如何使用 Session Manager 控制對我的執行個體的存取?
我想控制對我的執行個體的存取,以便特定使用者可以為我指定的執行個體啟動 Session Manager 工作階段。我該如何操作?
簡短描述
您可以使用 AWS Systems Manager Session Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或內部部署執行個體。Session Manager 透過瀏覽器型 Shell 或透過 AWS Command Line Interface (AWS CLI) 進行連線。
您可以使用 Identity and Access Management (IAM) 政策來控制可以使用 Session Manager 存取執行個體的使用者。IAM 政策也控制使用者可以執行的 API 動作。
先決條件
- 完成 Session Manager 先決條件。
- 使用 Session Manager 許可驗證或建立 IAM 執行個體設定檔。
- (選用) 安裝適用於 AWS CLI 的 Session Manager 外掛程式。
解決方法
若要允許使用者連線至 Session Manager,請先建立 IAM 政策,以向 IAM 使用者授與 StartSession 存取權。然後,將 IAM 政策連接至 IAM 使用者。
請遵循下列步驟建立和連接 IAM 政策,以允許 IAM 使用者使用 AWS CLI 啟動 Session Manager 工作階段。下列範例政策會將啟動工作階段的能力限制為特定執行個體。
注意: 如果您在執行 AWS CLI 命令時收到錯誤,請確保您使用的是最新版本的 AWS CLI。
1. 開啟 IAM 主控台,然後從左側導覽窗格中選擇 Policies(政策)。
2. 選擇 Create policy(建立政策),然後選擇 JSON 標籤。
3. 複製限制對特定執行個體的存取範例 JSON 文件,然後將政策貼至主控台中的 JSON 標籤。
重要事項: 範例政策中的資源 ARN 使用 us-east-2 AWS 區域,並包含執行個體 ID 和帳戶 ID 的預留位置。請確保將這些值取代為您自己的值。
4. 選擇 Next: Tags(下一步:標籤)。
5. 選擇 Next: Review(下一步:檢閱)。
6. 針對名稱,輸入政策名稱。
7. (可選) 針對描述,輸入描述。
8. 選擇 Create policy(建立政策)以儲存政策。
9. 將 IAM 政策連接至要允許使用 Session Manager 存取執行個體的使用者。
授與存取權的使用者現在可以使用下列 AWS CLI 命令啟動 start-session API 呼叫:
注意: 使用者必須將 instance-id 取代為他們想要啟動工作階段的執行個體 ID。
aws ssm start-session --target instance-id
若要允許使用者使用 Amazon EC2 主控台啟動工作階段,您還必須將下列 AWS 受管政策連接至使用者:
- AmazonSSMReadOnlyAccess
- AmazonEC2ReadOnlyAccess
相關資訊
Session Manager 的其他範例 IAM 政策 啟動工作階段
相關內容
- 已提問 3 個月前
- 已提問 1 年前
- AWS 官方已更新 10 個月前
- AWS 官方已更新 10 個月前
- AWS 官方已更新 10 個月前
- AWS 官方已更新 1 年前