Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 8: (Optional) Berechtigungen für SSH-Verbindungen zulassen und kontrollieren über Session Manager
Sie können Benutzern in Ihrem Konto ermöglichen AWS-Konto , mithilfe von AWS Command Line Interface (AWS CLI) Secure Shell (SSH) -Verbindungen zu verwalteten Knoten herzustellen AWS Systems Manager Session Manager. Benutzer, die eine Verbindung über SSH herstellen, können mithilfe des Secure Copy Protocol (SCP) auch Dateien zwischen ihren lokalen Computern und verwalteten Knoten kopieren. Sie können diese Funktionalität verwenden, um eine Verbindung zu verwalteten Knoten herzustellen, ohne eingehende Ports öffnen oder Bastion-Hosts pflegen zu müssen.
Nachdem Sie SSH-Verbindungen zugelassen haben, können Sie AWS Identity and Access Management (IAM-) Richtlinien verwenden, um Benutzern, Gruppen oder Rollen ausdrücklich das Herstellen von SSH-Verbindungen zu gestatten oder zu verweigern Session Manager.
Anmerkung
Die Protokollierung ist nicht verfügbar für Session Manager Sitzungen, die über Portweiterleitung oder SSH eine Verbindung herstellen. Das liegt daran, dass SSH alle Sitzungsdaten verschlüsselt und Session Manager dient nur als Tunnel für SSH-Verbindungen.
Themen
Zulassen von SSH-Verbindungen für Session Manager
Gehen Sie wie folgt vor, um SSH-Verbindungen zuzulassen Session Manager auf einem verwalteten Knoten.
Um SSH-Verbindungen zuzulassen für Session Manager
-
Gehen Sie auf dem verwalteten Knoten, zu dem Sie SSH-Verbindungen erlauben möchten, wie folgt vor:
-
Stellen Sie sicher, dass SSH auf dem verwalteten Knoten ausgeführt wird. (Sie können eingehende Ports für den Knoten schließen.)
-
Stellen Sie sicher, dass SSM Agent Version 2.3.672.0 oder höher ist auf dem verwalteten Knoten installiert.
Für Informationen zur Installation oder Aktualisierung SSM Agent Informationen zu einem verwalteten Knoten finden Sie in den folgenden Themen:
-
Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Windows Server.
-
Manuelles Installieren und Deinstallieren SSM Agent auf EC2 Instanzen für Linux
-
Manuelles Installieren und Deinstallieren SSM Agent auf EC2 Instanzen für macOS
-
Wie installiert man den SSM Agent auf hybriden Windows-Knoten
Anmerkung
Zur Verwendung Session Manager Bei lokalen Servern, Edge-Geräten und virtuellen Maschinen (VMs), die Sie als verwaltete Knoten aktiviert haben, müssen Sie die Stufe „Advanced-Instances“ verwenden. Weitere Informationen über erweiterte Instances finden Sie unter Konfigurieren von Instance-Kontingenten.
-
-
-
Gehen Sie auf der lokalen Maschine, mit der Sie mit SSH eine Verbindung zu einem verwalteten Knoten herstellen möchten, wie folgt vor:
-
Stellen Sie sicher, dass Version 1.1.23.0 oder höher von Session Manager Das Plugin ist installiert.
Für Informationen zur Installation des Session Manager Plugin finden Sie unterInstallieren des Session Manager-Plugin für die AWS CLI.
-
Aktualisieren Sie die SSH-Konfigurationsdatei, um die Ausführung eines Proxybefehls zu ermöglichen, der Folgendes startet Session Manager Sitzung und Übertragung aller Daten über die Verbindung.
Linux and macOS
Tipp
Die SSH-Konfigurationsdatei befindet sich in der Regel unter
~/.ssh/config
.Fügen Sie der Konfigurationsdatei auf dem lokalen Computer den folgenden Code hinzu.
# SSH over Session Manager Host i-* mi-* ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'" User ec2-user
Windows
Tipp
Die SSH-Konfigurationsdatei befindet sich in der Regel unter
C:\Users\
.<username>
\.ssh\configFügen Sie der Konfigurationsdatei auf dem lokalen Computer den folgenden Code hinzu.
# SSH over Session Manager Host i-* mi-* ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
-
Erstellen ein Privacy-Enhanced-Mail-Zertifikat (eine PEM-Datei) oder mindestens einen öffentlichen Schlüssel, bzw. überprüfen Sie, ob sie darüber verfügen, die beim Herstellen von Verbindungen zu verwalteten Knoten verwendet werden sollen. Dies muss ein Schlüssel sein, der dem verwalteten Knoten bereits zugeordnet ist. Die Berechtigungen für Ihre private Schlüsseldatei müssen so festgelegt sein, dass nur Sie diese lesen können. Mit dem folgenden Befehl können Sie die Berechtigungen für Ihre private Schlüsseldatei so festlegen, dass nur Sie diese lesen können.
chmod 400
<my-key-pair>
.pemZum Beispiel für eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance die Schlüsselpaardatei, die Sie bei der Erstellung der Instance erstellt oder ausgewählt haben. (Sie geben den Pfad zum Zertifikat oder Schlüssel als Teil des Befehls zum Starten einer Sitzung an. Informationen zum Starten einer Sitzung mithilfe von SSH finden Sie unter Starten einer Sitzung (SSH).)
-
Steuerung der Benutzerberechtigungen für SSH-Verbindungen über Session Manager
Nachdem Sie SSH-Verbindungen aktiviert haben über Session Manager Auf einem verwalteten Knoten können Sie IAM-Richtlinien verwenden, um Benutzern, Gruppen oder Rollen das Herstellen von SSH-Verbindungen zu ermöglichen oder zu verweigern Session Manager.
Um eine IAM-Richtlinie zu verwenden, um SSH-Verbindungen zuzulassen Session Manager
-
Wählen Sie eine der folgenden Optionen aus:
-
Option 1: Öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/
Wählen Sie im Navigationsbereich Richtlinien aus, und aktualisieren Sie dann die Berechtigungsrichtlinie für den Benutzer oder die Rolle, über den Sie SSH-Verbindungen herstellen möchten Session Manager.
Fügen Sie beispielsweise das folgende Element der Schnellstart-Richtlinie hinzu, die Sie in Kurzeinführung in Endbenutzerrichtlinien für Session Manager erstellt haben. Ersetzen Sie jeden
example resource placeholder
durch Ihre Informationen.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": [ "arn:aws:ec2:
region
:account-id
:instance/instance-id
", "arn:aws:ssm:*:*:document/AWS-StartSSHSession" ] } ] } -
Option 2: Hängen Sie mithilfe der, der oder der AWS Management Console AWS API eine Inline-Richtlinie an AWS CLI eine Benutzerrichtlinie an.
Verwenden Sie die Methode Ihrer Wahl und fügen Sie die Richtlinienerklärung in Option 1 der Richtlinie für einen AWS Benutzer, eine Gruppe oder eine Rolle bei.
Informationen finden Sie im Abschnitt Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch.
-
Um eine IAM-Richtlinie zu verwenden, um SSH-Verbindungen zu verweigern Session Manager
-
Wählen Sie eine der folgenden Optionen aus:
-
Option 1: Öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/
Wählen Sie im Navigationsbereich Richtlinien aus, und aktualisieren Sie dann die Berechtigungsrichtlinie für den Benutzer oder die Rolle, deren Start blockiert werden soll Session Manager Sitzungen. Fügen Sie beispielsweise das folgende Element der Schnellstart-Richtlinie hinzu, die Sie in Kurzeinführung in Endbenutzerrichtlinien für Session Manager erstellt haben.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ssm:StartSession", "Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession" } ] }
-
Option 2: Hängen Sie eine Inline-Richtlinie an eine Benutzerrichtlinie an AWS Management Console, indem Sie die AWS CLI, oder die AWS API verwenden.
Verwenden Sie die Methode Ihrer Wahl und fügen Sie die Richtlinienerklärung in Option 1 der Richtlinie für einen AWS Benutzer, eine Gruppe oder eine Rolle bei.
Informationen finden Sie im Abschnitt Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch.
-