Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

步骤 3：控制会话对托管式节点的访问

您可以使用 Amazon Identity and Access Management（IAM）policy 授予或撤消对托管式节点的 Session Manager 访问权限。您可以创建策略并将其附加到 IAM 用户或群组，以指定此用户或群组可以连接到哪些托管式节点。您还可以指定用户或群组可以在这些托管式节点上执行的 Session Manager API 操作。

为了帮助您开始使用 Session Manager 的 IAM 权限策略，我们为最终用户和管理员用户创建了示例策略。您只需稍作修改即可使用这些策略。或者，将这些策略用作创建自定义 IAM policy 的指南。有关更多信息，请参阅 Session Manager 的 IAM policy 示例。有关如何创建 IAM policy 并将策略附加到用户或组的信息，请参阅《IAM 用户指南》中的创建 IAM policy 及添加和移除 IAM policy。

关于会话 ID ARN 格式

为 Session Manager 访问权限创建 IAM policy 时，您可以指定会话 ID 作为 Amazon 资源名称（ARN）的一部分。会话 ID 包括作为变量的用户名。为了帮助说明这一点，以下是 Session Manager ARN 的格式和示例：

arn:aws:ssm:region-id:account-id:session/session-id

例如：

arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE

有关在 IAM policy 中使用变量的更多信息，请参阅 IAM policy 元素：变量。