步骤 3:控制用户会话对托管式节点的访问 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

步骤 3:控制用户会话对托管式节点的访问

Amazon Systems Manager Session Manager 让您能够集中授予和撤销用户对托管式节点的访问权限。使用 Amazon Identity and Access Management (IAM) 策略,您可以控制特定用户或组能够连接到的托管式节点,以及他们能够在已获得访问权限的托管式节点上执行的 Session Manager API 操作。

关于会话 ID ARN 格式

用于 Session Manager 访问的 IAM 策略将用户名变量用作会话 ID 的一部分。然后,系统在会话 Amazon 资源名称 (ARN) 中使用会话 ID 来控制访问权限。会话 ARN 具有以下格式:

arn:aws:ssm:region-id:account-id:session/session-id

例如:

arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE

您可以使用 Amazon 提供的一对默认 IAM 策略(一个用于终端用户,一个用于管理员)提供 Session Manager 活动的权限。或者,您也可以针对可能具有的不同权限要求创建自定义 IAM 策略。

有关在 IAM 策略中使用变量的更多信息,请参阅 策略元素:变量

有关如何创建策略并将策略附加到 IAM 用户或组的信息,请参阅创建 IAM 策略添加和删除 IAM 策略中的 IAM 用户指南.