首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

如何配置IAM角色为新的EC2实例启用SSM?

IAM角色是AWS Identity and Access Management(IAM)中的一种实体,用于授予AWS服务和资源访问权限。EC2实例是Amazon Elastic Compute Cloud(EC2)中的虚拟服务器。SSM是AWS Systems Manager的一项服务,用于管理和操作EC2实例。

要配置IAM角色为新的EC2实例启用SSM,可以按照以下步骤进行操作:

  1. 打开AWS管理控制台,并登录到您的AWS账户。
  2. 导航到IAM控制台。
  3. 在左侧导航栏中,选择“角色”。
  4. 点击“创建角色”按钮。
  5. 在“选择类型”页面上,选择“AWS服务”。
  6. 在“选择使用案例”页面上,选择“EC2”。
  7. 在“权限”页面上,搜索并选择“AmazonEC2RoleforSSM”策略。
  8. 点击“下一步:标记”按钮。
  9. (可选)为角色添加标签,然后点击“下一步:审核”按钮。
  10. 在“审核”页面上,为角色提供一个名称和描述,然后点击“创建角色”按钮。

现在,您已经成功创建了一个IAM角色,接下来需要将该角色分配给新的EC2实例:

  1. 导航到EC2控制台。
  2. 在左侧导航栏中,选择“实例”。
  3. 点击“启动实例”按钮创建一个新的EC2实例。
  4. 在“配置实例详细信息”页面上,展开“高级详细信息”部分。
  5. 在“IAM角色”下拉菜单中,选择之前创建的IAM角色。
  6. 继续完成实例的其他配置,并启动实例。

现在,新的EC2实例将具有SSM的访问权限,并且可以使用AWS Systems Manager来管理和操作该实例。

推荐的腾讯云相关产品:腾讯云云服务器(CVM)和腾讯云云监控。您可以在腾讯云官网上找到更多关于这些产品的详细信息和介绍。

腾讯云云服务器(CVM):https://cloud.tencent.com/product/cvm 腾讯云云监控:https://cloud.tencent.com/product/monitor

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

具有EC2自动训练无服务器TensorFlow工作流程

本文将逐步介绍如何使数据管理和预测保持无服务器状态,但将训练工作加载到临时EC2实例。这种实例创建模式将基于在云中运行具有成本效益超参数优化而开发一种模式。...此外,将添加创建EC2实例所需策略: EC2 —创建并运行实例。 CloudWatch —创建,描述和启用警报,以便可以在训练完成后自动终止实例。...ECR —允许提取Docker映像(仅EC2会使用,而不是Lambda函数使用)。 IAM —获取,创建角色并将其添加到实例配置文件。...从控制台启动EC2实例并选择IAM角色时,会自动创建此配置文件,但是需要在功能内手动执行此操作。 安全说明:在部署到生产环境之前,应将这些策略范围缩小到仅所需资源 # ......接下来,检索实例配置文件,该配置文件定义了EC2实例将使用IAM角色。每个需要阻止调用都使用带有await关键字promise表单。

12.6K10

将SSRF升级RCE

今天我照例要和大家分享一个多汁漏洞。 这个问题是在一个私人客户中发现,所以我们称之为redacted.com。 探索范围。 在列举客户子域时候,我发现子域[docs]。...所以我们知道[169.254.169.254]是EC2实例本地IP地址。 让我们尝试通过导航到[/latest/meta-data/]来访问meta-data文件夹。 SSRF确认。...在EC2环境上冲浪: 让我们检查我们当前角色 通过导航到 [/latest/meta -data/iam/security -credentials/]....将SSRF升级到RCE: 我尝试了一些潜在开发方案 通过[ssm send-command]升级失败。 经过几番研究,尝试使用AWS系统管理器[ssm]命令。 该角色未被授权执行此命令。...尝试使用AWS CLI运行多个命令,从AWS实例中检索信息。然而,由于现有的安全策略,大多数命令访问都被拒绝了。

1.9K40
  • 使用SSRF泄漏云环境中Metadata数据实现RCE

    本文我将向大家分享一个非常有意思漏洞。利用该漏洞可以为我们泄漏云环境中Metadata数据,并进一步实现远程代码执行(RCE )。...正如我们所知,[169.254.169.254]是EC2实例本地IP地址。 让我们尝试通过导航到[ latest/meta-data/]来访问元数据文件夹。 ? SSRF被确认。...让我们通过导航到[/latest/meta-data/iam/security-credentials/]来检查我们当前角色。...SSRF利用得很好,现在让我们进一步漏洞挖掘,看看能否将其升级威胁性更大“RCE” 从 SSRF 到 RCE 我尝试了一些潜在利用场景。...通过[ssm send-command]发送命令失败 之后我研究尝试使用了AWS Systems Manager [ssm] 命令。 但该角色无权执行此命令。

    2.4K30

    如何使用Metabadger帮助AWS EC2抵御SSRF攻击

    本质上来说,AWS元数据服务将允许用户访问实例所有内容,包括实例角色凭据和会话令牌等。实例元数据是有关用户实例数据,可以用来配置或管理正在运行实例实例元数据可划分成不同类别。...例如,用户可指定参数以便配置实例,也可附加简单脚本。用户也可以使用这些数据来构建更多可通过启动时提供配置文件来修改通用AMI。...要随时添加一个客户,用户只需该客户创建一个存储桶,将客户内容添加进去,然后启动用户 AMI 即可。如果用户同时启动多个实例,则用户数据可供该预留中所有实例使用。...工具要求 Metabadger需要带有下列权限IAM角色或凭证: ec2:ModifyInstanceAttribute ec2:DescribeInstances 在对实例元数据服务进行更改时,我们应该谨慎...,并遵循AWS关于如何安全升级到v2其他指导。

    89730

    SSM通信研究:如何拦截SSM代理流量

    考虑到SSM处理身份验证方式,如果我们可以访问EC2实例IAM凭证,则意味着我们可以拦截EC2消息以及SSM会话。这样一来,即使是低权限用户也可以拦截这些通信。...接下来,我们还会解释为了攻击者能够拦截和修改这些通信流量,并完全阻止资源拥有者访问EC2实例。此外,这些内容还可以帮助大家更好地了解SSM代理是如何在低级别上运行。...我们也可以自行调用ec2messages:GetMessages,这将允许我们拦截到传入实例EC2消息。不过这里有个小问题,SSM代理将大约每20秒就会建立一次这种连接。...我们可以通过反复打开连接来确保我们拥有最新连接,通过这种方法,我们可以确保我们连接始终是最新,并实现EC2消息拦截。...当用户尝试启动SSM会话(ssm:StartSession)时,控制信道将会接收请求并生成数据信道。而这条数据信道主要负责传输用户和EC2实例之间实际通信消息。

    56720

    EasyCVR如何用api设置配置账号和角色

    EasyCVR作为TSINGSEE青犀视频开发视频协议融合平台,除了可以接入RTSP、GB28181外,还通过HIKSDK、Ehome等私有协议完成与设备对接和视频流传输。...EasyCVR在前期更新后,能够支持帐号和角色设定,通过此功能,运维人员管理更加便捷。 本文我们介绍下EasyCVR如何用api设置配置账号和角色。...首先还是要调登录接口,在postman上面调用登录接口: 然后再调用分组接口,要设置账号和角色必须要先分组(post请求): 接着再调用角色接口,配置一个角色(post请求): 最后再设置账号绑定角色...TSINGSEE青犀视频团队在流媒体行业丰富开发经验,使得EasyCVR整个开发过程非常流畅,并且平台功能仍在持续拓展中。...与其他视频平台不同是,EasyCVR能够支持视频分析数据与多源数据融合,可通过智能分析算法挖掘价值数据,这也是EasyCVR一个重要特点。

    58720

    如何使用AWS EC2+Docker+JMeter构建分布式负载测试基础架构

    Step 5: 创建一个IAM策略(可选) 假设您只需要一个由1个JMeter主节点和2个从节点组成基础架构。在这种情况下,访问每个实例并对其进行配置(安装docker +启动容器)相对容易。...因此,我们不必访问每个实例,安装docker并一次一个实例地启动容器。 能够通过“Run Command”功能在EC2实例上执行命令唯一要求是,适当IAM角色已与该实例相关联。...我将IAM策略命名为“ EC2Command”,并为每个新创建实例选择了该策略(但是稍后可以通过“attach/replace role”功能将该角色分配给该实例): ?...现有实例设置IAM策略 ? 在实例创建时关联IAM策略 当您创建角色时,请确保将“AmazonEC2RoleforSSM”策略附加到您角色上,这样就可以了。 ?...将权限关联到IAM角色 现在您可以使用“Run command”功能对多个实例批量执行脚本。 这将我们带入流程下一步。

    1.8K40

    CloudFox:一款针对云环境渗透测试自动化安全态势感知工具

    CloudFox功能介绍 1、查看AWS账户使用是哪个地区,账户中大致有多少资源; 2、查看EC2用户数据或特定于服务环境变量; 3、查看目标主体可执行操作和拥有的权限; 4、查看哪些角色授信过于宽松或允许跨账户操作...源码安装 该工具基于Golang开发,因此我们首先需要在本地设备上安装并配置好Go环境。...配置AWS API密钥: # aws configure --profile readonly AWS Access Key ID [None]: AKIA-[REDACTED] AWS Secret...(向右滑动,查看更多) Azure-枚举关于目标用户所有资源组计算实例全部信息 # ....Owner subscriptions bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbbb (向右滑动,查看更多) Azure-枚举指定用户分配全部角色

    2.1K10

    资源 | Parris:机器学习算法自动化训练工具

    将 ec2-keypair-name 改写一个 EC2 密匙对。 将 instance-type 改写 t2.micro 或另一种小型实例类型。...以下是我使用案例,可以使 Lambda 函数启动一个 CloudFormation 堆栈、从 S3 bucket 中获取对象,以及对 EC2 实例进行大量运算: { "Version":...一般而报错很可能是因为 Lambda 函数 IAM 角色中缺少 IAM 许可。 4....如果处于某些原因你们并没有配置训练项目名,那么栈名字应该采用默认名「parris-stack」。 5. 切换到 AWS 控制台 EC2 实例视图,以查看你登录实例。...由于终止和安装实例与更新原有的实例相比,不需要额外开销,因此算法训练最佳实践是终止栈,然后在需要重新训练时重新安装栈。 5.

    2.9K90

    AWS 容器服务安全实践

    如果您想要进行容器无服务器计算,您可以选择AWS Fargate模式,如果您想要控制计算环境安装,配置和管理,您可以选择Amazon EC2模式。...而对于EKS则需要同时了解和配置IAM和Kubernetes RBAC,就是基于角色访问控制。IAM负责将权限分配到AWS服务,而RBAC负责控制资源权限。...另外,通过 Amazon EKS 集群上服务账户 (service account) IAM 角色,您可以将 IAM 角色与 Kubernetes 服务账户关联。...EKS有一个功能可以启用这些日志,我们建议启用并且将它们发送到Amazon CloudWatch进行进一步处理并发现洞察。 第三,我们看一下网络和防火墙配置,这也是容器安全实践中最重要部分。...Calico是EKS官方文档中介绍一种主流方式。 ? 一种既可以分配EC2实例IAM角色,又可以完全信任基于安全组方式,是不同Pod使用不同工作节点集群,甚至是完全独立集群。

    2.7K20

    Pacu工具牛刀小试之基础篇

    背景介绍 ✚ ● ○ AWS引发安全事件: 配置错误AWS云存储实例引起数据泄露已变得非常普遍,多得数不胜数,此处在前两年中各找一例较大数据泄露事件。...上搭建服务器和在S3上创建了相应存储桶,并在IAM上设置了对应IAM管理用户Test以及EC2和S3管理用户Tory,以供演示Pacu工具可以获取到信息。...关于AWS部分介绍 ✚ ● ○ AWS IAM----提供用户设置以及授权 AWS EC2----提供云服务器 AWS S3----提供网盘 IAM所创建用户,是用于控制EC2服务以及S3服务,可具体至服务中一些权限控制...各字段(从上往下)依次用户名、角色名、资源名称、账户ID、用户ID、角色、组、策略、访问秘钥ID、加密后访问秘钥、会话token、秘钥别名、权限(已确定)、权限。...为了获取EC2信息,直接使用枚举类功能模块: ec2__enum 操作之前,如果我们忘记了如何使用该模块,也没关系,可以利用Help进行获取相关信息。 ?

    2.6K40

    【翻译】研究表明--保护公共AWS SSM文件必要性

    默认情况下,SSM文档是私有的,但可以配置与其他AWS账户共享或公开共享。AWS提供了共享SSM文档最佳实践。...Check Point CloudGuard研究团队分析了由其所有者配置公开共享SSM文档。研究团队发现,出现了一些对该服务基本误解,同时缺乏正确参数使用(如AWS最佳实践中定义)。...由于SSM文档包含了基础设施及其操作摘要,它可以成为有用情报来源,即使SSM文档不包含任何硬编码秘密。 例如,下面的SSM文档包含一个AWS IAM用户名。IAM用户包含本身并不产生安全风险。...保持备份程序隐私性 攻击者可以从公共SSM文件中获得最有价值信息可能是与AWS账户中部署和备份有关程序。下面介绍流程是不需要数据暴露一个实例。...不要分享部署过程和备份程序 审查SSM文件中包含任何AWS资源,以确保其配置安全性。

    49420

    零停机给Kubernetes集群节点打系统补丁

    打补丁过程包括构建 Amazon Machine Image (AMI),镜像中包含了所有更新安全补丁。 AMI 用于更新节点组,每一次需要启动一个 EC2 实例。...当实例通过运行健康状况检查后,旧实例将被终止。这个过程将会持续下去,直到节点组中所有 EC2 实例都被实例替换,这个过程也称为滚动更新。 然而,这个打补丁过程给我们带来了一个挑战。...隔离实例可防止在被终止实例上启动 Pod。 隔离实例后,该实例所有的 Pod 都将被驱逐,并放在一个正常节点上。 Kubernetes 负责健康实例提供 Pod。...4RBAC(基于角色访问控制) 为了能从 AWS Lambda 函数访问 Kubernetes 资源,我们创建了一个 IAM 角色、一个clusterrole和一个clusterrolebinding...IAM 角色用于授予访问 ASG 权限,clusterrole和clusterrolebindingnode-drainer Lambda 函数授予驱逐 Kubernetes Pod 权限。

    1.2K10

    跟着大公司学数据安全架构之AWS和Google

    尤其体现在资源细颗粒程度,例如我要对EC2进行IP分配,这就是一个资源,而IAM针对这个资源策略可以有允许、禁止、申请等不同资源级权限,再进一步,要能够根据不同角色甚至标签进行。...再比如你在Oracle启用了加密,主加密密钥可以存在HSM中,因为HSM是个硬件,所以具有更高安全性。...观察Macie报警其实也很有意思,可以作为实战中规则: • 配置合规性 – 与合规性控制内容,策略,配置设置,控制和数据日志以及修补程序相关。...IP地址调用API • API从已知恶意IP地址被调用 • EC2实例正在执行出站端口扫描 • 调用通常用于发现与AWS账户中各种资源相关权限API • 调用通常用于启动计算资源(如EC2实例...IAM用户发生异常控制台登录 • 启动了一个不寻常类型EC2实例 • 与比特币矿池进行通信 六、总结 关于两家文档,其实还有更丰富细节值得推敲学习。

    1.9K10

    如何使用CloudSpec验证你云端资源安全性

    该工具支持通过相当简单语法,来验证云端资源配置情况,以避免出现那些可能导致云服务可用性受损或安全性问题出现错误问题。...项目介绍 CloudSpec支持验证云服务提供商托管资源,这种资源可以是EC2实例或SES规则,实际上CloudSpec可以对云服务提供商实现任何内容进行验证。 资源具有属性和关联。...属性定义资源形式或配置,而关联定义是它与其他资源关系。使用CloudSpec,我们不仅可以验证资源配置,还可以验证其关联资源配置。比如说,我们以一个EC2实例例。...我们不仅可以验证EC2实例是否属于特定实例类型,或者是否启用了删除终止选项,还可以验证其附加卷大小、其子网CIDR块或其关联资源中任何其他属性,或其关联资源关联资源等等。...镜像,并使用了绑定专用IAM角色,你就可以忽略上述代码中AWS环境变量了。

    87710

    云环境中横向移动技术与场景剖析

    由于攻击者已经获取到了相对强大IAM凭证,因此他们将能够采取另一种方法来访问EC2实例数据。...威胁行为者首先可以使用自己SSH密钥集创建了一个EC2实例,然后再使用CreateSnapshot API创建了其目标EC2实例EBS快照,最后再加载到他们所控制EC2实例上,相关命令代码具体如下图所示...只要不使用OS Login服务,威胁行为者就可以将计算引擎实例配置将其SSH密钥存储在实例元数据中。 这些SSH密钥存储在实例元数据中,便于访问各个实例。...与EC2实例连接技术相比,这种方法具有更大限制,因为它需要使用用户密码或其他功能(如SysRq)对实例操作系统进行预配置。...Manager)服务IAM权限,并以该服务管理实例目标。

    16110
    领券