Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Como posso usar o Gerenciador de Sessões para controlar o acesso às minhas instâncias?
Quero controlar o acesso às minhas instâncias para que determinados usuários possam iniciar um Gerenciador de Sessões, um recurso da sessão do AWS Systems Manager.
Breve descrição
Use o Gerenciador de Sessões para gerenciar sua instância do Amazon Elastic Compute Cloud (Amazon EC2) ou sua instância on-premises. O Gerenciador de Sessões se conecta por meio de um shell baseado em navegador ou por meio da AWS Command Line Interface (AWS CLI).
Use políticas do Identity and Access Management (IAM) para controlar os usuários que podem usar o Gerenciador de Sessões para acessar a instância. A política do IAM também controla as ações da API que os usuários podem realizar.
Observação: se você receber erros ao executar comandos da AWS CLI, consulte Solucionar erros da AWS CLI. Além disso, verifique se está utilizando a versão mais recente do AWS CLI.
Pré-requisitos:
- Preencha os pré-requisitos do Gerenciador de Sessões.
- Verifique ou crie um perfil de instância do IAM com as permissões do Gerenciador de Sessões.
- (Opcional) Instale o plug-in do Session Manager para o AWS CLI.
Resolução
Para permitir que os usuários se conectem ao Session Manager, primeiro crie uma política do IAM que conceda acesso de StartSession ao usuário do IAM. Em seguida, anexe a política do IAM ao usuário do IAM.
Conclua as etapas a seguir:
- Abra o console do IAM.
- No painel de navegação, em Gerenciamento de acesso, escolha Políticas.
- Escolha Criar política e, em seguida, escolha a guia JSON.
- Copie o documento JSON de amostra Restringir acesso a nós gerenciados específicos e, em seguida, insira a política na guia JSON no console.
Importante: o ARN do recurso na política de exemplo usa a região da AWS us-east-2 e inclui espaços reservados para o ID da instância e o ID da conta. Substitua esses valores pelos seus. - Selecione Avançar.
- Na página Revisar e criar, insira as seguintes informações:
Em Nome da política, insira um nome para sua política.
(Opcional) Em Descrição, insira uma descrição para a política. - Selecione Criar política.
- Anexe a política do IAM ao usuário.
Os usuários que têm acesso podem executar o seguinte comando para iniciar a chamada de API start-session:
aws ssm start-session --target instance-id
Observação: substitua instance-id pelo ID da instância para o qual o usuário deseja iniciar uma sessão.
Para permitir que os usuários usem o console do Amazon EC2 para iniciar uma sessão, anexe as seguintes políticas gerenciadas pela AWS ao usuário:
- Acesso somente para leitura do Amazon SSM
- Acesso somente para leitura ao Amazon EC2
Informações relacionadas
Exemplos adicionais de políticas do IAM para o Gerenciador de Sessões
Criar políticas do IAM (console)
- Tópicos
- Management & Governance
- Idioma
- Português
Conteúdo relevante
- feita há 10 meses
- AWS OFICIALAtualizada há 10 meses
