限的 IAM 角色

默认情况下,Amazon Systems Manager 没有在您的实例上执行操作的权限。您必须使用 Amazon Identity and Access Management (IAM) 授予访问权限。对于 Amazon Elastic Compute Cloud (Amazon EC2) 实例,将由实例配置文件提供权限。实例配置文件会将 IAM 角色传递给 Amazon EC2 实例。您可以将 IAM 实例配置文件附加到 Amazon EC2 实例(在启动该实例时)或之前启动的实例。有关更多信息,请参阅使用实例配置文件

对于本地部署服务器或虚拟机 (VM),权限由与混合激活关联的 IAM 服务角色提供,该激活用于将您的本地部署服务器和虚拟机注册到 Systems Manager。本地服务器和虚拟机不使用实例配置文件。

如果您已使用其他 Systems Manager 功能(例如 Run Command 或 Parameter Store),则可能已将具有 Session Manager 所需的基本权限的实例配置文件附加到 Amazon EC2 实例。如果包含 Amazon 托管式策略 AmazonSSMManagedInstanceCore 的实例配置文件已附上您的实例,则已提供 Session Manager 所需的权限。如果混合激活中使用的 IAM 服务角色包含 AmazonSSMManagedInstanceCore 托管式策略,则也已提供所需权限。

重要

您无法更改与混合激活关联的 IAM 服务角色。如果您发现服务角色不包含所需权限,则必须取消注册托管式实例,然后利用使用具有所需权限的服务角色的新混合激活进行注册。有关取消注册托管式实例的更多信息,请参阅 在混合环境中取消注册托管式节点。有关为本地计算机创建 IAM 服务角色的更多信息,请参阅为混合环境创建 IAM 服务角色

但在某些情况下,您可能需要修改附加到实例配置文件的权限。例如,您希望提供一组更少的实例权限,您已为实例配置文件创建自定义策略,或者您希望使用 Amazon Simple Storage Service (Amazon S3) 加密或 Amazon Key Management Service (Amazon KMS) 加密选项以保护会话数据。对于这些情况,请执行以下操作之一,以允许在您的实例上执行 Session Manager 操作:

  • 在自定义 IAM 角色中嵌入 Session Manager 操作权限

    要将 Session Manager 操作的权限添加到不依赖于 Amazon 提供的原定设置策略 AmazonSSMManagedInstanceCore 的现有 IAM 角色,请按照 向现有 IAM 角色添加 Session Manager 权限 中的步骤操作。

  • 创建仅具有 Session Manager 权限的自定义 IAM 角色

    要创建仅具有 Session Manager 操作权限的 IAM 角色,请按照 为 Session Manager 创建自定义 IAM 角色 中的步骤操作。

  • 创建和使用具有所有 Systems Manager 操作权限的新 IAM 角色

    要为 Systems Manager 托管式实例创建使用 Amazon 提供的默认策略授予所有 Systems Manager 权限的 IAM 角色,请按照为 Systems Manager 创建 IAM 实例配置文件中的步骤进行操作。