AWS 系统管理员:验证附加到实例的 IAM 实例配置文件是否包含所需的权限

AWS 系统管理员:验证附加到实例的 IAM 实例配置文件是否包含所需的权限

我正在尝试使用 AWS 系统管理器访问 ec2 实例,为此我创建了一个附加到以下策略的角色。

  1. AmazonEC2RoleforSSM

  2. AmazonSSM自动化审批者访问

  3. 亚马逊SSMFullAccess

  4. AmazonSSMAutomationRole

并且该角色已附加到 ec2 实例。ec2 实例列在会话管理器 ec2 实例列表中,但是当我尝试连接时,出现以下错误

实例上的 SSM 代理版本支持 Session Manager,但实例未配置为与 AWS Systems Manager 一起使用。验证附加到实例的 IAM 实例配置文件是否包含所需的权限

尝试了故障排除方法,但仍然出现以下错误,还有一件事,即使我删除了附加的角色,ec2 实例仍然显示在会话管理器实例列表中

答案1

解决此问题的主要措施是:

  • 检查所有步骤会话管理器入门已完成
  • 确保“arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore”策略已附加到 EC2 实例角色
  • 确保 AWS Organisations 不会阻止任何所需的服务。您需要在组织中允许的关键服务包括

会话管理器的关键服务

ec2:*
ec2messages:*
ssm:*
ssmmessages:*
s3:*
  • 如果您位于私有子网中,则需要确保可以通过 NAT 访问互联网,或者需要添加以下 VPC 端点(文档链接

需要 VPC 终端节点

com.amazonaws.ap-southeast-2.s3
com.amazonaws.ap-southeast-2.ssmmessages
com.amazonaws.ap-southeast-2.ec2messages
com.amazonaws.ap-southeast-2.ssm
  • 安全组需要允许您的实例和 VPC 端点从整个 VPC 在端口 443 上进行入站访问。出站访问似乎不是必需的。我不能说它完全正确,但似乎有效。

相关内容