第 3 步:控制用户会话对实例的访问 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 3 步:控制用户会话对实例的访问

Amazon Web Services Systems Manager通过会话管理器,您可以集中授予和撤销用户访问实例的权限。使用 AWS Identity and Access Management (IAM) 策略,您可以控制特定用户或组能够连接到的实例,并控制他们能够在被授予访问权限的实例上执行的会话管理器 API 操作。

关于会话 ID ARN 格式

用于会话管理器访问的 IAM 策略将用户名变量用作会话 ID 的一部分。然后,系统在会话 Amazon 资源名称 (ARN) 中使用会话 ID 来控制访问权限。会话 ARN 具有以下格式:

arn:aws:ssm:region-id:account-id:session/session-id

例如:

arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE

您可以使用Amazon(一个用于最终用户,一个用于管理员)提供会话 Management 活动的权限。或者,您也可以针对可能具有的不同权限要求创建自定义 IAM 策略。

有关在 IAM 策略中使用变量的更多信息,请参阅IAM 策略元素:变量

有关如何创建策略和将策略附加到 IAM 用户或组的信息,请参阅创建 IAM 策略添加和删除 IAM 策略中的IAM 用户指南