AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

步骤 2:验证或创建具有 Session Manager 权限的 IAM 实例配置文件

默认情况下,AWS Systems Manager 没有在您的实例上执行操作的权限。您必须通过使用 IAM 实例配置文件来授予访问权限。实例配置文件是一个容器,可在启动时将 IAM 角色信息传递给 Amazon EC2 实例。此要求适用于所有 AWS Systems Manager 功能的权限,而不仅仅特定于 Session Manager。

如果已使用其他 Systems Manager 功能,例如 Run Command 或 Parameter Store,说明实例可能已附加具有 Session Manager 所需权限的实例配置文件。如果实例已附加包含 AWS 托管策略 AmazonEC2RoleforSSM 的实例配置文件,则已提供 Session Manager 权限。

不过,AmazonEC2RoleforSSM 为 Systems Manager 操作提供了广泛的权限。其中很多权限不是使用 Session Manager 所必需的。如果您想要限制实例权限,或者已为实例配置文件创建自定义策略,请执行以下操作之一来允许在实例上执行 Session Manager 操作:

  • 在自定义实例配置文件中嵌入 Session Manager 操作权限

    要将 Session Manager 操作的权限添加到不依赖于 AWS 提供的默认策略 AmazonEC2RoleforSSM 的现有 IAM 实例配置文件,请按照将 Session Manager 权限添加到现有实例配置文件中的步骤操作。

  • 创建仅具有 Session Manager 权限的自定义 IAM 实例配置文件

    要创建仅包含 Session Manager 操作权限的 IAM 实例配置文件,请按照为 Session Manager 创建自定义 IAM 实例配置文件中的步骤操作。

  • 创建和使用具有所有 Systems Manager 操作权限的新实例配置文件

    要为 Systems Manager 托管实例创建使用 AWS 提供的默认策略授予所有 Systems Manager 权限的 IAM 实例配置文件,请按照为 Systems Manager 创建 IAM 实例配置文件中的步骤操作。

注意

您可以将 IAM 实例配置文件附加到 Amazon EC2 实例(在启动该实例时)或之前启动的实例。有关更多信息,请参阅实例配置文件