AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

步骤 3:控制用户会话对实例的访问

Session Manager 让您能够集中授予和撤销用户访问实例的权限。使用 IAM 策略,您可以控制特定用户或组能够连接到的实例,以及他们能够在已获得访问权限的实例上执行的 Session Manager API 操作。

ARN 格式

用于 Session Manager 访问的 IAM 策略将用户名变量用作会话 ID 的一部分。然后,系统在会话 Amazon 资源名称 (ARN) 中使用会话 ID 来控制访问权限。会话 ARN 具有以下格式:

arn:aws:ssm:region-id:account-id:session/session-id

例如:

arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE

您可以使用 AWS 提供的一对默认 IAM 策略(一个用于最终用户,一个用于管理员)提供 Session Manager 活动的权限。或者,您也可以针对可能具有的不同权限要求创建自定义 IAM 策略。

有关在 IAM 策略中使用变量的更多信息,请参阅 IAM 策略元素:变量

有关如何创建策略并将其附加到 IAM 用户或组的信息,请参阅 IAM User Guide 中的创建 IAM 策略添加和删除 IAM 策略