Quero controlar o acesso às minhas instâncias para que determinados usuários possam iniciar uma sessão do Session Manager para as instâncias que eu especificar. Como posso fazer isso?
Breve descrição
Você pode gerenciar sua instância do Amazon Elastic Compute Cloud (Amazon EC2) ou instância local usando o AWS Systems Manager Session Manager. O Session Manager se conecta por meio de um shell baseado em navegador ou por meio da AWS Command Line Interface (AWS CLI).
Você pode usar políticas de Gerenciamento de Identidade e Acesso (IAM) para controlar os usuários que podem acessar a instância usando o Session Manager. A política do IAM também controla as ações da API que os usuários podem realizar.
Pré-requisitos
Resolução
Para permitir que os usuários se conectem ao Session Manager, primeiro crie uma política do IAM que conceda acesso de StartSession ao usuário do IAM. Em seguida, anexe a política do IAM ao usuário do IAM.
Siga estas etapas para criar e anexar uma política do IAM que permita que um usuário do IAM inicie uma sessão do Session Manager usando a CLI da AWS. O exemplo de política a seguir restringe a capacidade de iniciar uma sessão a instâncias específicas.
Observação: Se você receber erros ao executar comandos da AWS CLI, verifique se está usando a versão mais recente da AWS CLI.
1.Abra o console do IAM e escolha Políticas no painel de navegação esquerdo.
2.Escolha Criar política e, em seguida, escolha a guia JSON.
3.Copie o documento JSON de amostra Restringir acesso a instâncias específicas e cole a política na guia JSON no console.
Importante: O recurso ARN na política de exemplo usa a região da AWS us-east-2 e inclui espaços reservados para o ID da instância e o ID da conta. Certifique-se de substituir esses valores pelos seus.
4.Escolha Próximo: Etiquetas.
5.Escolha Próximo: Revisão.
6.Em Nome, insira um nome de política.
7.(Opcional) Em Descrição, insira uma descrição.
8.Escolha Criar política para salvar a política.
9.Anexe a política do IAM ao usuário que você deseja permitir que acesse a instância usando o Session Manager.
Os usuários que recebem acesso agora podem iniciar a chamada de API de início da sessão usando o seguinte comando da AWS CLI:
Observação: O usuário deve substituir o instance-id pelo ID da instância para o qual deseja iniciar uma sessão.
aws ssm start-session --target instance-id
Para permitir que os usuários iniciem uma sessão usando o console do Amazon EC2, você também deve anexar as seguintes políticas gerenciadas pela AWS ao usuário:
- Acesso somente para leitura do Amazon SSM
- Acesso somente para leitura ao Amazon EC2
Informações relacionadas
Exemplos adicionais de políticas do IAM para o Session Manager
Iniciar uma sessão
Criação de políticas do IAM (console)
Como o AWS Systems Manager trabalha com o IAM
Políticas gerenciadas pela AWS para o AWS Systems Manager