AWS Systems Manager Session Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Systems Manager Session Manager

Session Managerist eine vollständig verwaltete Funktion. AWS Systems Manager Mit Session Manager können Sie Ihre Amazon Elastic Compute Cloud (AmazonEC2) -Instances, Edge-Geräte, lokalen Server und virtuellen Maschinen (VMs) verwalten. Sie können entweder eine interaktive browserbasierte Shell mit einem Klick oder die AWS Command Line Interface () verwenden.AWS CLISession Managerbietet eine sichere und überprüfbare Knotenverwaltung, ohne dass eingehende Ports geöffnet, Bastion-Hosts verwaltet oder Schlüssel verwaltet werden müssen. SSH Session Managerermöglicht Ihnen außerdem die Einhaltung von Unternehmensrichtlinien, die einen kontrollierten Zugriff auf verwaltete Knoten, strenge Sicherheitspraktiken und vollständig überprüfbare Protokolle mit Knotenzugriffsdetails vorschreiben, und bietet Endbenutzern gleichzeitig einen einfachen plattformübergreifenden Zugriff mit nur einem Klick auf Ihre verwalteten Knoten. Um mit Session Manager zu beginnen, öffnen Sie die Systems-Manager-Konsole. Wählen Sie im Navigationsbereich Session Manager aus.

Welche Vorteile bietet Session Manager meiner Organisation?

Session Manager bietet die folgenden Vorteile:

  • Zentralisierte Zugriffskontrolle für verwaltete Knoten mithilfe von Richtlinien IAM

    Administratoren erhalten eine zentrale Stelle zum Erteilen und Widerrufen des Zugriffs auf verwaltete Knoten. Mithilfe von Richtlinien von only AWS Identity and Access Management (IAM) können Sie steuern, welche einzelnen Benutzer oder Gruppen in Ihrer Organisation verwenden können Session Manager und auf welche verwalteten Knoten sie zugreifen können.

  • Keine offenen eingehenden Ports und keine Notwendigkeit, Bastion-Hosts oder Schlüssel zu verwalten SSH

    Wenn Sie eingehende SSH Ports und PowerShell Remote-Ports auf Ihren verwalteten Knoten geöffnet lassen, erhöht sich das Risiko, dass Entitäten unbefugte oder böswillige Befehle auf den verwalteten Knoten ausführen, erheblich. Session Managerhilft Ihnen, Ihre Sicherheitslage zu verbessern, indem Sie diese eingehenden Ports schließen können, sodass Sie SSH Schlüssel und Zertifikate, Bastion-Hosts und Jumpboxen nicht mehr verwalten müssen.

  • Zugriff auf verwaltete Knoten mit nur einem Klick von der Konsole aus und CLI

    Mit der AWS Systems Manager Konsole oder der EC2 Amazon-Konsole können Sie eine Sitzung mit einem einzigen Klick starten. Mit dem AWS CLI können Sie auch eine Sitzung starten, die einen einzelnen Befehl oder eine Befehlsfolge ausführt. Da Berechtigungen für verwaltete Knoten über IAM Richtlinien und nicht über SSH Schlüssel oder andere Mechanismen bereitgestellt werden, wird die Verbindungszeit erheblich reduziert.

  • Connect zu EC2 Amazon-Instances und nicht EC2 verwalteten Knoten in Hybrid- und Multi-Cloud-Umgebungen her

    Sie können sich sowohl mit Amazon Elastic Compute Cloud (AmazonEC2) -Instances als auch mit EC2 Nicht-Nodes in Ihrer Hybrid- und Multi-Cloud-Umgebung verbinden.

    Um eine Verbindung zu EC2 Nicht-Knoten herzustellenSession Manager, müssen Sie zunächst die Stufe Advanced-Instances aktivieren. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Es fallen jedoch keine zusätzlichen Gebühren für die Verbindung zu EC2 Instances an, die Sie verwenden. Session Manager Weitere Informationen finden Sie unter Konfigurieren von Instance-Kontingenten.

  • Port-Weiterleitung

    Leiten Sie jeden Port in Ihrem verwalteten Knoten an einen lokalen Port auf einem Client um. Stellen Sie danach eine Verbindung mit dem lokalen Port her und greifen Sie auf die Serveranwendung zu, die in dem Knoten ausgeführt wird.

  • Plattformübergreifende Unterstützung für Windows, Linux und macOS

    Session Manager unterstützt in einem einzigen Tool sowohl Windows, Linux als auch macOS. Sie müssen beispielsweise keinen SSH Client für Linux macOS verwaltete Knoten oder eine RDP Verbindung für Windows Server verwaltete Knoten verwenden.

  • Protokollierung und Prüfung von Sitzungsaktivitäten

    Um betriebs- oder sicherheitsbezogene Anforderungen in Ihrer Organisation zu erfüllen, müssen Sie möglicherweise eine Aufzeichnung der Verbindungen bereitstellen, die mit Ihren verwalteten Knoten hergestellt wurden, und der Befehle, die auf ihnen ausgeführt wurden. Sie können auch Benachrichtigungen empfangen, wenn ein Benutzer in Ihrer Organisation Sitzungsaktivitäten startet oder beendet.

    Die Funktionen für Protokollierung und Prüfung werden durch die Integration mit den folgenden AWS-Services bereitgestellt:

    • AWS CloudTrail— AWS CloudTrail erfasst Informationen über Session Manager API Aufrufe in Ihrem AWS-Konto und schreibt sie in Protokolldateien, die in einem von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3) -Bucket gespeichert werden. Ein Bucket wird für alle CloudTrail Protokolle Ihres Kontos verwendet. Weitere Informationen finden Sie unter AWS Systems Manager APIAnrufe protokollieren mit AWS CloudTrail.

    • Amazon Simple Storage Service – Sie können Sitzungsprotokolldaten zu Debugging-Zwecken in einem Amazon S3-Bucket Ihrer Wahl speichern. Protokolldaten können mit oder ohne Verschlüsselung über Ihren AWS KMS key an Ihren Amazon S3-Bucket gesendet werden. Weitere Informationen finden Sie unter Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole).

    • Amazon CloudWatch Logs — CloudWatch Logs ermöglicht es Ihnen, Protokolldateien aus verschiedenen Quellen zu überwachen, zu speichern und darauf zuzugreifen AWS-Services. Sie können Sitzungsprotokolldaten zu Debugging- und Fehlerbehebungszwecken an eine CloudWatch Logs-Protokollgruppe senden. Protokolldaten können mit oder ohne AWS KMS Verschlüsselung mit Ihrem KMS Schlüssel an Ihre Protokollgruppe gesendet werden. Weitere Informationen finden Sie unter Protokollierung von Sitzungsdaten mit Amazon CloudWatch Logs (Konsole).

    • Amazon EventBridge und Amazon Simple Notification Service — EventBridge ermöglicht es Ihnen, Regeln einzurichten, um zu erkennen, wann Änderungen an den von Ihnen angegebenen AWS Ressourcen vorgenommen werden. Sie können eine Regel erstellen, um zu erkennen, wann ein Benutzer in Ihrer Organisation eine Sitzung startet oder beendet, und dann über Amazon eine Benachrichtigung SNS (z. B. eine Text- oder E-Mail-Nachricht) über das Ereignis erhalten. Sie können ein CloudWatch Ereignis auch so konfigurieren, dass andere Antworten ausgelöst werden. Weitere Informationen finden Sie unter Überwachung der Sitzungsaktivität mit Amazon EventBridge (Konsole).

    Anmerkung

    Die Protokollierung ist nicht für Session Manager Sitzungen verfügbar, bei denen die Verbindung über Portweiterleitung oder hergestellt wirdSSH. Das liegt daran, dass alle Sitzungsdaten SSH verschlüsselt werden und Session Manager nur als Tunnel für SSH Verbindungen dient.

An wen richtet sich Session Manager?

  • Jeder AWS Kunde, der seinen Sicherheits- und Auditstatus verbessern, den betrieblichen Aufwand durch die Zentralisierung der Zugriffskontrolle auf verwalteten Knoten reduzieren und den eingehenden Knotenzugriff reduzieren möchte.

  • Datensicherheitsexperten, die den Zugriff auf und die Aktivität von verwalteten Knoten überwachen und verfolgen möchten, Ports für eingehenden Datenverkehr auf verwalteten Knoten schließen möchten oder Verbindungen mit verwalteten Knoten ohne öffentliche IP-Adresse ermöglichen möchten.

  • Administratoren, die den Zugriff über eine zentrale Stelle gewähren und widerrufen möchten und Benutzern eine einzige Lösung für von Linux, macOS und Windows Server verwaltete Knoten bereitstellen möchten.

  • Benutzer, die mit nur einem Klick im Browser oder AWS CLI ohne Eingabe von Schlüsseln eine Verbindung zu einem verwalteten Knoten herstellen möchten. SSH

Was sind die Hauptfeatures von Session Manager?

  • Support für von Windows Server-, Linux- und macOS- verwaltete Knoten

    Session Managerermöglicht es Ihnen, sichere Verbindungen zu Ihren Amazon Elastic Compute Cloud (EC2) -Instances, Edge-Geräten, lokalen Servern und virtuellen Maschinen (VMs) herzustellen. Eine Liste der unter den jeweiligen Betriebssystemen unterstützten Typen finden Sie unter Einrichten von Session Manager.

    Anmerkung

    Session Manager-Support für On-Premises-Server wird nur für das Advanced-Instances-Kontingent bereitgestellt. Weitere Informationen finden Sie unter Aktivieren des Kontingents für erweiterte Instances.

  • Konsole CLI und SDK Zugriff auf Funktionen Session Manager

    Sie können Session Manager wie folgt nutzen:

    Die AWS Systems Manager -Konsole bietet sowohl Administratoren als auch Endbenutzern Zugriff auf alle Session Manager-Funktionen. Sie können über die Systems Manager-Konsole jede Aufgabe im Zusammenhang mit Ihren Sitzungen ausführen.

    Die EC2 Amazon-Konsole bietet Endbenutzern die Möglichkeit, eine Verbindung zu EC2 Instances herzustellen, für die ihnen Sitzungsberechtigungen erteilt wurden.

    Die AWS CLI beinhaltet den Zugriff auf Session Manager-Funktionen für Endbenutzer. Sie können eine Sitzung starten, eine Liste von Sitzungen anzeigen und eine Sitzung dauerhaft beenden, indem Sie die verwenden AWS CLI.

    Anmerkung

    Um die Befehle AWS CLI to run session verwenden zu können, müssen Sie Version 1.16.12 von CLI (oder höher) verwenden und das Session Manager Plug-in auf Ihrem lokalen Computer installiert haben. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugins für die AWS CLI. Informationen zum Anzeigen des Plug-ins finden Sie GitHub unter. session-manager-plugin

  • IAMZugriffskontrolle

    Mithilfe von IAM Richtlinien können Sie steuern, welche Mitglieder Ihrer Organisation Sitzungen mit verwalteten Knoten initiieren können und auf welche Knoten sie zugreifen können. Sie können auch einen temporären Zugriff auf Ihre verwalteten Knoten bereitstellen. Beispielsweise könnten Sie einem Techniker auf Aufruf (oder einer Gruppe von Technikern auf Abruf) nur für die Dauer ihrer Schicht Zugriff auf Produktionsserver geben.

  • Support für Protokollierungs- und Prüfungsfunktionen

    Session Managerbieten Ihnen Optionen für die Überwachung und Protokollierung von Sitzungsverläufen in Ihrem System AWS-Konto durch die Integration mit einer Reihe von anderen AWS-Services. Weitere Informationen erhalten Sie unter Prüfen von Sitzungsaktivitäten und Sitzungsprotokollierung aktivieren und deaktivieren.

  • Konfigurierbare Shell-Profile

    Session Manager bietet Ihnen Optionen zum Konfigurieren von Voreinstellungen innerhalb von Sitzungen. Mit diesen anpassbaren Profilen können Sie Voreinstellungen wie Shell-Einstellungen, Umgebungsvariablen, Arbeitsverzeichnisse und das Ausführen mehrerer Befehle definieren, wenn eine Sitzung gestartet wird.

  • Support für die Datenverschlüsselung mit dem Kundenschlüssel

    Sie können so konfigurierenSession Manager, dass die Sitzungsdatenprotokolle, die Sie an einen Amazon Simple Storage Service (Amazon S3) -Bucket senden oder in eine CloudWatch Logs-Protokollgruppe streamen, verschlüsselt werden. Sie können Session Manager auch so konfigurieren, dass die Daten, die zwischen Client-Maschinen und Ihren verwalteten Knoten während der Sitzungen übertragen werden, weiter verschlüsselt werden. Weitere Informationen finden Sie unter Sitzungsprotokollierung aktivieren und deaktivieren und Konfigurieren von Sitzungspräferenzen.

  • AWS PrivateLink Unterstützung für verwaltete Knoten ohne öffentliche IP-Adressen

    Sie können auch VPC Endpoints für Systems Manager einrichten, AWS PrivateLink um Ihre Sitzungen weiter zu sichern. AWS PrivateLink begrenzt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Knoten, Systems Manager und Amazon EC2 auf das Amazon-Netzwerk. Weitere Informationen finden Sie unter Verbessern der Sicherheit von EC2 Instanzen mithilfe von VPC Endpunkten für Systems Manager.

  • Tunneling

    Verwenden Sie in einer Sitzung ein Dokument vom Typ Session AWS Systems Manager (SSM), um den Datenverkehr, z. B. http oder ein benutzerdefiniertes Protokoll, zwischen einem lokalen Port auf einem Client-Computer und einem Remote-Port auf einem verwalteten Knoten zu tunneln.

  • Interaktive Befehle

    Erstellen Sie ein SSM Dokument vom Typ Sitzung, das eine Sitzung verwendet, um interaktiv einen einzelnen Befehl auszuführen, sodass Sie verwalten können, was Benutzer auf einem verwalteten Knoten tun können.

Was ist eine Sitzung?

Eine Sitzung ist eine Verbindung zu einem verwalteten Knoten mit Session Manager. Sitzungen basieren auf einem sicheren bidirektionalen Kommunikationskanal zwischen dem Client (Sie) und dem remote verwalteten Knoten, der Eingaben und Ausgaben für Befehle streamt. Der Datenverkehr zwischen einem Client und einem verwalteten Knoten wird mit TLS 1.2 verschlüsselt, und Anfragen zum Herstellen der Verbindung werden mit Sigv4 signiert. Diese bidirektionale Kommunikation ermöglicht interaktive Bash und den PowerShell Zugriff auf verwaltete Knoten. Sie können auch einen Schlüssel AWS Key Management Service (AWS KMS) verwenden, um Daten über die Standardverschlüsselung hinaus weiter zu verschlüsseln. TLS

Angenommen, John ist ein Techniker auf Abruf in Ihrer IT-Abteilung. Er erhält eine Benachrichtigung zu einem Problem, für dessen Bearbeitung er eine Remote-Verbindung mit einem verwalteten Knoten herstellen muss, beispielsweise einem Ausfall, der behoben werden muss, oder eine Anweisung, eine einfache Konfigurationsoption für einen Knoten zu ändern. Mithilfe der AWS Systems Manager Konsole, der EC2 Amazon-Konsole oder der startet John eine Sitzung AWS CLI, die ihn mit dem verwalteten Knoten verbindet, führt Befehle auf dem Knoten aus, die für die Ausführung der Aufgabe erforderlich sind, und beendet dann die Sitzung.

Wenn John den ersten Befehl zum Starten der Sitzung sendet, authentifiziert der Session Manager Dienst seine ID, überprüft die ihm durch eine IAM Richtlinie gewährten Berechtigungen, überprüft die Konfigurationseinstellungen (z. B. die Überprüfung der zulässigen Grenzwerte für die Sitzungen) und sendet eine Nachricht an, SSM Agent um die bidirektionale Verbindung zu öffnen. Nach der Herstellung der Verbindung und der Eingabe des nächsten Befehls durch John wird die Befehlsausgabe aus SSM Agent zu diesem Kommunikationskanal hochgeladen und zurück an Johns lokalen Computer gesendet.