AWS Systems Manager Session Manager - AWS Systems Manager

AWS Systems Manager Session Manager

Session Manager ist eine vollständig verwaltete AWS Systems Manager-Funktion. Mit Session Manager können Sie Ihre Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Edge-Geräte und On-Premises-Server und virtuelle Maschinen (VMs) verwalten. Sie können entweder eine browserbasierte interaktive One-Click-Shell oder die AWS Command Line Interface (AWS CLI) verwenden. Session Manager bietet eine sichere und prüfbare Knoten-Verwaltung, ohne dass eingehende Ports geöffnet, Bastion-Hosts gewartet oder SSH-Schlüssel verwaltet werden müssen. Session Manager vereinfacht auch die Einhaltung von Unternehmensrichtlinien, die einen kontrollierten Zugriff auf verwaltete Knoten, strenge Sicherheitsverfahren und vollständig prüfbare Protokolle mit Knoten-Zugriffsdetails vorschreiben, und bietet den Endbenutzern gleichzeitig immer noch einen einfachen plattformübergreifenden Zugriff auf Ihre verwaltete Knoten mit einem Klick. Um mit Session Manager zu beginnen, öffnen Sie die Systems-Manager-Konsole. Wählen Sie im Navigationsbereich Session Manager aus.

Welche Vorteile bietet Session Manager meiner Organisation?

Session Manager bietet die folgenden Vorteile:

  • Zentralisierte Kontrolle des Zugriffs auf verwaltete Knoten mit IAM-Richtlinien

    Administratoren erhalten eine zentrale Stelle zum Erteilen und Widerrufen des Zugriffs auf verwaltete Knoten. Mithilfe von AWS Identity and Access Management (IAM)-Richtlinien allein können Sie steuern, welche einzelnen Benutzer oder Gruppen in Ihrer Organisation Session Manager verwenden können und auf welche verwaltete Knoten sie zugreifen können.

  • Keine offenen Ports für eingehenden Datenverkehr und keine Notwendigkeit für die Verwaltung von Bastion-Hosts oder SSH-Ports

    Wenn Sie SSH-Ports für eingehenden Datenverkehr und PowerShell-Remote Ports auf Ihren verwalteten Knoten geöffnet lassen, besteht ein höheres Risiko, dass juristische Stellen nicht autorisierte oder böswillige Befehle auf den verwalteten Knoten ausführen. Session Manager unterstützt Sie bei der Verbesserung des Sicherheitsstatus, da Sie diese Ports für eingehenden Datenverkehr schließen können. Dies befreit Sie von der Notwendigkeit, SSH-Schlüssel und -Zertifikate, Bastion-Hosts und Jumpboxes verwalten zu müssen.

  • One-Click-Zugriff auf verwaltete Knoten über die Konsole und die CLI

    Mit der AWS Systems Manager-Konsole oder der Amazon EC2-Konsole können Sie eine Sitzung mit einem einzigen Klick starten. Mit der AWS CLI können Sie auch eine Sitzung starten, die einen einzelnen Befehl oder eine Abfolge von Befehlen ausführt. Da Berechtigungen für verwaltete Knoten durch IAM-Richtlinien und nicht von SSH-Schlüsseln oder anderen Mechanismen bereitgestellt werden, wird die Verbindungszeit stark reduziert.

  • Herstellen einer Verbindung mit Amazon-EC2-Instances und verwalteten Knoten in Hybridumgebungen und der Cloud

    Sie können sich sowohl mit Amazon Elastic Compute Cloud (Amazon EC2)-Instances als auch mit Nicht-EC2-Knoten in Ihrer Hybridumgebung verbinden, einschließlich On-Premises-Server, unterstützter Edge-Geräte und virtueller Maschinen (VMs), die von anderen Cloud-Anbietern bereitgestellt werden.

    Um über Session Manager eine Verbindung zu Nicht-EC2-Knoten herzustellen, müssen Sie zunächst die Advanced-Instances-Kontingente aktivieren. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Für die Verbindung mit EC2-Instances über Session Manager fallen jedoch keine zusätzlichen Gebühren an. Weitere Informationen finden Sie unter Konfigurieren von Instance-Kontingenten.

  • Port-Weiterleitung

    Leiten Sie jeden Port in Ihrem verwalteten Knoten an einen lokalen Port auf einem Client um. Stellen Sie danach eine Verbindung mit dem lokalen Port her und greifen Sie auf die Serveranwendung zu, die in dem Knoten ausgeführt wird.

  • Plattformübergreifende Unterstützung für Windows, Linux und macOS

    Session Manager unterstützt in einem einzigen Tool sowohl Windows als auch Linux und macOS. Sie müssen beispielsweise keinen SSH-Client für Linux- und macOS-verwaltete Knoten oder eine RDP-Verbindung für Windows Server-verwaltete Knoten verwenden.

  • Protokollierung und Prüfung von Sitzungsaktivitäten

    Um betriebs- oder sicherheitsbezogene Anforderungen in Ihrer Organisation zu erfüllen, müssen Sie möglicherweise eine Aufzeichnung der Verbindungen bereitstellen, die mit Ihren verwalteten Knoten hergestellt wurden, und der Befehle, die auf ihnen ausgeführt wurden. Sie können auch Benachrichtigungen empfangen, wenn ein Benutzer in Ihrer Organisation Sitzungsaktivitäten startet oder beendet.

    Die Funktionen für Protokollierung und Prüfung werden durch die Integration mit den folgenden AWS-Services bereitgestellt:

    • AWS CloudTrail – AWS CloudTrail erfasst Informationen zu Session Manager-API-Aufrufen, die in Ihrem AWS-Konto-Konto ausgeführt werden, und schreibt sie in Protokolldateien, die in einem von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3)-Bucket gespeichert werden. Für alle CloudTrail-Protokolle in Ihrem Konto wird nur ein Bucket benötigt. Weitere Informationen finden Sie unter Protokollierung von AWS Systems Manager-API-Aufrufen mit AWS CloudTrail.

    • Amazon Simple Storage Service – Sie können Sitzungsprotokolldaten zu Debugging-Zwecken in einem Amazon S3-Bucket Ihrer Wahl speichern. Protokolldaten können mit oder ohne Verschlüsselung über Ihren AWS KMS key an Ihren Amazon S3-Bucket gesendet werden. Weitere Informationen finden Sie unter Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole).

    • Amazon CloudWatch Logs – CloudWatch Logs ermöglicht Ihnen die Überwachung, die Speicherung und den Zugriff auf Protokolldateien aus verschiedenen AWS-Services. Sie können Sitzungsprotokolldaten zu Debugging- und Fehlerbehebungszwecken an eine CloudWatch Logs-Protokollgruppe senden. Protokolldaten können mit oder ohne AWS KMS-Verschlüsselung über Ihren KMS-Schlüssel an Ihre Protokollgruppe gesendet werden. Weitere Informationen finden Sie unter Protokollieren von Sitzungsdaten mithilfe von Amazon CloudWatch Logs (Konsole).

    • Amazon EventBridge und Amazon Simple Notification Service – EventBridge ermöglicht Ihnen das Einrichten von Regeln, um zu erkennen, wenn Änderungen bei AWS-Ressourcen, die Sie angeben, auftreten. Sie können eine Regel erstellen, um zu erkennen, wenn ein Benutzer in Ihrer Organisation eine Sitzung startet oder anhält. Anschließend können Sie über Amazon SNS eine Benachrichtigung (z. B. eine Text- oder E-Mail-Nachricht) über das Ereignis erhalten. Sie können ein CloudWatch-Ereignis auch zum Auslösen anderer Antworten konfigurieren. Weitere Informationen finden Sie unter Überwachen der Sitzungsaktivität mithilfe von Amazon EventBridge (Konsole) .

    Anmerkung

    Protokollieren ist für Session Manager-Sitzungen, die eine Verbindung über Port-Weiterleitung oder SSH herstellen, nicht verfügbar. Dies liegt daran, dass SSH alle Sitzungsdaten verschlüsselt und Session Managernur als Tunnel für SSH-Verbindungen dient.

An wen richtet sich Session Manager?

  • AWS-Kunden, die den Sicherheitsstatus und die Prüfbarkeit verbessern, die Betriebskosten durch eine zentralisierte Zugriffsteuerung auf verwalteten Knoten reduzieren und den Zugriff auf verwaltete Knoten durch eingehenden Datenverkehr verringern möchten.

  • Datensicherheitsexperten, die den Zugriff auf und die Aktivität von verwalteten Knoten überwachen und verfolgen möchten, Ports für eingehenden Datenverkehr auf verwalteten Knoten schließen möchten oder Verbindungen mit verwalteten Knoten ohne öffentliche IP-Adresse ermöglichen möchten.

  • Administratoren, die den Zugriff über eine zentrale Stelle gewähren und widerrufen möchten und Benutzern eine einzige Lösung für von Linux, macOS und Windows Server verwaltete Knoten bereitstellen möchten.

  • Benutzer, die mit nur einem Klick über den Browser oder die AWS CLI eine Verbindung zu einem verwalteten Knoten herstellen möchten, ohne SSH-Schlüssel angeben zu müssen.

Was sind die Hauptfunktionen von Session Manager?

  • Support für von Windows Server, Linux und macOS verwaltete Knoten

    Mit Session Manager können Sie sichere Verbindungen zu Amazon Elastic Compute Cloud (EC2)-Instances, Edge-Geräten und On-Premises-Servern und virtuellen Maschinen (VMs) einrichten. Eine Liste der unter den jeweiligen Betriebssystemen unterstützten Typen finden Sie unter Einrichten von Session Manager.

    Anmerkung

    Session Manager-Support für On-Premises-Server wird nur für das Advanced-Instances-Kontingent bereitgestellt. Weitere Informationen finden Sie unter Aktivieren des Kontingents für erweiterte Instances.

  • Zugriff auf Session Manager-Funktionen über Konsole, CLI und SDK

    Sie können Session Manager wie folgt nutzen:

    Die AWS Systems Manager-Konsole bietet sowohl Administratoren als auch Endbenutzern Zugriff auf alle Session Manager-Funktionen. Sie können über die Systems Manager-Konsole jede Aufgabe im Zusammenhang mit Ihren Sitzungen ausführen.

    Die Amazon EC2-Konsole bietet Endbenutzern die Möglichkeit, eine Verbindung zu den EC2-Instances herzustellen, für die sie Sitzungsberechtigungen erhalten haben.

    Die AWS CLI beinhaltet den Zugriff auf Session Manager-Funktionen für Endbenutzer. Sie können über die AWS CLI eine Sitzung starten, eine Liste der Sitzungen anzeigen und eine Sitzung dauerhaft beenden.

    Anmerkung

    Um die AWS CLI zum Ausführen von Sitzungsbefehlen zu verwenden, müssen Sie (mindestens) die Version 1.16.12 der CLI verwenden. Außerdem muss der Session Manager-Plug-In auf Ihrem lokalen Computer installiert sein. Weitere Informationen finden Sie unter (Optional) Installieren des Session Manager-Plug-In für die AWS CLI.

    Das Session Manager-SDK enthält Bibliotheken und Beispielcode, mit dem Anwendungsentwickler Frontend-Anwendungen wie benutzerdefinierte Shells oder Self-Service-Portale für interne Benutzer entwickeln können, die Session Manager nativ für die Verbindung mit verwalteten Knoten verwenden. Entwickler und Partner können über die Session Manager-APIs Session Manager in ihre clientseitigen Tools oder Automatisierungs-Workflows integrieren. Sie können sogar benutzerdefinierte Lösungen erstellen.

  • IAM-Zugriffskontrolle

    Mithilfe von IAM-Richtlinien können Sie steuern, welche Mitglieder Ihrer Organisation Sitzungen mit verwalteten Knoten starten können und auf welche Knoten sie zugreifen können. Sie können auch einen temporären Zugriff auf Ihre verwalteten Knoten bereitstellen. Beispielsweise könnten Sie einem Techniker auf Aufruf (oder einer Gruppe von Technikern auf Abruf) nur für die Dauer ihrer Schicht Zugriff auf Produktionsserver geben.

  • Support für Protokollierungs- und Prüfungsfunktionen

    Session Manager stellt Ihnen für die Prüfung und Protokollierung von Sitzungsverläufen in Ihrem AWS-Konto durch die Integration mit einer Reihe anderer AWS-Services verschiedene Optionen bereit. Weitere Informationen finden Sie unter Prüfen von Sitzungsaktivitäten und Protokollieren von Sitzungsaktivitäten.

  • Konfigurierbare Shell-Profile

    Session Manager bietet Ihnen Optionen zum Konfigurieren von Voreinstellungen innerhalb von Sitzungen. Mit diesen anpassbaren Profilen können Sie Voreinstellungen wie Shell-Einstellungen, Umgebungsvariablen, Arbeitsverzeichnisse und das Ausführen mehrerer Befehle definieren, wenn eine Sitzung gestartet wird.

  • Support für die Datenverschlüsselung mit dem Kundenschlüssel

    Sie können Session Manager so konfigurieren, dass es die Protokolle der Sitzungsdaten, die an einen Amazon Simple Storage Service (Amazon S3)-Bucket gesendet oder an eine CloudWatch Logs-Protokollgruppe gestreamt werden, verschlüsselt. Sie können Session Manager auch so konfigurieren, dass die Daten, die zwischen Client-Maschinen und Ihren verwalteten Knoten während der Sitzungen übertragen werden, weiter verschlüsselt werden. Weitere Informationen finden Sie unter Protokollieren von Sitzungsaktivitäten und Konfigurieren von Sitzungspräferenzen.

  • AWS PrivateLink-Support für verwaltete Knoten ohne öffentliche IP-Adressen

    Sie können auch VPC-Endpunkte für Systems Manager mithilfe von AWS PrivateLink einrichten, um Ihre Sitzungen weiter zu sichern. AWS PrivateLink begrenzt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Knoten, Systems Manager und Amazon EC2 auf das Amazon-Netzwerk. Weitere Informationen finden Sie unter (Recommended) Create a VPC endpoint ((Empfohlen) Erstellen eines VPC-Endpunkts).

  • Tunneling

    Verwenden Sie in einer Sitzung ein AWS Systems Manager (SSM)-Dokument vom Typ Session, um Datenverkehr, z. B. http oder ein benutzerdefiniertes Protokoll, zwischen einem lokalen Port auf einer Client-Maschine und einem Remote-Port auf einem verwalteten Knoten zu tunneln.

  • Interaktive Befehle

    Erstellen Sie ein SSM-Dokument vom Typ Session, das eine Sitzung verwendet, um interaktiv einen einzelnen Befehl auszuführen, sodass Sie verwalten können, was Benutzer auf einem verwalteten Knoten tun können.

Was ist eine Sitzung?

Eine Sitzung ist eine Verbindung zu einem verwalteten Knoten mit Session Manager. Sitzungen basieren auf einem sicheren bidirektionalen Kommunikationskanal zwischen dem Client (Sie) und dem remote verwalteten Knoten, der Eingaben und Ausgaben für Befehle streamt. Der Datenverkehr zwischen einem Client und einem verwalteten Knoten wird mit TLS 1.2 verschlüsselt. Anforderungen zum Aufbau der Verbindung werden mit Sigv4 signiert. Diese bidirektionale Kommunikation ermöglicht den interaktiven Bash- und PowerShell-Zugriff auf verwaltete Knoten. Sie können auch einen AWS Key Management Service (AWS KMS) verwenden, um Daten über die standardmäßige TLS-Verschlüsselung hinaus zu verschlüsseln.

Angenommen, John ist ein Techniker auf Abruf in Ihrer IT-Abteilung. Er erhält eine Benachrichtigung zu einem Problem, für dessen Bearbeitung er eine Remote-Verbindung mit einem verwalteten Knoten herstellen muss, beispielsweise einem Ausfall, der behoben werden muss, oder eine Anweisung, eine einfache Konfigurationsoption für einen Knoten zu ändern. Mit Hilfe der AWS Systems Manager-Konsole, der Amazon-EC2-Konsole oder der AWS CLI, startet John eine Sitzung, die ihn mit dem verwalteten Knoten verbindet, führt Befehle auf dem Knoten aus, die zur Ausführung der Aufgabe benötigt werden, und beendet dann die Sitzung.

Wenn John den Befehl zum Starten der Sitzung sendet, authentifiziert der Session Manager-Service seine ID, überprüft die ihm von einer IAM-Richtlinie gewährten Berechtigungen, prüft Konfigurationseinstellungen (z. B. die zulässigen Limits für die Sitzungen) und sendet eine Nachricht an, SSM Agent, um die Zwei-Wege-Verbindung zu öffnen. Nach der Herstellung der Verbindung und der Eingabe des nächsten Befehls durch John wird die Befehlsausgabe aus SSM Agent zu diesem Kommunikationskanal hochgeladen und zurück an Johns lokalen Computer gesendet.