AWS Systems Manager Session Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Systems Manager Session Manager

Session Manager ist ein vollständig verwaltetes AWS Systems Manager Tool. Mit Session Manager, können Sie Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Instances, Edge-Geräte, lokalen Server und virtuellen Maschinen (VMs) verwalten. Sie können entweder eine interaktive browserbasierte Shell mit einem Klick oder die AWS Command Line Interface () verwenden.AWS CLISession Manager bietet sicheres Knotenmanagement, ohne dass eingehende Ports geöffnet, Bastion-Hosts verwaltet oder SSH-Schlüssel verwaltet werden müssen. Session Manager ermöglicht Ihnen außerdem die Einhaltung von Unternehmensrichtlinien, die einen kontrollierten Zugriff auf verwaltete Knoten, strenge Sicherheitspraktiken und Protokolle mit Knotenzugriffsdetails vorschreiben, und bietet Endbenutzern gleichzeitig einen einfachen plattformübergreifenden Zugriff mit nur einem Klick auf Ihre verwalteten Knoten. Um loszulegen mit Session Manager, öffnen Sie die Systems Manager Manager-Konsole. Wählen Sie im Navigationsbereich Session Manager.

Wie kann Session Manager meiner Organisation zugute kommen?

Session Manager bietet folgende Vorteile:

  • Zentralisierte Kontrolle des Zugriffs auf verwaltete Knoten mit IAM-Richtlinien

    Administratoren erhalten eine zentrale Stelle zum Erteilen und Widerrufen des Zugriffs auf verwaltete Knoten. Wenn Sie ausschließlich AWS Identity and Access Management (IAM-) Richtlinien verwenden, können Sie steuern, welche einzelnen Benutzer oder Gruppen in Ihrer Organisation diese verwenden können Session Manager und auf welche verwalteten Knoten sie zugreifen können.

  • Keine offenen Ports für eingehenden Datenverkehr und keine Notwendigkeit für die Verwaltung von Bastion-Hosts oder SSH-Ports

    Verlassen eingehender SSH-Ports und Remote-Ports PowerShell Das Öffnen von Ports auf Ihren verwalteten Knoten erhöht das Risiko erheblich, dass Entitäten unbefugte oder böswillige Befehle auf den verwalteten Knoten ausführen. Session Manager hilft Ihnen, Ihre Sicherheitslage zu verbessern, indem Sie diese eingehenden Ports schließen können, sodass Sie SSH-Schlüssel und -Zertifikate, Bastion-Hosts und Jumpboxen nicht mehr verwalten müssen.

  • One-Click-Zugriff auf verwaltete Knoten über die Konsole und die CLI

    Mit der AWS Systems Manager Konsole oder der EC2 Amazon-Konsole können Sie eine Sitzung mit einem einzigen Klick starten. Mit dem AWS CLI können Sie auch eine Sitzung starten, die einen einzelnen Befehl oder eine Befehlsfolge ausführt. Da Berechtigungen für verwaltete Knoten durch IAM-Richtlinien und nicht von SSH-Schlüsseln oder anderen Mechanismen bereitgestellt werden, wird die Verbindungszeit stark reduziert.

  • Connect zu EC2 Amazon-Instances und nicht EC2 verwalteten Knoten in Hybrid- und Multi-Cloud-Umgebungen her

    Sie können sich sowohl mit Amazon Elastic Compute Cloud (Amazon EC2) -Instances als auch mit EC2 Nicht-Nodes in Ihrer Hybrid- und Multi-Cloud-Umgebung verbinden.

    Um eine Verbindung zu EC2 Nicht-Knoten herzustellen, verwenden Sie Session Manager, müssen Sie zuerst die Stufe Advanced-Instances aktivieren. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Es fallen jedoch keine zusätzlichen Gebühren an, um eine Verbindung zu EC2 Instances herzustellen Session ManagerWeitere Informationen finden Sie unter Konfigurieren von Instance-Kontingenten..

  • Port-Weiterleitung

    Leiten Sie jeden Port in Ihrem verwalteten Knoten an einen lokalen Port auf einem Client um. Stellen Sie danach eine Verbindung mit dem lokalen Port her und greifen Sie auf die Serveranwendung zu, die in dem Knoten ausgeführt wird.

  • Plattformübergreifende Unterstützung für Windows, Linux, und macOS

    Session Manager bietet Unterstützung für Windows, Linux, und macOS von einem einzigen Tool aus. Sie müssen beispielsweise keinen SSH-Client verwenden für Linux and macOS verwaltete Knoten oder eine RDP-Verbindung für Windows Server verwaltete Knoten.

  • Protokollieren von Sitzungsaktivitäten

    Um betriebs- oder sicherheitsbezogene Anforderungen in Ihrer Organisation zu erfüllen, müssen Sie möglicherweise eine Aufzeichnung der Verbindungen bereitstellen, die mit Ihren verwalteten Knoten hergestellt wurden, und der Befehle, die auf ihnen ausgeführt wurden. Sie können auch Benachrichtigungen empfangen, wenn ein Benutzer in Ihrer Organisation Sitzungsaktivitäten startet oder beendet.

    Die Funktionen für Protokollierung werden durch die Integration mit den folgenden AWS-Services bereitgestellt:

    • AWS CloudTrail— AWS CloudTrail erfasst Informationen über Session Manager API-Aufrufe erfolgen in Ihrem AWS-Konto und schreiben sie in Protokolldateien, die in einem von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3) -Bucket gespeichert sind. Ein Bucket wird für alle CloudTrail Protokolle Ihres Kontos verwendet. Weitere Informationen finden Sie unter AWS Systems Manager API-Aufrufe protokollieren mit AWS CloudTrail.

    • Amazon Simple Storage Service – Sie können Sitzungsprotokolldaten zu Debugging-Zwecken in einem Amazon S3-Bucket Ihrer Wahl speichern. Protokolldaten können mit oder ohne Verschlüsselung über Ihren AWS KMS key an Ihren Amazon S3-Bucket gesendet werden. Weitere Informationen finden Sie unter Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole).

    • Amazon CloudWatch Logs — CloudWatch Logs ermöglicht es Ihnen, Protokolldateien aus verschiedenen Quellen zu überwachen, zu speichern und darauf zuzugreifen AWS-Services. Sie können Sitzungsprotokolldaten zu Debugging- und Fehlerbehebungszwecken an eine CloudWatch Logs-Protokollgruppe senden. Protokolldaten können mit oder ohne AWS KMS Verschlüsselung mit Ihrem KMS-Schlüssel an Ihre Protokollgruppe gesendet werden. Weitere Informationen finden Sie unter Protokollieren von Sitzungsdaten mithilfe von Amazon CloudWatch Logs (Konsole).

    • Amazon EventBridge und Amazon Simple Notification Service — EventBridge ermöglicht es Ihnen, Regeln einzurichten, um zu erkennen, wann Änderungen an den von Ihnen angegebenen AWS Ressourcen vorgenommen werden. Sie können eine Regel erstellen, um zu erkennen, wenn ein Benutzer in Ihrer Organisation eine Sitzung startet oder anhält. Anschließend können Sie über Amazon SNS eine Benachrichtigung (z. B. eine Text- oder E-Mail-Nachricht) über das Ereignis erhalten. Sie können ein CloudWatch Ereignis auch so konfigurieren, dass es andere Antworten auslöst. Weitere Informationen finden Sie unter Überwachen der Sitzungsaktivität mithilfe von Amazon EventBridge (Konsole).

    Anmerkung

    Die Protokollierung ist nicht verfügbar für Session Manager Sitzungen, die über Portweiterleitung oder SSH eine Verbindung herstellen. Das liegt daran, dass SSH alle Sitzungsdaten verschlüsselt und Session Manager dient nur als Tunnel für SSH-Verbindungen.

Wer sollte benutzen Session Manager?

  • Jeder AWS Kunde, der seine Sicherheitslage verbessern, den betrieblichen Aufwand durch die Zentralisierung der Zugriffskontrolle auf verwalteten Knoten reduzieren und den eingehenden Knotenzugriff reduzieren möchte.

  • Datensicherheitsexperten, die den Zugriff auf und die Aktivität von verwalteten Knoten überwachen und verfolgen möchten, Ports für eingehenden Datenverkehr auf verwalteten Knoten schließen möchten oder Verbindungen mit verwalteten Knoten ohne öffentliche IP-Adresse ermöglichen möchten.

  • Administratoren, die Zugriff von einem einzigen Standort aus gewähren und entziehen möchten und die Benutzern eine einzige Lösung bieten möchten für Linux, macOS, und Windows Server verwaltete Knoten.

  • Benutzer, die mit nur einem Klick im Browser oder AWS CLI ohne Angabe von SSH-Schlüsseln eine Verbindung zu einem verwalteten Knoten herstellen möchten.

Was sind die Hauptmerkmale von Session Manager?

  • Support für Windows Server, Linux and macOS verwaltete Knoten

    Session Manager ermöglicht es Ihnen, sichere Verbindungen zu Ihren Amazon Elastic Compute Cloud (EC2) -Instances, Edge-Geräten, lokalen Servern und virtuellen Maschinen (VMs) herzustellen. Eine Liste der unter den jeweiligen Betriebssystemen unterstützten Typen finden Sie unter Einrichten von Session Manager.

    Anmerkung

    Session Manager Unterstützung für lokale Maschinen wird nur für die Stufe „Advanced-Instances“ bereitgestellt. Weitere Informationen finden Sie unter Aktivieren des Kontingents für erweiterte Instances.

  • Konsolen-, CLI- und SDK-Zugriff auf Session Manager Fähigkeiten

    Du kannst mit arbeiten Session Manager auf folgende Weise:

    Die AWS Systems Manager Konsole bietet Zugriff auf alle Session Manager Funktionen sowohl für Administratoren als auch für Endbenutzer. Sie können über die Systems Manager-Konsole jede Aufgabe im Zusammenhang mit Ihren Sitzungen ausführen.

    Die EC2 Amazon-Konsole bietet Endbenutzern die Möglichkeit, eine Verbindung zu EC2 Instances herzustellen, für die ihnen Sitzungsberechtigungen erteilt wurden.

    Das AWS CLIbeinhaltet den Zugriff auf Session Manager Funktionen für Endbenutzer. Sie können eine Sitzung starten, eine Sitzungsliste anzeigen und eine Sitzung dauerhaft beenden, indem Sie die verwenden AWS CLI.

    Anmerkung

    Um die Befehle AWS CLI to run session verwenden zu können, müssen Sie Version 1.16.12 der CLI (oder höher) verwenden, und Sie müssen das installiert haben Session Manager Plugin auf Ihrem lokalen Computer. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugin für die AWS CLI. Um das Plugin anzusehen auf GitHub, finden Sie unter session-manager-plugin.

  • IAM-Zugriffskontrolle

    Mithilfe von IAM-Richtlinien können Sie steuern, welche Mitglieder Ihrer Organisation Sitzungen mit verwalteten Knoten starten können und auf welche Knoten sie zugreifen können. Sie können auch einen temporären Zugriff auf Ihre verwalteten Knoten bereitstellen. Beispielsweise könnten Sie einem Techniker auf Aufruf (oder einer Gruppe von Technikern auf Abruf) nur für die Dauer ihrer Schicht Zugriff auf Produktionsserver geben.

  • Unterstützung für Protokollierung

    Session Manager bietet Ihnen Optionen zum Protokollieren von Sitzungsverläufen in Ihrer AWS-Konto durch die Integration mit einer Reihe von anderen AWS-Services. Weitere Informationen erhalten Sie unter Protokollieren von Sitzungsaktivitäten und Protokollierung von Sitzungen aktivieren und deaktivieren.

  • Konfigurierbare Shell-Profile

    Session Manager bietet Ihnen Optionen zur Konfiguration von Einstellungen innerhalb von Sitzungen. Mit diesen anpassbaren Profilen können Sie Voreinstellungen wie Shell-Einstellungen, Umgebungsvariablen, Arbeitsverzeichnisse und das Ausführen mehrerer Befehle definieren, wenn eine Sitzung gestartet wird.

  • Support für die Datenverschlüsselung mit dem Kundenschlüssel

    Sie können konfigurieren Session Manager um die Sitzungsdatenprotokolle zu verschlüsseln, die Sie an einen Amazon Simple Storage Service (Amazon S3) -Bucket senden oder in eine CloudWatch Logs-Protokollgruppe streamen. Sie können auch konfigurieren Session Manager um die Daten, die während Ihrer Sitzungen zwischen Client-Computern und Ihren verwalteten Knoten übertragen werden, weiter zu verschlüsseln. Weitere Informationen finden Sie unter Protokollierung von Sitzungen aktivieren und deaktivieren und Konfigurieren von Sitzungspräferenzen.

  • AWS PrivateLink Unterstützung für verwaltete Knoten ohne öffentliche IP-Adressen

    Sie können auch VPC-Endpunkte für Systems Manager einrichten, um Ihre Sitzungen weiter AWS PrivateLink zu sichern. AWS PrivateLink begrenzt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Knoten, Systems Manager und Amazon EC2 auf das Amazon-Netzwerk. Weitere Informationen finden Sie unter Verbessern der Sicherheit von EC2 Instances mithilfe von VPC-Endpunkten für Systems Manager.

  • Tunneling

    Verwenden Sie in einer Sitzung ein Dokument vom Typ Sitzung AWS Systems Manager (SSM), um Datenverkehr, z. B. HTTP oder ein benutzerdefiniertes Protokoll, zwischen einem lokalen Port auf einem Client-Computer und einem Remote-Port auf einem verwalteten Knoten zu tunneln.

  • Interaktive Befehle

    Erstellen Sie ein SSM-Dokument vom Typ Session, das eine Sitzung verwendet, um interaktiv einen einzelnen Befehl auszuführen, sodass Sie verwalten können, was Benutzer auf einem verwalteten Knoten tun können.

Was ist eine Sitzung?

Eine Sitzung ist eine Verbindung, die mit einem verwalteten Knoten hergestellt wird Session Manager. Sitzungen basieren auf einem sicheren bidirektionalen Kommunikationskanal zwischen dem Client (Ihnen) und dem remote verwalteten Knoten, der Eingaben und Ausgaben für Befehle streamt. Der Datenverkehr zwischen einem Client und einem verwalteten Knoten wird mit TLS 1.2 verschlüsselt. Anforderungen zum Aufbau der Verbindung werden mit Sigv4 signiert. Diese bidirektionale Kommunikation ermöglicht interaktive Bash und den PowerShell Zugriff auf verwaltete Knoten. Sie können auch einen AWS Key Management Service (AWS KMS) verwenden, um Daten über die standardmäßige TLS-Verschlüsselung hinaus zu verschlüsseln.

Angenommen, John ist ein Techniker auf Abruf in Ihrer IT-Abteilung. Er erhält eine Benachrichtigung zu einem Problem, für dessen Bearbeitung er eine Remote-Verbindung mit einem verwalteten Knoten herstellen muss, beispielsweise einem Ausfall, der behoben werden muss, oder eine Anweisung, eine einfache Konfigurationsoption für einen Knoten zu ändern. Mithilfe der AWS Systems Manager Konsole, der EC2 Amazon-Konsole oder der startet John eine Sitzung AWS CLI, die ihn mit dem verwalteten Knoten verbindet, führt Befehle auf dem Knoten aus, die für die Ausführung der Aufgabe erforderlich sind, und beendet dann die Sitzung.

Wenn John den ersten Befehl sendet, um die Sitzung zu starten, Session Manager Der Dienst authentifiziert seine ID, überprüft die ihm durch eine IAM-Richtlinie gewährten Berechtigungen, überprüft die Konfigurationseinstellungen (z. B. die Überprüfung der zulässigen Grenzwerte für die Sitzungen) und sendet eine Nachricht an SSM Agent um die bidirektionale Verbindung zu öffnen. Nachdem die Verbindung hergestellt wurde und John den nächsten Befehl eingibt, den Befehl, der von ausgegeben wird SSM Agent wird auf diesen Kommunikationskanal hochgeladen und an seinen lokalen Computer zurückgesendet.