Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager - AWS Systems Manager

• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der Amazon CloudWatch Dashboard-Dokumentation.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager

Hat standardmäßig AWS Systems Manager keine Berechtigung, Aktionen auf Ihren Instances durchzuführen. Sie können Instance-Berechtigungen auf Kontoebene mithilfe einer AWS Identity and Access Management (IAM)-Rolle oder auf Instance-Ebene mithilfe eines Instance-Profils bereitstellen. Wenn Ihr Anwendungsfall dies zulässt, empfehlen wir, mithilfe der Standardkonfiguration für die Host-Verwaltung Zugriff auf Kontoebene zu gewähren. Wenn Sie die Standardkonfiguration für die Host-Verwaltung für Ihr Konto bereits mithilfe der AmazonSSMManagedEC2InstanceDefaultPolicy-Richtlinie eingerichtet haben, können Sie mit dem nächsten Schritt fortfahren. Weitere Informationen über die Standardkonfiguration für die Host-Verwaltung finden Sie unter Automatisches Verwalten von EC2-Instances mit der Standard-Host-Management-Konfiguration.

Alternativ können Sie auch Instance-Profile verwenden, um Ihren Instances die erforderlichen Berechtigungen zu erteilen. Ein Instance-Profil übergibt eine IAM-Rolle an eine Amazon-EC2-Instance. Sie können ein IAM-Instance-Profil einer Amazon-EC2-Instance beim Starten anfügen oder einer zuvor gestarteten Instance anfügen. Weitere Informationen finden Sie unter Verwenden von Instance-Profilen.

Für lokale Server oder virtuelle Maschinen (VMs) werden die Berechtigungen von der IAM-Dienstrolle bereitgestellt, die mit der Hybridaktivierung verknüpft ist, die zur Registrierung Ihrer lokalen Server verwendet wird, und VMs von Systems Manager. Lokale Server und verwenden VMs keine Instanzprofile.

Wenn Sie bereits andere Systems-Manager-Tools wie Run Command oder Parameter Store verwenden, ist Ihren Amazon-EC2-Instances möglicherweise bereits ein Instance-Profil mit den für Session Manager erforderlichen Grundberechtigungen angefügt. Wenn ein Instanzprofil, das die AWS verwaltete Richtlinie enthält, bereits an Ihre Instanzen angehängt AmazonSSMManagedInstanceCore ist, Session Manager sind die erforderlichen Berechtigungen für bereits bereitgestellt. Dies gilt auch, wenn die bei Ihrer Hybrid-Aktivierung verwendete IAM-Servicerolle die verwaltete Richtlinie AmazonSSMManagedInstanceCore enthält.

In einigen Fällen müssen Sie jedoch möglicherweise die Berechtigungen ändern, die Ihrem Instance-Profil zugeordnet sind. Sie möchten beispielsweise einen engeren Satz von Instance-Berechtigungen bereitstellen, Sie haben eine benutzerdefinierte Richtlinie für Ihr Instance-Profil erstellt oder Sie möchten die Verschlüsselungsoptionen Amazon Simple Storage Service (Amazon S3) oder AWS Key Management Service (AWS KMS) zur Sicherung von Sitzungsdaten verwenden. Führen Sie in diesen Fällen einen der folgenden Schritte aus, um Session Manager-Aktionen auf Ihren Instances auszuführen:

  • Einbetten von Berechtigungen für Session Manager-Aktionen in einer benutzerdefinierten IAM-Rolle

    Um einer vorhandenen IAM-Rolle, die nicht auf der AWS bereitgestellten Standardrichtlinie basiert, Berechtigungen für Session Manager Aktionen hinzuzufügenAmazonSSMManagedInstanceCore, folgen Sie den Schritten unter. Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen

  • Erstellen einer benutzerdefinierten IAM-Rolle, die ausschließlich Session Manager-Berechtigungen besitzt

    Um eine IAM-Rolle zu erstellen, die ausschließlich Berechtigungen für Session Manager-Aktionen enthält, befolgen Sie die Schritte in Erstellen einer benutzerdefinierten IAM-Rolle für Session Manager.

  • Erstellen und Verwenden einer neuen IAM-Rolle mit Berechtigungen für alle Systems-Manager-Aktionen

    Um eine IAM-Rolle für von Systems Manager verwaltete Instanzen zu erstellen, die eine Standardrichtlinie verwendet, die bereitgestellt wird, AWS um allen Systems Manager-Berechtigungen zu gewähren, folgen Sie den Schritten unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen.

Themen