AWS Systems Manager Session Manager - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Systems Manager Session Manager

Session Manager ist eine vollständig verwaltete AWS Systems Manager Funktion. Mit Session Manager können Sie Ihre Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Edge-Geräte, On-Premises-Server und virtuelle Maschinen (VM) verwalten. Sie können entweder eine interaktive browserbasierte One-Click-Shell oder die AWS Command Line Interface () verwenden AWS CLI. Session Manager bietet eine sichere und überprüfbare Knotenverwaltung, ohne dass eingehende Ports geöffnet, Bastion-Hosts gewartet oder SSH-Schlüssel verwaltet werden müssen. ermöglicht es Ihnen Session Manager auch, Unternehmensrichtlinien einzuhalten, die einen kontrollierten Zugriff auf verwaltete Knoten, strenge Sicherheitspraktiken und vollständig überprüfbare Protokolle mit Knotenzugriffsdetails erfordern, und gleichzeitig Endbenutzern einen einfachen plattformübergreifenden Zugriff mit einem Klick auf Ihre verwalteten Knoten zu bieten. Um mit Session Manager zu beginnen, öffnen Sie die Systems-Manager-Konsole. Wählen Sie im Navigationsbereich Session Manager aus.

Welche Vorteile bietet Session Manager meiner Organisation?

Session Manager bietet die folgenden Vorteile:

  • Zentralisierte Kontrolle des Zugriffs auf verwaltete Knoten mit IAM-Richtlinien

    Administratoren erhalten eine zentrale Stelle zum Erteilen und Widerrufen des Zugriffs auf verwaltete Knoten. Mit nur AWS Identity and Access Management (IAM)-Richtlinien können Sie steuern, welche einzelnen Benutzer oder Gruppen in Ihrer Organisation verwenden können Session Manager und auf welche verwalteten Knoten sie zugreifen können.

  • Keine offenen Ports für eingehenden Datenverkehr und keine Notwendigkeit für die Verwaltung von Bastion-Hosts oder SSH-Ports

    Wenn Sie SSH-Ports für eingehenden Datenverkehr und PowerShell-Remote Ports auf Ihren verwalteten Knoten geöffnet lassen, besteht ein höheres Risiko, dass juristische Stellen nicht autorisierte oder böswillige Befehle auf den verwalteten Knoten ausführen. Session Manager unterstützt Sie bei der Verbesserung des Sicherheitsstatus, da Sie diese Ports für eingehenden Datenverkehr schließen können. Dies befreit Sie von der Notwendigkeit, SSH-Schlüssel und -Zertifikate, Bastion-Hosts und Jumpboxes verwalten zu müssen.

  • One-Click-Zugriff auf verwaltete Knoten über die Konsole und die CLI

    Mit der - AWS Systems Manager Konsole oder der Amazon EC2-Konsole können Sie eine Sitzung mit einem einzigen Klick starten. Mit der können Sie auch eine Sitzung starten AWS CLI, die einen einzelnen Befehl oder eine Abfolge von Befehlen ausführt. Da Berechtigungen für verwaltete Knoten durch IAM-Richtlinien und nicht von SSH-Schlüsseln oder anderen Mechanismen bereitgestellt werden, wird die Verbindungszeit stark reduziert.

  • Herstellen einer Verbindung mit Amazon-EC2-Instances und Nicht-EC2-verwalteten Knoten in Hybrid- und Multi-Cloud-Umgebungen

    Sie können sich sowohl mit Instances der Amazon Elastic Compute Cloud (Amazon EC2) als auch mit Nicht-EC2-Knoten in Ihrer Hybrid- und Multi-Cloud-Umgebung verbinden.

    Um über Session Manager eine Verbindung zu Nicht-EC2-Knoten herzustellen, müssen Sie zunächst die Advanced-Instances-Kontingente aktivieren. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Für die Verbindung mit EC2-Instances über Session Manager fallen jedoch keine zusätzlichen Gebühren an. Weitere Informationen finden Sie unter Konfigurieren von Instance-Kontingenten.

  • Port-Weiterleitung

    Leiten Sie jeden Port in Ihrem verwalteten Knoten an einen lokalen Port auf einem Client um. Stellen Sie danach eine Verbindung mit dem lokalen Port her und greifen Sie auf die Serveranwendung zu, die in dem Knoten ausgeführt wird.

  • Plattformübergreifende Unterstützung für Windows, Linux und macOS

    Session Manager unterstützt in einem einzigen Tool sowohl Windows, Linux als auch macOS. Sie müssen beispielsweise keinen SSH-Client für Linux- und macOS-verwaltete Knoten oder eine RDP-Verbindung für Windows Server-verwaltete Knoten verwenden.

  • Protokollierung und Prüfung von Sitzungsaktivitäten

    Um betriebs- oder sicherheitsbezogene Anforderungen in Ihrer Organisation zu erfüllen, müssen Sie möglicherweise eine Aufzeichnung der Verbindungen bereitstellen, die mit Ihren verwalteten Knoten hergestellt wurden, und der Befehle, die auf ihnen ausgeführt wurden. Sie können auch Benachrichtigungen empfangen, wenn ein Benutzer in Ihrer Organisation Sitzungsaktivitäten startet oder beendet.

    Die Funktionen für Protokollierung und Prüfung werden durch die Integration mit den folgenden AWS-Services bereitgestellt:

    • AWS CloudTrail – AWS CloudTrail erfasst Informationen zu Session Manager API-Aufrufen in Ihrem AWS-Konto und schreibt sie in Protokolldateien, die in einem von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3)-Bucket gespeichert sind. Ein Bucket wird für alle CloudTrail Protokolle für Ihr Konto verwendet. Weitere Informationen finden Sie unter Protokollieren von AWS Systems Manager API-Aufrufen mit AWS CloudTrail.

    • Amazon Simple Storage Service – Sie können Sitzungsprotokolldaten zu Debugging-Zwecken in einem Amazon S3-Bucket Ihrer Wahl speichern. Protokolldaten können mit oder ohne Verschlüsselung über Ihren AWS KMS key an Ihren Amazon S3-Bucket gesendet werden. Weitere Informationen finden Sie unter Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole).

    • Amazon CloudWatch Logs – Mit - CloudWatch Protokollen können Sie Protokolldateien aus verschiedenen überwachen, speichern und darauf zugreifen AWS-Services. Sie können Sitzungsprotokolldaten zu Debugging- und Fehlerbehebungszwecken an eine CloudWatch Logs-Protokollgruppe senden. Protokolldaten können mit oder ohne AWS KMS Verschlüsselung mit Ihrem KMS-Schlüssel an Ihre Protokollgruppe gesendet werden. Weitere Informationen finden Sie unter Protokollieren von Sitzungsdaten mit Amazon CloudWatch Logs (Konsole).

    • Amazon EventBridge und Amazon Simple Notification Service – EventBridge ermöglicht es Ihnen, Regeln einzurichten, um zu erkennen, wann Änderungen an von Ihnen angegebenen AWS Ressourcen auftreten. Sie können eine Regel erstellen, um zu erkennen, wenn ein Benutzer in Ihrer Organisation eine Sitzung startet oder anhält. Anschließend können Sie über Amazon SNS eine Benachrichtigung (z. B. eine Text- oder E-Mail-Nachricht) über das Ereignis erhalten. Sie können ein CloudWatch Ereignis auch so konfigurieren, dass andere Antworten ausgelöst werden. Weitere Informationen finden Sie unter Überwachen der Sitzungsaktivität mithilfe von Amazon EventBridge (Konsole) .

    Anmerkung

    Protokollieren ist für Session Manager-Sitzungen, die eine Verbindung über Port-Weiterleitung oder SSH herstellen, nicht verfügbar. Dies liegt daran, dass SSH alle Sitzungsdaten verschlüsselt und Session Managernur als Tunnel für SSH-Verbindungen dient.

An wen richtet sich Session Manager?

  • Alle AWS Kunden, die ihre Sicherheit und Prüfung verbessern, den betrieblichen Aufwand reduzieren möchten, indem sie die Zugriffskontrolle auf verwaltete Knoten zentralisieren und den eingehenden Knotenzugriff reduzieren.

  • Datensicherheitsexperten, die den Zugriff auf und die Aktivität von verwalteten Knoten überwachen und verfolgen möchten, Ports für eingehenden Datenverkehr auf verwalteten Knoten schließen möchten oder Verbindungen mit verwalteten Knoten ohne öffentliche IP-Adresse ermöglichen möchten.

  • Administratoren, die den Zugriff über eine zentrale Stelle gewähren und widerrufen möchten und Benutzern eine einzige Lösung für von Linux, macOS und Windows Server verwaltete Knoten bereitstellen möchten.

  • Benutzer, die mit nur einem Klick aus dem Browser oder AWS CLI ohne Angabe von SSH-Schlüsseln eine Verbindung zu einem verwalteten Knoten herstellen möchten.

Was sind die Hauptfeatures von Session Manager?

  • Support für von Windows Server-, Linux- und macOS- verwaltete Knoten

    Mit Session Manager können Sie sichere Verbindungen zu Amazon Elastic Compute Cloud (EC2)-Instances, Edge-Geräten, On-Premises-Servern und virtuellen Maschinen (VM) herstellen. Eine Liste der unter den jeweiligen Betriebssystemen unterstützten Typen finden Sie unter Einrichten von Session Manager.

    Anmerkung

    Session Manager-Support für On-Premises-Server wird nur für das Advanced-Instances-Kontingent bereitgestellt. Weitere Informationen finden Sie unter Aktivieren des Kontingents für erweiterte Instances.

  • Zugriff auf Session Manager-Funktionen über Konsole, CLI und SDK

    Sie können Session Manager wie folgt nutzen:

    Die AWS Systems Manager -Konsole bietet sowohl Administratoren als auch Endbenutzern Zugriff auf alle Session Manager-Funktionen. Sie können über die Systems Manager-Konsole jede Aufgabe im Zusammenhang mit Ihren Sitzungen ausführen.

    Die Amazon-EC2-Konsole bietet Endbenutzern die Möglichkeit, eine Verbindung zu den EC2-Instances herzustellen, für die sie Sitzungsberechtigungen erhalten haben.

    Die AWS CLI beinhaltet den Zugriff auf Session Manager-Funktionen für Endbenutzer. Sie können eine Sitzung starten, eine Liste von Sitzungen anzeigen und eine Sitzung dauerhaft beenden, indem Sie die verwenden AWS CLI.

    Anmerkung

    Um die AWS CLI zum Ausführen von Sitzungsbefehlen zu verwenden, müssen Sie Version 1.16.12 der -CLI (oder höher) verwenden und das Session ManagerPlugin auf Ihrem lokalen Computer installiert haben. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugins für die AWS CLI. Informationen zum Anzeigen des Plugins auf GitHubfinden Sie unter session-manager-plugin.

  • IAM-Zugriffskontrolle

    Mithilfe von IAM-Richtlinien können Sie steuern, welche Mitglieder Ihrer Organisation Sitzungen mit verwalteten Knoten starten können und auf welche Knoten sie zugreifen können. Sie können auch einen temporären Zugriff auf Ihre verwalteten Knoten bereitstellen. Beispielsweise könnten Sie einem Techniker auf Aufruf (oder einer Gruppe von Technikern auf Abruf) nur für die Dauer ihrer Schicht Zugriff auf Produktionsserver geben.

  • Support für Protokollierungs- und Prüfungsfunktionen

    Session Manager bieten Ihnen Optionen für die Prüfung und Protokollierung von Sitzungsverläufen in Ihrem AWS-Konto durch Integration mit einer Reihe anderer AWS-Services. Weitere Informationen finden Sie unter Prüfen von Sitzungsaktivitäten und Protokollierung von Sitzungsaktivitäten aktivieren und deaktivieren.

  • Konfigurierbare Shell-Profile

    Session Manager bietet Ihnen Optionen zum Konfigurieren von Voreinstellungen innerhalb von Sitzungen. Mit diesen anpassbaren Profilen können Sie Voreinstellungen wie Shell-Einstellungen, Umgebungsvariablen, Arbeitsverzeichnisse und das Ausführen mehrerer Befehle definieren, wenn eine Sitzung gestartet wird.

  • Support für die Datenverschlüsselung mit dem Kundenschlüssel

    Sie können Session Manager so konfigurieren, dass die Sitzungsdatenprotokolle verschlüsselt werden, die Sie an einen Amazon Simple Storage Service (Amazon S3)-Bucket senden oder an eine CloudWatch Logs-Protokollgruppe streamen. Sie können Session Manager auch so konfigurieren, dass die Daten, die zwischen Client-Maschinen und Ihren verwalteten Knoten während der Sitzungen übertragen werden, weiter verschlüsselt werden. Weitere Informationen finden Sie unter Protokollierung von Sitzungsaktivitäten aktivieren und deaktivieren und Konfigurieren von Sitzungspräferenzen.

  • AWS PrivateLink -Unterstützung für verwaltete Knoten ohne öffentliche IP-Adressen

    Sie können auch VPC-Endpunkte für Systems Manager mit einrichten, AWS PrivateLink um Ihre Sitzungen weiter zu sichern. AWS PrivateLink begrenzt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Knoten, Systems Manager und Amazon EC2 auf das Amazon-Netzwerk. Weitere Informationen finden Sie unter Erstellen von VPC-Endpunkten.

  • Tunneling

    Verwenden Sie in einer Sitzung ein SSM-Dokument AWS Systems Manager (Session-Type), um den Datenverkehr, z. B. HTTP oder ein benutzerdefiniertes Protokoll, zwischen einem lokalen Port auf einem Client-Computer und einem Remote-Port auf einem verwalteten Knoten zu tunneln.

  • Interaktive Befehle

    Erstellen Sie ein SSM-Dokument vom Typ Session, das eine Sitzung verwendet, um interaktiv einen einzelnen Befehl auszuführen, sodass Sie verwalten können, was Benutzer auf einem verwalteten Knoten tun können.

Was ist eine Sitzung?

Eine Sitzung ist eine Verbindung zu einem verwalteten Knoten mit Session Manager. Sitzungen basieren auf einem sicheren bidirektionalen Kommunikationskanal zwischen dem Client (Sie) und dem remote verwalteten Knoten, der Eingaben und Ausgaben für Befehle streamt. Der Datenverkehr zwischen einem Client und einem verwalteten Knoten wird mit TLS 1.2 verschlüsselt. Anforderungen zum Aufbau der Verbindung werden mit Sigv4 signiert. Diese bidirektionale Kommunikation ermöglicht interaktiven Bash und PowerShell Zugriff auf verwaltete Knoten. Sie können auch einen AWS Key Management Service (AWS KMS) verwenden, um Daten über die standardmäßige TLS-Verschlüsselung hinaus zu verschlüsseln.

Angenommen, John ist ein Techniker auf Abruf in Ihrer IT-Abteilung. Er erhält eine Benachrichtigung zu einem Problem, für dessen Bearbeitung er eine Remote-Verbindung mit einem verwalteten Knoten herstellen muss, beispielsweise einem Ausfall, der behoben werden muss, oder eine Anweisung, eine einfache Konfigurationsoption für einen Knoten zu ändern. Mit der AWS Systems Manager Konsole, der Amazon EC2-Konsole oder der AWS CLI, startet John eine Sitzung, die ihn mit dem verwalteten Knoten verbindet, führt Befehle auf dem Knoten aus, die zum Abschließen der Aufgabe erforderlich sind, und beendet dann die Sitzung.

Wenn John den Befehl zum Starten der Sitzung sendet, authentifiziert der Session Manager-Service seine ID, überprüft die ihm von einer IAM-Richtlinie gewährten Berechtigungen, prüft Konfigurationseinstellungen (z. B. die zulässigen Limits für die Sitzungen) und sendet eine Nachricht an, SSM Agent, um die Zwei-Wege-Verbindung zu öffnen. Nach der Herstellung der Verbindung und der Eingabe des nächsten Befehls durch John wird die Befehlsausgabe aus SSM Agent zu diesem Kommunikationskanal hochgeladen und zurück an Johns lokalen Computer gesendet.