AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

步骤 2:验证或创建具有 Session Manager 权限的 IAM 实例配置文件

默认情况下,AWS Systems Manager 没有在您的实例上执行操作的权限。您必须通过使用 IAM 实例配置文件来授予访问权限。实例配置文件是一个容器,可在启动时将 IAM 角色信息传递给 Amazon EC2 实例。此要求适用于所有 AWS Systems Manager 功能的权限,而不仅仅特定于 Session Manager。

如果您已使用其他 Systems Manager 功能(例如 Run Command 或 Parameter Store),则可能已将具有 Session Manager 所需的基本权限的实例配置文件附加到您的实例。如果包含 AWS 托管策略 AmazonSSMManagedInstanceCore 的实例配置文件已附加到您的实例,则已提供 Session Manager 所需的权限。

但在某些情况下,您可能需要修改附加到实例配置文件的权限。例如,您希望提供一组更少的实例权限,您已为实例配置文件创建自定义策略,或者您希望使用 Amazon S3 加密或 AWS KMS 加密选项以保护会话数据。对于这些情况,请执行以下操作之一,以允许在您的实例上执行 Session Manager 操作:

  • 在自定义实例配置文件中嵌入 Session Manager 操作权限

    要将 Session Manager 操作的权限添加到不依赖于 AWS 提供的默认策略 AmazonSSMManagedInstanceCore 的现有 IAM 实例配置文件中,请按照将 Session Manager 权限添加到现有实例配置文件中的步骤进行操作。

  • 创建仅具有 Session Manager 权限的自定义 IAM 实例配置文件

    要创建仅包含 Session Manager 操作权限的 IAM 实例配置文件,请按照为 Session Manager 创建自定义 IAM 实例配置文件中的步骤操作。

  • 创建和使用具有所有 Systems Manager 操作权限的新实例配置文件

    要为 Systems Manager 托管实例创建使用 AWS 提供的默认策略授予所有 Systems Manager 权限的 IAM 实例配置文件,请按照为 Systems Manager 创建 IAM 实例配置文件中的步骤操作。

注意

您可以将 IAM 实例配置文件附加到 Amazon EC2 实例(在启动该实例时)或之前启动的实例。有关更多信息,请参阅实例配置文件