Erstellen eines Dokuments mit Session Manager-Einstellungen (Befehlszeile)

Gehen Sie wie folgt vor, um SSM Dokumente zu erstellen, die Ihre Einstellungen für AWS Systems Manager Session Manager Sitzungen definieren. Sie können das Dokument verwenden, um Sitzungsoptionen wie Datenverschlüsselung, Sitzungsdauer und Protokollierung zu konfigurieren. Sie können beispielsweise angeben, ob Sitzungsprotokolldaten in einem Amazon Simple Storage Service (Amazon S3) -Bucket oder einer Amazon CloudWatch Logs-Protokollgruppe gespeichert werden sollen. Sie können Dokumente erstellen, die allgemeine Einstellungen für alle Sitzungen für ein AWS-Konto und AWS-Region oder Einstellungen für einzelne Sitzungen definieren.

Anmerkung

Sie können die allgemeinen Sitzungseinstellungen auch über die Session-Manager-Konsole konfigurieren.

Dokumente, die zum Einstellen von Session-Manager-Einstellungen verwendet werden, müssen einen sessionType von Standard_Stream haben. Weitere Informationen zu Sitzungs-Dokumenten finden Sie unter Schema des Sitzungsdokuments.

Weitere Informationen zur Verwendung der Befehlszeile zum Aktualisieren vorhandener Session Manager-Einstellungen finden Sie unter Aktualisieren von Session Manager-Einstellungen (Befehlszeile).

Ein Beispiel für die Erstellung von Sitzungseinstellungen mit AWS CloudFormation finden Sie unter Erstellen eines Systems Manager Manager-Dokuments für Session Manager Einstellungen im AWS CloudFormation Benutzerhandbuch.

Anmerkung

In diesem Verfahren wird beschrieben, wie Dokumente für die Festlegung von Session Manager Einstellungen auf der AWS-Konto Ebene erstellt werden. Um Dokumente zu erstellen, die für die Festlegung von Einstellungen auf Sitzungsebene verwendet werden, geben Sie einen anderen Wert als SSM-SessionManagerRunShell für die dateibezogenen Befehlseingaben an.

Wenn Sie Ihr Dokument verwenden möchten, um Einstellungen für Sitzungen festzulegen, die mit der AWS Command Line Interface (AWS CLI) gestartet wurden, geben Sie den Dokumentnamen als --document-name-Parameterwert an. Um Einstellungen für Sitzungen vorzunehmen, die von der Session-Manager-Konsole aus gestartet werden, können Sie den Namen Ihres Dokuments eingeben oder aus einer Liste auswählen.

So erstellen Sie Session Manager-Einstellungen (Befehlszeile)

Erstellen Sie auf Ihrem lokalen Computer eine JSON Datei mit einem Namen wieSessionManagerRunShell.json, und fügen Sie dann den folgenden Inhalt ein.


{
    "schemaVersion": "1.0",
    "description": "Document to hold regional settings for Session Manager",
    "sessionType": "Standard_Stream",
    "inputs": {
        "s3BucketName": "",
        "s3KeyPrefix": "",
        "s3EncryptionEnabled": true,
        "cloudWatchLogGroupName": "",
        "cloudWatchEncryptionEnabled": true,
        "cloudWatchStreamingEnabled": false,
        "kmsKeyId": "",
        "runAsEnabled": false,
        "runAsDefaultUser": "",
        "idleSessionTimeout": "",
        "maxSessionDuration": "",
        "shellProfile": {
            "windows": "date",
            "linux": "pwd;ls"
        }
    }
}

Sie können Werte auch mithilfe von Parametern an Ihre Sitzungseinstellungen übergeben, anstatt die Werte fest zu kodieren, wie im folgenden Beispiel gezeigt.


{
   "schemaVersion":"1.0",
   "description":"Session Document Parameter Example JSON Template",
   "sessionType":"Standard_Stream",
   "parameters":{
      "s3BucketName":{
         "type":"String",
         "default":""
      },
      "s3KeyPrefix":{
         "type":"String",
         "default":""
      },
      "s3EncryptionEnabled":{
         "type":"Boolean",
         "default":"false"
      },
      "cloudWatchLogGroupName":{
         "type":"String",
         "default":""
      },
      "cloudWatchEncryptionEnabled":{
         "type":"Boolean",
         "default":"false"
      }
   },
   "inputs":{
      "s3BucketName":"{{s3BucketName}}",
      "s3KeyPrefix":"{{s3KeyPrefix}}",
      "s3EncryptionEnabled":"{{s3EncryptionEnabled}}",
      "cloudWatchLogGroupName":"{{cloudWatchLogGroupName}}",
      "cloudWatchEncryptionEnabled":"{{cloudWatchEncryptionEnabled}}",
      "kmsKeyId":""
   }
}

Legen Sie fest, wohin Sie die Sitzungsdaten senden möchten. Sie können einen S3-Bucket-Namen (mit einem optionalen Präfix) oder einen CloudWatch Logs-Log-Gruppennamen angeben. Wenn Sie Daten zwischen dem lokalen Client und den verwalteten Knoten weiter verschlüsseln möchten, geben Sie den KMS Schlüssel an, der für die Verschlüsselung verwendet werden soll. Im Folgenden wird ein Beispiel gezeigt.
```
{
  "schemaVersion": "1.0",
  "description": "Document to hold regional settings for Session Manager",
  "sessionType": "Standard_Stream",
  "inputs": {
    "s3BucketName": "amzn-s3-demo-bucket",
    "s3KeyPrefix": "MyS3Prefix",
    "s3EncryptionEnabled": true,
    "cloudWatchLogGroupName": "MyLogGroupName",
    "cloudWatchEncryptionEnabled": true,
    "cloudWatchStreamingEnabled": false,
    "kmsKeyId": "MyKMSKeyID",
    "runAsEnabled": true,
    "runAsDefaultUser": "MyDefaultRunAsUser",
    "idleSessionTimeout": "20",
    "maxSessionDuration": "60",
    "shellProfile": {
        "windows": "MyCommands",
        "linux": "MyCommands"
    }
  }
}
```
Anmerkung
Wenn Sie die Protokolldaten der Sitzung nicht verschlüsseln möchten, ändern Sie für s3EncryptionEnabled true in false.
Wenn Sie keine Protokolle an einen Amazon S3 S3-Bucket oder eine CloudWatch Logs-Protokollgruppe senden, aktive Sitzungsdaten nicht verschlüsseln oder die Unterstützung „Als ausführen“ für die Sitzungen in Ihrem Konto nicht aktivieren möchten, können Sie die Zeilen für diese Optionen löschen. Überprüfen Sie, dass die letzte Zeile im Abschnitt inputs nicht mit einem Komma endet.
Wenn Sie eine KMS Schlüssel-ID hinzufügen, um Ihre Sitzungsdaten zu verschlüsseln, müssen sowohl die Benutzer, die Sitzungen starten, als auch die verwalteten Knoten, zu denen sie eine Verbindung herstellen, berechtigt sein, den Schlüssel zu verwenden. Sie erteilen die Erlaubnis zur Verwendung des KMS Schlüssels Session Manager mithilfe von IAM Richtlinien. Weitere Informationen finden Sie unter den folgenden Themen:
- Fügen Sie AWS KMS Berechtigungen für Benutzer in Ihrem Konto hinzu: Muster-IAM-Richtlinien für Session Manager
- Fügen Sie AWS KMS Berechtigungen für verwaltete Knoten in Ihrem Konto hinzu: Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager
Speichern Sie die Datei.

Führen Sie in dem Verzeichnis, in dem Sie die JSON Datei erstellt haben, den folgenden Befehl aus.

Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:

{
    "DocumentDescription": {
        "Status": "Creating",
        "Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE",
        "Name": "SSM-SessionManagerRunShell",
        "Tags": [],
        "DocumentType": "Session",
        "PlatformTypes": [
            "Windows",
            "Linux"
        ],
        "DocumentVersion": "1",
        "HashType": "Sha256",
        "CreatedDate": 1547750660.918,
        "Owner": "111122223333",
        "SchemaVersion": "1.0",
        "DefaultVersion": "1",
        "DocumentFormat": "JSON",
        "LatestVersion": "1"
    }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

So aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole)

Aktualisieren von Session Manager-Einstellungen (Befehlszeile)