AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

步骤 2:为 Systems Manager 创建 IAM 实例配置文件

默认情况下,AWS Systems Manager 没有在您的实例上执行操作的权限。您必须通过使用 AWS Identity and Access Management (IAM) 实例配置文件来授予访问权限。实例配置文件是一个容器,可在启动时将 IAM 角色信息传递给 Amazon Elastic Compute Cloud (Amazon EC2) 实例。您可以为 Systems Manager 创建实例配置文件,方法是将定义所需权限的 AWS 托管策略 (AmazonEC2RoleForSSM) 附加到新角色或您已创建的角色。

在创建实例配置文件后,将它附加到要对其使用 Systems Manager 的实例。要将实例配置文件附加到现有实例,请参阅 IAM User Guide 中的使用实例配置文件。要在创建新实例时向它们附加实例配置文件,请参阅下一个主题步骤 5:将 IAM 实例配置文件附加到 Amazon EC2 实例

请注意以下有关创建 IAM 实例配置文件的详细信息:

  • 如果要在混合环境中为 Systems Manager 配置服务器或虚拟机 (VM),则无需为它们创建实例配置文件。相反,您必须将服务器和虚拟机配置为使用 IAM 服务角色。有关更多信息,请参阅为混合环境创建 IAM 服务角色

  • 策略 AmazonEC2RoleforSSM 提供对 Amazon S3 存储桶的通配符 (*) 访问。我们建议您查看此策略并根据需要进行调整。有关资源为执行 Systems Manager 操作而可能需要访问的 Amazon Simple Storage Service (Amazon S3) 存储桶的信息,请参阅 关于 SSM 代理 的最低 S3 存储桶权限

  • 如果更改 IAM 实例配置文件,凭证实例可能需要一些时间才能刷新。刷新后 SSM 代理才会处理请求。要加快刷新过程,您可以重新启动 SSM 代理或重新启动实例。

根据您是要为实例配置文件创建新角色还是要将所需权限添加到现有角色,使用以下过程之一。

为 Systems Manager 托管实例创建实例配置文件(控制台)

  1. Open the IAM console at https://console.amazonaws.cn/iam/.

  2. 在导航窗格中,选择 Roles (角色),然后选择 Create Role (创建角色)

  3. Create role (创建角色) 页面上的 Select type of trusted entity (选择可信实体类型) 中,选择 AWS service (AWS 服务)

  4. 对于 Choose the service that will use this role (选择将使用此角色的服务),向下滚动页面以查看服务名称的完整列表。

  5. 选择 EC2

    注意

    在服务名称列表中的 DynamoDB 下,选择 EC2 链接。请勿直接在 Choose the service that will use this role (选择将使用此角色的服务) 标题下选择 EC2 链接。

  6. Select your use case (选择您的使用案例) 中,选择 EC2 Role for AWS Systems Manager,然后选择 Next: Permissions (下一步:权限)。​

  7. Attached permissions policy (附加的权限策略) 页面上,确认是否已列出 AmazonEC2RoleforSSM,然后选择 Next: Tags (下一个: 标签)

  8. (可选)添加标签来整理、跟踪或控制此角色的访问,然后选择 Next: Review (下一步:审核)

  9. 审核页面上,在角色名称框中键入名称,然后键入描述。

    注意

    记下角色名称。在创建希望使用 Systems Manager 进行管理的新实例时,将选择该角色。

  10. 选择 Create role (创建角色)。系统将让您返回到 Roles 页。

将 Systems Manager 托管实例的实例配置文件权限添加到现有角色(控制台)

  1. Open the IAM console at https://console.amazonaws.cn/iam/.

  2. 在导航窗格中,选择角色,然后选择要与 Systems Manager 操作的实例配置文件关联的现有角色。

  3. 权限选项卡上,选择 Attach policies (附加策略)

  4. Attach Permissions (附加权限) 页上,选中 AmazonEC2RoleforSSM 旁边的复选框,然后选择 Attach policy (附加策略)

有关如何更新角色以包含可信实体或进一步限制访问的信息,请参阅 IAM User Guide 中的修改角色

有关如何将刚创建的角色附加到新实例或现有实例的信息,请参阅下一个主题步骤 5:将 IAM 实例配置文件附加到 Amazon EC2 实例

继续浏览步骤 5:将 IAM 实例配置文件附加到 Amazon EC2 实例