AWS Systems Manager ハイブリッドアクティベーション利用時、他 AWS アカウントの EC2 インスタンスを Fleet Manager で KMS 暗号化を有効化して使用する方法を教えてください

困っていること

AWS Systems Manager ハイブリッドアクティベーションを利用して、他 AWS アカウントの EC2 インスタンスを管理しています。
弊社運用方針より、他 AWS アカウントの EC2 インスタンス においても Fleet Manager で KMS 暗号化を有効化して利用しなければなりません。実現する方法を教えてください。

https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-preferences-enable-encryption.html

どう対応すればいいの?

基本的には、弊社ブログの方法になります。
キーポリシー側の設定後、アクティベーション作成時に指定する、IAM ロール: AmazonEC2RunCommandRoleForManagedInstances 又は独自に作成したロールへ、以下のポリシーをアタッチしてください。

※ ポリシー例

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "kms:CreateGrant",
            "kms:Decrypt"
        ],
        "Resource": [
            "arn:aws:kms:ap-northeast-1:123456789012:key/xxxxxxxx-0987-1234-5678-xxxxaaaabbbb"
        ]
    }
}

確認してみた

フリートマネージャーのマネージドノード画面より、mi-xxxxxxxxxxx と表示されていることを確認します。

ファイルシステムを選択します。

適当なファイルを閲覧してみます。

結果、問題なく閲覧可能です。

参考資料

• セッションデータの KMS キー暗号化を有効にする (コンソール) - AWS Systems Manager
• Fleet ManagerをKMS暗号化を有効化して使う | DevelopersIO