by shigemk2

当面は技術的なことしか書かない

AmazonEC2RoleforSSM非推奨

SSMでEC2インスタンスにログインするときに必要なIAMポリシーで、AmazonEC2RoleforSSMが非推奨になってて、代わりにAmazonSSMManagedInstanceCoreを使うようにドキュメントに書かれていた。

docs.aws.amazon.com

実際にポリシーの権限を見てみると、以下のようになっててAmazonSSMManagedInstanceCoreの方が厳しめの権限になっている。AmazonEC2RoleforSSMは非推奨だけど、いつから使われなくなるかはわからなかった。

AmazonSSMManagedInstanceCore

  • EC2 Messages フルアクセス
  • SSM Messages フルアクセス
  • Systems Manager 制限: リスト, 読み込み, 書き込み

AmazonEC2RoleforSSM

  • CloudWatch 制限: 書き込み
  • CloudWatch Logs 制限: リスト, 書き込み
  • Directory Service 制限: リスト, 書き込み
  • EC2 制限: リスト
  • EC2 Messages フルアクセス
  • S3 制限: リスト, 読み込み, 書き込み
  • SSM Messages フルアクセス
  • Systems Manager 制限: リスト, 読み込み, 書き込み