透過在 IAM 政策中指定預設的工作階段文件來啟動預設 Shell 工作階段 - AWS Systems Manager

• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 Amazon CloudWatch Dashboard 文件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過在 IAM 政策中指定預設的工作階段文件來啟動預設 Shell 工作階段

當您Session Manager為 設定 AWS 帳戶 或在 Systems Manager 主控台中變更工作階段偏好設定時,系統會建立名為 的 SSM 工作階段文件SSM-SessionManagerRunShell。這是預設的工作階段文件。Session Manager 使用此文件來儲存您的工作階段偏好設定,其中包含下列資訊:

  • 您想要儲存工作階段資料的位置,例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體或 Amazon CloudWatch Logs 日誌群組。

  • 用於加密工作階段資料的 AWS Key Management Service (AWS KMS) 金鑰 ID。

  • 您的工作階段是否允許「執行身分」支援。

以下是 SSM-SessionManagerRunShell 工作階段偏好設定文件中包含的資訊範例。

{
  "schemaVersion": "1.0",
  "description": "Document to hold regional settings for Session Manager",
  "sessionType": "Standard_Stream",
  "inputs": {
    "s3BucketName": "amzn-s3-demo-bucket",
    "s3KeyPrefix": "MyS3Prefix",
    "s3EncryptionEnabled": true,
    "cloudWatchLogGroupName": "MyCWLogGroup",
    "cloudWatchEncryptionEnabled": false,
    "kmsKeyId": "1a2b3c4d",
    "runAsEnabled": true,
    "runAsDefaultUser": "RunAsUser"
  }
}

依預設,當使用者從 AWS 管理主控台啟動工作階段時,Session Manager 會使用預設的工作階段文件。這適用於 Systems Manager 主控台Session Manager中的 Fleet Manager或 ,或 Amazon EC2 主控台中的 EC2 Connect。 Session Manager 也會在使用者使用如下範例的 AWS CLI 命令啟動工作階段時使用預設工作階段文件: Amazon EC2 

aws ssm start-session \
    --target i-02573cafcfEXAMPLE

若要啟動預設的 Shell 工作階段,必須在 IAM 政策中指定預設工作階段文件,如下列範例所示。

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "EnableSSMSession",
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:111122223333:instance/instance-id",
        "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssmmessages:OpenDataChannel"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}