• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# 既存の IAM ロールに Session Manager 許可を追加する
<a name="getting-started-add-permissions-to-existing-profile"></a>

以下の手順を使用して、既存の AWS Identity and Access Management (IAM) ロールに Session Manager 権限を追加します。既存のロールに権限を追加することで、インスタンス権限に AWS `AmazonSSMManagedInstanceCore` ポリシーを使用することなく、コンピューティング環境のセキュリティを強化できます。

**注記**  
以下の情報に注意してください。  
この手順は、アクセスを許可するアクションに対する他の Systems Manager `ssm` 権限が、既存のロールに既に含まれていることを前提とします。このポリシーだけでは、Session Manager を使用するには十分ではありません。
次のポリシー例には、`s3:GetEncryptionConfiguration` アクションが含まれています。このアクションは、Session Manager ロギング設定で **[S3 ログ暗号化を強制]** オプションインを選択した場合に必要です。
IAM インスタンスプロファイルまたは IAM サービスロールにアタッチされたポリシーから `ssmmessages:OpenControlChannel` アクセス許可が削除されると、マネージドノード上の SSM Agent はクラウド内の Systems Manager サービスへの接続を失います。ただし、アクセス許可が削除された後、接続が終了するまでに最大 1 時間かかる場合があります。これは、IAM インスタンスロールまたは IAM サービスロールが削除されたときと同じ動作です。

**Session Manager の許可を既存のロール (コンソール) に追加する場合**

1. AWS マネジメントコンソール にサインインして、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。

1. ナビゲーションペインで **Roles (ロール)** を選択します。

1. アクセス許可を追加するロール名を選択します。

1. **[アクセス許可]** タブを選択します。

1. **[アクセス許可の追加]**、**[インラインポリシーの作成]** の順に選択します。

1. **JSON** タブを選択します。

1. デフォルトのポリシーコンテンツを次のコンテンツに置き換えます。{{key-name}} を、使用する AWS Key Management Service キー (AWS KMS key) の Amazon リソースネーム (ARN) に置き換えます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssmmessages:CreateControlChannel",
                   "ssmmessages:CreateDataChannel",
                   "ssmmessages:OpenControlChannel",
                   "ssmmessages:OpenDataChannel"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetEncryptionConfiguration"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{key-name}}"
           }
       ]
   }
   ```

------

   セッションデータを暗号化するための KMS キーの使用については、「[セッションデータの KMS キー暗号化を有効にする (コンソール)](session-preferences-enable-encryption.md)」を参照してください。

   セッションデータに AWS KMS 暗号化を使用しない場合は、ポリシーから以下のコンテンツを削除できます。

   ```
   ,
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "{{key-name}}"
           }
   ```

1. **[Next: Tags]** (次へ: タグ) を選択します。

1. (オプション) **[Add tag]** (タグを追加) を選択してタグを追加し、ポリシーの優先タグを入力します。

1. **[次へ: レビュー]** を選択します。

1. [**Review policy (ポリシーの確認)**] ページで、[**Name (名前)**] にインラインポリシーの名前を入力します (**SessionManagerPermissions** など)。

1. (オプション) [**Description (説明)**] に、ポリシーの説明を入力します。

   [**Create policy**] を選択します。

`ssmmessages` アクションの詳細については、「[リファレンス: ec2messages、ssmmessages およびその他の API オペレーション](systems-manager-setting-up-messageAPIs.md)」を参照してください。