• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Systems Manager Session Manager
Session Managerist ein vollständig verwaltetes AWS Systems Manager Tool. Mit Session Manager können Sie Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Instances, Edge-Geräte, lokalen Server und virtuellen Maschinen (VMs) verwalten. Sie können entweder eine interaktive browserbasierte Shell mit einem Klick oder die () verwenden. AWS Command Line Interface AWS CLISession Managerbietet sicheres Knotenmanagement, ohne dass eingehende Ports geöffnet, Bastion-Hosts verwaltet oder SSH-Schlüssel verwaltet werden müssen. Session Managerermöglicht Ihnen außerdem die Einhaltung von Unternehmensrichtlinien, die einen kontrollierten Zugriff auf verwaltete Knoten, strenge Sicherheitspraktiken und Protokolle mit Knotenzugriffsdetails vorschreiben, und bietet Endbenutzern gleichzeitig einen einfachen plattformübergreifenden Zugriff mit nur einem Klick auf Ihre verwalteten Knoten. Um mit Session Manager zu beginnen, öffnen Sie die [Systems-Manager-Konsole](https://console.aws.amazon.com/systems-manager/session-manager). Wählen Sie im Navigationsbereich **Session Manager** aus.
## Welche Vorteile bietet Session Manager meiner Organisation?
Session Manager bietet die folgenden Vorteile:
+ **Zentralisierte Kontrolle des Zugriffs auf verwaltete Knoten mit IAM-Richtlinien**
Administratoren erhalten eine zentrale Stelle zum Erteilen und Widerrufen des Zugriffs auf verwaltete Knoten. Wenn Sie ausschließlich AWS Identity and Access Management (IAM-) Richtlinien verwenden, können Sie steuern, welche einzelnen Benutzer oder Gruppen in Ihrem Unternehmen Zugriff darauf haben Session Manager und auf welche verwalteten Knoten sie zugreifen können.
+ **Keine offenen Ports für eingehenden Datenverkehr und keine Notwendigkeit für die Verwaltung von Bastion-Hosts oder SSH-Ports**
Wenn Sie SSH-Ports für eingehenden Datenverkehr und PowerShell-Remote Ports auf Ihren verwalteten Knoten geöffnet lassen, besteht ein höheres Risiko, dass juristische Stellen nicht autorisierte oder böswillige Befehle auf den verwalteten Knoten ausführen. Session Manager unterstützt Sie bei der Verbesserung des Sicherheitsstatus, da Sie diese Ports für eingehenden Datenverkehr schließen können. Dies befreit Sie von der Notwendigkeit, SSH-Schlüssel und -Zertifikate, Bastion-Hosts und Jumpboxes verwalten zu müssen.
+ **One-Click-Zugriff auf verwaltete Knoten über die Konsole und die CLI**
Mit der AWS Systems Manager Konsole oder der Amazon EC2 EC2-Konsole können Sie eine Sitzung mit einem einzigen Klick starten. Mit dem AWS CLI können Sie auch eine Sitzung starten, die einen einzelnen Befehl oder eine Befehlsfolge ausführt. Da Berechtigungen für verwaltete Knoten durch IAM-Richtlinien und nicht von SSH-Schlüsseln oder anderen Mechanismen bereitgestellt werden, wird die Verbindungszeit stark reduziert.
+ **Herstellen einer Verbindung mit Amazon-EC2-Instances und Nicht-EC2-verwalteten Knoten in [Hybrid- und Multi-Cloud](operating-systems-and-machine-types.md#supported-machine-types)-Umgebungen**
Sie können sich sowohl mit Instances der Amazon Elastic Compute Cloud (Amazon EC2) als auch mit Nicht-EC2-Knoten in Ihrer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types) verbinden.
Um über Session Manager eine Verbindung zu Nicht-EC2-Knoten herzustellen, müssen Sie zunächst die Advanced-Instances-Kontingente aktivieren. **Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig.** Für die Verbindung mit EC2-Instances über Session Manager fallen jedoch keine zusätzlichen Gebühren an. Weitere Informationen finden Sie unter [Konfigurieren von Instance-Kontingenten](fleet-manager-configure-instance-tiers.md).
+ **Port-Weiterleitung**
Leiten Sie jeden Port in Ihrem verwalteten Knoten an einen lokalen Port auf einem Client um. Stellen Sie danach eine Verbindung mit dem lokalen Port her und greifen Sie auf die Serveranwendung zu, die in dem Knoten ausgeführt wird.
+ **Plattformübergreifende Unterstützung für Windows, Linux und macOS**
Session Manager unterstützt in einem einzigen Tool sowohl Windows, Linux als auch macOS. Sie müssen beispielsweise keinen SSH-Client für Linux- und macOS-verwaltete Knoten oder eine RDP-Verbindung für Windows Server-verwaltete Knoten verwenden.
+ **Protokollieren von Sitzungsaktivitäten**
Um betriebs- oder sicherheitsbezogene Anforderungen in Ihrer Organisation zu erfüllen, müssen Sie möglicherweise eine Aufzeichnung der Verbindungen bereitstellen, die mit Ihren verwalteten Knoten hergestellt wurden, und der Befehle, die auf ihnen ausgeführt wurden. Sie können auch Benachrichtigungen empfangen, wenn ein Benutzer in Ihrer Organisation Sitzungsaktivitäten startet oder beendet.
Die Funktionen für Protokollierung werden durch die Integration mit den folgenden AWS-Services bereitgestellt:
+ **AWS CloudTrail**— AWS CloudTrail erfasst Informationen über Session Manager API-Aufrufe in Ihrem AWS-Konto und schreibt sie in Protokolldateien, die in einem von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3) -Bucket gespeichert werden. Ein Bucket wird für alle CloudTrail Protokolle Ihres Kontos verwendet. Weitere Informationen finden Sie unter [AWS Systems Manager API-Aufrufe protokollieren mit AWS CloudTrail](monitoring-cloudtrail-logs.md).
+ **Amazon Simple Storage Service** – Sie können Sitzungsprotokolldaten zu Debugging-Zwecken in einem Amazon S3-Bucket Ihrer Wahl speichern. Protokolldaten können mit oder ohne Verschlüsselung über Ihren AWS KMS key an Ihren Amazon S3-Bucket gesendet werden. Weitere Informationen finden Sie unter [Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole)](session-manager-logging-s3.md).
+ **Amazon CloudWatch Logs** — CloudWatch Logs ermöglicht es Ihnen, Protokolldateien aus verschiedenen Quellen zu überwachen, zu speichern und darauf zuzugreifen AWS-Services. Sie können Sitzungsprotokolldaten zu Debugging- und Fehlerbehebungszwecken an eine CloudWatch Logs-Protokollgruppe senden. Protokolldaten können mit oder ohne AWS KMS Verschlüsselung mit Ihrem KMS-Schlüssel an Ihre Protokollgruppe gesendet werden. Weitere Informationen finden Sie unter [Protokollierung von Sitzungsdaten mit Amazon CloudWatch Logs (Konsole)](session-manager-logging-cloudwatch-logs.md).
+ **Amazon EventBridge** und **Amazon Simple Notification Service** — EventBridge ermöglicht es Ihnen, Regeln einzurichten, um zu erkennen, wann Änderungen an den von Ihnen angegebenen AWS Ressourcen vorgenommen werden. Sie können eine Regel erstellen, um zu erkennen, wenn ein Benutzer in Ihrer Organisation eine Sitzung startet oder anhält. Anschließend können Sie über Amazon SNS eine Benachrichtigung (z. B. eine Text- oder E-Mail-Nachricht) über das Ereignis erhalten. Sie können ein CloudWatch Ereignis auch so konfigurieren, dass es andere Antworten auslöst. Weitere Informationen finden Sie unter [Überwachung der Sitzungsaktivität mit Amazon EventBridge (Konsole)](session-manager-auditing.md#session-manager-auditing-eventbridge-events).
**Anmerkung**
Protokollieren ist für Session Manager-Sitzungen, die eine Verbindung über Port-Weiterleitung oder SSH herstellen, nicht verfügbar. Dies liegt daran, dass SSH alle Sitzungsdaten innerhalb der sicheren TLS-Verbindung zwischen den Endpunkten AWS CLI und den Session Manager Endpunkten verschlüsselt und Session Manager nur als Tunnel für SSH-Verbindungen dient.
## An wen richtet sich Session Manager?
+ Jeder AWS Kunde, der seine Sicherheitslage verbessern, den betrieblichen Aufwand durch die Zentralisierung der Zugriffskontrolle auf verwalteten Knoten reduzieren und den eingehenden Knotenzugriff reduzieren möchte.
+ Datensicherheitsexperten, die den Zugriff auf und die Aktivität von verwalteten Knoten überwachen und verfolgen möchten, Ports für eingehenden Datenverkehr auf verwalteten Knoten schließen möchten oder Verbindungen mit verwalteten Knoten ohne öffentliche IP-Adresse ermöglichen möchten.
+ Administratoren, die den Zugriff über eine zentrale Stelle gewähren und widerrufen möchten und Benutzern eine einzige Lösung für von Linux, macOS und Windows Server verwaltete Knoten bereitstellen möchten.
+ Benutzer, die mit nur einem Klick im Browser oder AWS CLI ohne Angabe von SSH-Schlüsseln eine Verbindung zu einem verwalteten Knoten herstellen möchten.
## Was sind die Hauptfeatures von Session Manager?
+ **Support für von Windows Server-, Linux- und macOS- verwaltete Knoten**
Session Managerermöglicht es Ihnen, sichere Verbindungen zu Ihren Amazon Elastic Compute Cloud (EC2) -Instances, Edge-Geräten, lokalen Servern und virtuellen Maschinen (VMs) herzustellen. Eine Liste der unter den jeweiligen Betriebssystemen unterstützten Typen finden Sie unter [Einrichten von Session Manager](session-manager-getting-started.md).
**Anmerkung**
Session Manager-Support für On-Premises-Server wird nur für das Advanced-Instances-Kontingent bereitgestellt. Weitere Informationen finden Sie unter [Aktivieren des Kontingents für erweiterte Instances](fleet-manager-enable-advanced-instances-tier.md).
+ **Zugriff auf Session Manager-Funktionen über Konsole, CLI und SDK**
Sie können Session Manager wie folgt nutzen:
Die **AWS Systems Manager -Konsole** bietet sowohl Administratoren als auch Endbenutzern Zugriff auf alle Session Manager-Funktionen. Sie können über die Systems Manager-Konsole jede Aufgabe im Zusammenhang mit Ihren Sitzungen ausführen.
Die Amazon-EC2-Konsole bietet Endbenutzern die Möglichkeit, eine Verbindung zu den EC2-Instances herzustellen, für die sie Sitzungsberechtigungen erhalten haben.
Die **AWS CLI** beinhaltet den Zugriff auf Session Manager-Funktionen für Endbenutzer. Sie können eine Sitzung starten, eine Liste von Sitzungen anzeigen und eine Sitzung dauerhaft beenden, indem Sie die verwenden. AWS CLI
**Anmerkung**
Um die Befehle AWS CLI to run session verwenden zu können, müssen Sie Version 1.16.12 der CLI (oder höher) verwenden und das Session Manager Plugin auf Ihrem lokalen Computer installiert haben. Weitere Informationen finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md). Informationen zum Anzeigen des Plug-ins finden Sie GitHub unter. [session-manager-plugin](https://github.com/aws/session-manager-plugin)
+ **IAM-Zugriffskontrolle**
Mithilfe von IAM-Richtlinien können Sie steuern, welche Mitglieder Ihrer Organisation Sitzungen mit verwalteten Knoten starten können und auf welche Knoten sie zugreifen können. Sie können auch einen temporären Zugriff auf Ihre verwalteten Knoten bereitstellen. Beispielsweise könnten Sie einem Techniker auf Aufruf (oder einer Gruppe von Technikern auf Abruf) nur für die Dauer ihrer Schicht Zugriff auf Produktionsserver geben.
+ **Unterstützung für Protokollierung**
Session Manager stellt Ihnen für die Protokollierung von Sitzungsverläufen in Ihrem AWS-Konto durch die Integration mit einer Reihe anderer AWS-Services verschiedene Optionen bereit. Weitere Informationen erhalten Sie unter [Protokollieren von Sitzungsaktivitäten](session-manager-auditing.md) und [Protokollierung von Sitzungen aktivieren und deaktivieren](session-manager-logging.md).
+ **Konfigurierbare Shell-Profile**
Session Manager bietet Ihnen Optionen zum Konfigurieren von Voreinstellungen innerhalb von Sitzungen. Mit diesen anpassbaren Profilen können Sie Voreinstellungen wie Shell-Einstellungen, Umgebungsvariablen, Arbeitsverzeichnisse und das Ausführen mehrerer Befehle definieren, wenn eine Sitzung gestartet wird.
+ **Support für die Datenverschlüsselung mit dem Kundenschlüssel**
Sie können so konfigurierenSession Manager, dass die Sitzungsdatenprotokolle, die Sie an einen Amazon Simple Storage Service (Amazon S3) -Bucket senden oder in eine CloudWatch Logs-Protokollgruppe streamen, verschlüsselt werden. Sie können Session Manager auch so konfigurieren, dass die Daten, die zwischen Client-Maschinen und Ihren verwalteten Knoten während der Sitzungen übertragen werden, weiter verschlüsselt werden. Weitere Informationen finden Sie unter [Protokollierung von Sitzungen aktivieren und deaktivieren](session-manager-logging.md) und [Konfigurieren von Sitzungspräferenzen](session-manager-getting-started-configure-preferences.md).
+ **AWS PrivateLink Unterstützung für verwaltete Knoten ohne öffentliche IP-Adressen**
Sie können auch VPC-Endpunkte für Systems Manager einrichten, um Ihre Sitzungen weiter AWS PrivateLink zu sichern. AWS PrivateLink begrenzt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Knoten, Systems Manager und Amazon EC2 auf das Amazon-Netzwerk. Weitere Informationen finden Sie unter [Verbessern der Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten für](setup-create-vpc.md) Systems Manager.
+ **Tunneling**
Verwenden Sie in einer Sitzung ein Dokument vom Typ Sitzung AWS Systems Manager (SSM), um den Datenverkehr, z. B. http oder ein benutzerdefiniertes Protokoll, zwischen einem lokalen Port auf einem Client-Computer und einem Remote-Port auf einem verwalteten Knoten zu tunneln.
+ **Interaktive Befehle**
Erstellen Sie ein SSM-Dokument vom Typ Session, das eine Sitzung verwendet, um interaktiv einen einzelnen Befehl auszuführen, sodass Sie verwalten können, was Benutzer auf einem verwalteten Knoten tun können.
## Was ist eine Sitzung?
Eine Sitzung ist eine Verbindung zu einem verwalteten Knoten mit Session Manager. Sitzungen basieren auf einem sicheren bidirektionalen Kommunikationskanal zwischen dem Client (Sie) und dem remote verwalteten Knoten, der Eingaben und Ausgaben für Befehle streamt. Der Datenverkehr zwischen einem Client und einem verwalteten Knoten wird mit TLS 1.2 verschlüsselt. Anforderungen zum Aufbau der Verbindung werden mit Sigv4 signiert. Diese bidirektionale Kommunikation ermöglicht interaktive Bash und PowerShell den Zugriff auf verwaltete Knoten. Sie können auch einen AWS Key Management Service (AWS KMS) -Schlüssel verwenden, um Daten über die standardmäßige TLS-Verschlüsselung hinaus weiter zu verschlüsseln.
Angenommen, John ist ein Techniker auf Abruf in Ihrer IT-Abteilung. Er erhält eine Benachrichtigung zu einem Problem, für dessen Bearbeitung er eine Remote-Verbindung mit einem verwalteten Knoten herstellen muss, beispielsweise einem Ausfall, der behoben werden muss, oder eine Anweisung, eine einfache Konfigurationsoption für einen Knoten zu ändern. Mithilfe der AWS Systems Manager Konsole, der Amazon EC2 EC2-Konsole oder der startet John eine Sitzung AWS CLI, die ihn mit dem verwalteten Knoten verbindet, führt Befehle auf dem Knoten aus, die für die Ausführung der Aufgabe erforderlich sind, und beendet dann die Sitzung.
Wenn John den Befehl zum Starten der Sitzung sendet, authentifiziert der Session Manager-Service seine ID, überprüft die ihm von einer IAM-Richtlinie gewährten Berechtigungen, prüft Konfigurationseinstellungen (z. B. die zulässigen Limits für die Sitzungen) und sendet eine Nachricht an, SSM Agent, um die Zwei-Wege-Verbindung zu öffnen. Nach der Herstellung der Verbindung und der Eingabe des nächsten Befehls durch John wird die Befehlsausgabe aus SSM Agent zu diesem Kommunikationskanal hochgeladen und zurück an Johns lokalen Computer gesendet.
**Topics**
+ [Welche Vorteile bietet Session Manager meiner Organisation?](#session-manager-benefits)
+ [An wen richtet sich Session Manager?](#session-manager-who)
+ [Was sind die Hauptfeatures von Session Manager?](#session-manager-features)
+ [Was ist eine Sitzung?](#what-is-a-session)
+ [Einrichten von Session Manager](session-manager-getting-started.md)
+ [Arbeiten mit Session Manager](session-manager-working-with.md)
+ [Protokollieren von Sitzungsaktivitäten](session-manager-auditing.md)
+ [Protokollierung von Sitzungen aktivieren und deaktivieren](session-manager-logging.md)
+ [Schema des Sitzungsdokuments](session-manager-schema.md)
+ [Fehlerbehebung für Session Manager](session-manager-troubleshooting.md)
# Einrichten von Session Manager
Führen Sie die Schritte in den folgenden Themen aus, bevor Sie AWS Systems Manager Session Manager für die Verbindung mit den verwalteten Knoten in Ihrem Konto verwenden.
**Topics**
+ [Schritt 1: Erfüllen der Session Manager-Voraussetzungen](session-manager-prerequisites.md)
+ [Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager](session-manager-getting-started-instance-profile.md)
+ [Schritt 3: Steuern des Sitzungs-Zugriffs auf verwaltete Knoten](session-manager-getting-started-restrict-access.md)
+ [Schritt 4: Konfigurieren von Sitzungspräferenzen](session-manager-getting-started-configure-preferences.md)
+ [Schritt 5: (Optional) Beschränken des Zugriffs auf Befehle in einer Sitzung](session-manager-restrict-command-access.md)
+ [Schritt 6: (Optional) Verwenden Sie diese Option AWS PrivateLink , um einen VPC-Endpunkt einzurichten für Session Manager](session-manager-getting-started-privatelink.md)
+ [Schritt 7: (Optional) Deaktivieren oder Aktivieren der Administratorberechtigungen für das SSM-Benutzerkonto](session-manager-getting-started-ssm-user-permissions.md)
+ [Schritt 8: (Optional) Berechtigungen für SSH-Verbindungen über Session Manager zulassen und steuern](session-manager-getting-started-enable-ssh-connections.md)
# Schritt 1: Erfüllen der Session Manager-Voraussetzungen
Stellen Sie vor der Verwendung von Session Manager sicher, dass Ihre Umgebung den folgenden Anforderungen entspricht.
**Session Manager-Voraussetzungen**
| Anforderung | Description |
| --- | --- |
| Unterstützte Betriebssysteme | Session Manager unterstützt die Verbindung zu Amazon Elastic Compute Cloud (Amazon EC2)-Instances und Nicht-EC2-Maschinen in Ihrer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types), die das *Advanced-Instances-Kontingent* verwenden. Session Manager unterstützt die folgenden Betriebssystemversionen: Session Manager*unterstützt EC2-Instances, Edge-Geräte sowie lokale Server und virtuelle Maschinen (VMs) in Ihrer [Hybrid- und Multi-Cloud-Umgebung](operating-systems-and-machine-types.md#supported-machine-types), die die Advanced-Instance-Stufe verwenden.* Weitere Informationen über erweiterte Instances finden Sie unter [Konfigurieren von Instance-Kontingenten](fleet-manager-configure-instance-tiers.md). **Linux und **macOS**** Session Managerunterstützt alle Versionen von Linux undmacOS, die von unterstützt werden. AWS Systems Manager Weitere Informationen finden Sie unter [Unterstützte Betriebssysteme und Maschinentypen](operating-systems-and-machine-types.md). ** Windows ** Session Manager unterstützt Windows Server 2012 und höher. Microsoft Windows Server 2016 Nano wird nicht unterstützt. |
| SSM Agent | Auf den verwalteten Knoten, zu denen Sie über Sitzungen eine Verbindung herstellen möchten, muss mindestens AWS Systems Manager SSM Agent Version 2.3.68.0 oder höher installiert sein. Um die Option zum Verschlüsseln von Sitzungsdaten mithilfe eines in AWS Key Management Service (AWS KMS) erstellten Schlüssels verwenden zu können, SSM Agent muss Version 2.3.539.0 oder höher auf dem verwalteten Knoten installiert sein. Um Shell-Profile in einer Sitzung zu verwenden, muss SSM Agent Version 3.0.161.0 oder höher auf dem verwalteten Knoten installiert sein. Um eine Session Manager-Port-Weiterleitung oder SSH-Sitzung zu starten, muss SSM Agent Version 3.0.222.0 oder höher auf dem verwalteten Knoten installiert sein. Um Sitzungsdaten mit Amazon CloudWatch Logs zu streamen, muss SSM Agent Version 3.0.284.0 oder höher auf dem verwalteten Knoten installiert sein. Informationen zum Ermitteln der auf einer Instance ausgeführten Versionsnummer finden Sie unter [Überprüfen der SSM Agent-Versionsnummer](ssm-agent-get-version.md). Informationen über das manuelle Installieren oder automatische Aktualisieren von SSM Agent finden Sie unter [Arbeiten mit SSM Agent](ssm-agent.md). Über das ssm-user-Konto Beginnend mit Version 2.3.50.0 von SSM Agent erstellt der Agent unter Verwendung der Root- oder Administratorberechtigungen ein Benutzerkonto auf dem verwalteten Knoten, das `ssm-user` genannt wird. (Auf Versionen vor 2.3.612.0 wird das Konto erstellt, wenn SSM Agent startet oder neu startet. Auf Version 2.3.612.0 und höher wird `ssm-user` erstellt, wenn eine Sitzung auf dem verwalteten Knoten zum ersten Mal gestartet wird.) Sitzungen werden mittels der Anmeldeinformationen für dieses Benutzerkonto gestartet. Weitere Informationen zum Einschränken der administrativen Kontrolle für dieses Konto finden Sie unter [Deaktivieren oder Aktivieren der Administratorberechtigungen für das SSM-Benutzerkonto](session-manager-getting-started-ssm-user-permissions.md). ssm-user auf Windows Server-Domain-Controller Ab SSM Agent Version 2.3.612.0 wird das `ssm-user`-Konto nicht automatisch auf verwalteten Knoten erstellt, die als Windows Server-Domain-Controller verwendet werden. Um Session Manager auf einer Windows Server-Maschine zu verwenden, die als Domain-Controller verwendet wird, erstellen Sie das `ssm-user`-Konto manuell, sofern es noch nicht vorhanden ist, und weisen dem Benutzer Domain-Administratorberechtigungen zu. Unter Windows Server legt SSM Agent bei jedem Start einer Sitzung ein neues Passwort für das `ssm-user`-Konto fest. Es ist also nicht erforderlich, ein Passwort anzugeben, wenn Sie das Konto erstellen. |
| Konnektivität mit Endpunkten | In diesem Fall müssen die verwalteten Knoten auch ausgehenden HTTPS-Datenverkehr (Port 443) zu den folgenden Endpunkten zulassen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/session-manager-prerequisites.html) Weitere Informationen finden Sie unter den folgenden Themen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/session-manager-prerequisites.html) Alternativ können Sie sich über Schnittstellenendpunkte mit den erforderlichen Endpunkten verbinden. Weitere Informationen finden Sie unter [Schritt 6: (Optional) Verwenden Sie diese Option AWS PrivateLink , um einen VPC-Endpunkt einzurichten für Session Manager](session-manager-getting-started-privatelink.md). |
| AWS CLI | (Optional) Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, um Ihre Sitzungen zu starten (anstatt die AWS Systems Manager Konsole oder die Amazon EC2 EC2-Konsole zu verwenden), muss Version 1.16.12 oder höher der CLI auf Ihrem lokalen Computer installiert sein. Zum Überprüfen der Version können Sie den Befehl `aws --version` aufrufen. Wenn Sie die CLI installieren oder aktualisieren müssen, finden Sie [weitere Informationen unter Installation von AWS Command Line Interface im](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) AWS Command Line Interface Benutzerhandbuch. Wenn Systems Manager neue Tools hinzugefügt oder Aktualisierungen an den vorhandenen Tools vorgenommen werden, wird eine neue Version von SSM Agent veröffentlicht. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Tools und Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent in Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter [Automatisieren von Updates für SSM Agent](ssm-agent-automatic-updates.md). Abonnieren Sie die [SSM Agent-Versionshinweise](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)-Seite in GitHub, um Benachrichtigungen über SSM Agent-Updates zu erhalten. Um die CLI zur Verwaltung Ihrer Knoten mit Session Manager verwenden zu können, müssen Sie zunächst das Session Manager-Plugin auf Ihrer lokalen Maschine installieren. Weitere Informationen finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md). |
| Aktivieren des Advanced-Instances-Kontingents ([Hybrid- und Multi-Cloud-Umgebungen](operating-systems-and-machine-types.md#supported-machine-types)) | Um eine Verbindung zu Nicht-EC2-Computern herzustellenSession Manager, müssen Sie die Stufe Advanced-Instances in dem Bereich aktivieren, in AWS-Region dem AWS-Konto Sie Hybrid-Aktivierungen erstellen, um Nicht-EC2-Computer als verwaltete Knoten zu registrieren. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Weitere Informationen zum Aktivieren des Advanced-Instances-Kontingent finden Sie unter [Konfigurieren von Instance-Kontingenten](fleet-manager-configure-instance-tiers.md). |
| Überprüfen der Berechtigungen für IAM-Servicerollen ([Hybrid- und Multi-Cloud-Umgebungen](operating-systems-and-machine-types.md#supported-machine-types)) | Hybrid-aktivierte Knoten verwenden die in der Hybrid-Aktivierung angegebene Dienstrolle AWS Identity and Access Management (IAM), um mit Systems Manager Manager-API-Vorgängen zu kommunizieren. Diese Servicerolle muss die Berechtigungen enthalten, die zum Herstellen einer Verbindung mit Ihren [Hybrid- und Multi-Cloud-Maschinen](operating-systems-and-machine-types.md#supported-machine-types) mit Session Manager erforderlich sind. Wenn Ihre Servicerolle die AWS verwaltete Richtlinie enthält`AmazonSSMManagedInstanceCore`, Session Manager sind die erforderlichen Berechtigungen für bereits bereitgestellt. Wenn Sie feststellen, dass die Servicerolle nicht die erforderlichen Berechtigungen enthält, müssen Sie die verwaltete Instance abmelden und sie bei einer neuen Hybrid-Aktivierung registrieren, die eine IAM-Servicerolle mit den erforderlichen Berechtigungen verwendet. Informationen über das Abmelden verwalteter Instances finden Sie unter [Aufheben der Registrierung von verwalteten Knoten in einer Hybrid- und Multi-Cloud-Umgebung](fleet-manager-deregister-hybrid-nodes.md). Weitere Informationen zum Erstellen von IAM-Richtlinien mit Session Manager-Berechtigungen finden Sie unter [Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-instance-profile.html). |
# Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager
Hat standardmäßig AWS Systems Manager keine Berechtigung, Aktionen auf Ihren Instances durchzuführen. Sie können Instance-Berechtigungen auf Kontoebene mithilfe einer AWS Identity and Access Management (IAM)-Rolle oder auf Instance-Ebene mithilfe eines Instance-Profils bereitstellen. Wenn Ihr Anwendungsfall dies zulässt, empfehlen wir, mithilfe der Standardkonfiguration für die Host-Verwaltung Zugriff auf Kontoebene zu gewähren. Wenn Sie die Standardkonfiguration für die Host-Verwaltung für Ihr Konto bereits mithilfe der `AmazonSSMManagedEC2InstanceDefaultPolicy`-Richtlinie eingerichtet haben, können Sie mit dem nächsten Schritt fortfahren. Weitere Informationen über die Standardkonfiguration für die Host-Verwaltung finden Sie unter [Automatisches Verwalten von EC2-Instances mit der Standard-Host-Management-Konfiguration](fleet-manager-default-host-management-configuration.md).
Alternativ können Sie auch Instance-Profile verwenden, um Ihren Instances die erforderlichen Berechtigungen zu erteilen. Ein Instance-Profil übergibt eine IAM-Rolle an eine Amazon-EC2-Instance. Sie können ein IAM-Instance-Profil einer Amazon-EC2-Instance beim Starten anfügen oder einer zuvor gestarteten Instance anfügen. Weitere Informationen finden Sie unter [Verwenden von Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
Für lokale Server oder virtuelle Maschinen (VMs) werden die Berechtigungen von der IAM-Dienstrolle bereitgestellt, die mit der Hybridaktivierung verknüpft ist, die zur Registrierung Ihrer lokalen Server verwendet wird, und VMs von Systems Manager. Lokale Server und verwenden VMs keine Instanzprofile.
Wenn Sie bereits andere Systems-Manager-Tools wie Run Command oder Parameter Store verwenden, ist Ihren Amazon-EC2-Instances möglicherweise bereits ein Instance-Profil mit den für Session Manager erforderlichen Grundberechtigungen angefügt. Wenn ein Instanzprofil, das die AWS verwaltete Richtlinie enthält, bereits an Ihre Instanzen angehängt `AmazonSSMManagedInstanceCore` ist, Session Manager sind die erforderlichen Berechtigungen für bereits bereitgestellt. Dies gilt auch, wenn die bei Ihrer Hybrid-Aktivierung verwendete IAM-Servicerolle die verwaltete Richtlinie `AmazonSSMManagedInstanceCore` enthält.
In einigen Fällen müssen Sie jedoch möglicherweise die Berechtigungen ändern, die Ihrem Instance-Profil zugeordnet sind. Sie möchten beispielsweise einen engeren Satz von Instance-Berechtigungen bereitstellen, Sie haben eine benutzerdefinierte Richtlinie für Ihr Instance-Profil erstellt oder Sie möchten die Verschlüsselungsoptionen Amazon Simple Storage Service (Amazon S3) oder AWS Key Management Service (AWS KMS) zur Sicherung von Sitzungsdaten verwenden. Führen Sie in diesen Fällen einen der folgenden Schritte aus, um Session Manager-Aktionen auf Ihren Instances auszuführen:
+ **Einbetten von Berechtigungen für Session Manager-Aktionen in einer benutzerdefinierten IAM-Rolle**
Um einer vorhandenen IAM-Rolle, die nicht auf der AWS bereitgestellten Standardrichtlinie basiert, Berechtigungen für Session Manager Aktionen hinzuzufügen`AmazonSSMManagedInstanceCore`, folgen Sie den Schritten unter. [Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen](getting-started-add-permissions-to-existing-profile.md)
+ **Erstellen einer benutzerdefinierten IAM-Rolle, die ausschließlich Session Manager-Berechtigungen besitzt**
Um eine IAM-Rolle zu erstellen, die ausschließlich Berechtigungen für Session Manager-Aktionen enthält, befolgen Sie die Schritte in [Erstellen einer benutzerdefinierten IAM-Rolle für Session Manager](getting-started-create-iam-instance-profile.md).
+ **Erstellen und Verwenden einer neuen IAM-Rolle mit Berechtigungen für alle Systems-Manager-Aktionen**
Um eine IAM-Rolle für von Systems Manager verwaltete Instanzen zu erstellen, die eine Standardrichtlinie verwendet, die bereitgestellt wird, AWS um allen Systems Manager-Berechtigungen zu gewähren, folgen Sie den Schritten [unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen](setup-instance-permissions.md).
**Topics**
+ [Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen](getting-started-add-permissions-to-existing-profile.md)
+ [Erstellen einer benutzerdefinierten IAM-Rolle für Session Manager](getting-started-create-iam-instance-profile.md)
# Session Manager-Berechtigungen für eine vorhandene IAM-Rolle hinzufügen
Gehen Sie wie folgt vor, um einer vorhandenen AWS Identity and Access Management (IAM)-Rolle Session Manager-Berechtigungen hinzuzufügen. Durch das Hinzufügen von Berechtigungen zu einer vorhandenen Rolle können Sie die Sicherheit Ihrer Computerumgebung verbessern, ohne die AWS `AmazonSSMManagedInstanceCore` Richtlinie für Instanzberechtigungen verwenden zu müssen.
**Anmerkung**
Notieren Sie die folgenden Informationen:
Dieses Verfahren setzt voraus, dass Ihre vorhandene Rolle bereits andere Systems-Manager-`ssm`-Berechtigungen für Aktionen enthält, für die Sie den Zugriff erlauben möchten. Diese Richtlinie reicht allein nicht aus, um Session Manager verwenden zu können.
Das folgende Richtlinienbeispiel beinhaltet eine `s3:GetEncryptionConfiguration`-Aktion. Diese Aktion ist erforderlich, wenn Sie in den Session Manager-Protokollierungseinstellungen die Option **S3-Protokollverschlüsselung erzwingen** gewählt haben.
Wenn die `ssmmessages:OpenControlChannel` Berechtigung aus den Richtlinien entfernt wird, die mit Ihrem IAM-Instanzprofil oder Ihrer IAM-Dienstrolle verknüpft sind, SSM Agent verliert der verwaltete Knoten die Konnektivität zum Systems Manager Manager-Dienst in der Cloud. Es kann jedoch bis zu 1 Stunde dauern, bis eine Verbindung beendet wird, nachdem die Berechtigung entfernt wurde. Dies ist dasselbe Verhalten wie beim Löschen der IAM-Instanzrolle oder der IAM-Servicerolle.
**So fügen Sie Session Manager-Berechtigungen einer vorhandenen Rolle hinzu (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Wählen Sie den Namen der Rolle aus, zu der Sie die Berechtigungen hinzufügen möchten.
1. Wählen Sie die Registerkarte **Berechtigungen**.
1. Wählen Sie **Berechtigungen hinzufügen** und dann **Eingebundene Richtlinie hinzufügen** aus.
1. Wählen Sie den Tab **JSON**.
1. Ersetzen Sie den Inhalt der Standardrichtlinie durch den folgenden Inhalt. *key-name*Ersetzen Sie es durch den Amazon-Ressourcennamen (ARN) des AWS Key Management Service Schlüssels (AWS KMS key), den Sie verwenden möchten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Weitere Informationen über die Verwendung eines KMS-Schlüssels zum Verschlüsseln von Sitzungsdaten finden Sie unter [So aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole)](session-preferences-enable-encryption.md).
Wenn Sie keine AWS KMS Verschlüsselung für Ihre Sitzungsdaten verwenden, können Sie den folgenden Inhalt aus der Richtlinie entfernen.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Fügen Sie Tags hinzu, indem Sie **Tag hinzufügen** auswählen und die bevorzugten Tags für die Richtlinie eingeben.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie auf der Seite **Richtlinie prüfen** im Feld **Name** einen Namen für die Inline-Richtlinie ein, z. B. **SessionManagerPermissions**.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für die Richtlinie ein.
Wählen Sie **Richtlinie erstellen** aus.
Weitere Informationen über die `ssmmessages`-Aktionen finden Sie unter [Referenz: ec2messages, ssmmessages und andere API-Operationen](systems-manager-setting-up-messageAPIs.md).
# Erstellen einer benutzerdefinierten IAM-Rolle für Session Manager
Sie können eine AWS Identity and Access Management (IAM-) Rolle erstellen, die Ihnen Session Manager die Berechtigung erteilt, Aktionen auf Ihren von Amazon EC2 verwalteten Instances durchzuführen. Sie können auch eine Richtlinie hinzufügen, um die Berechtigungen zu gewähren, die für das Senden von Sitzungsprotokollen an Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs erforderlich sind.
Nachdem Sie die IAM-Rolle erstellt haben, finden Sie Informationen dazu, wie Sie die Rolle an eine Instance [anhängen oder ersetzen können, auf der AWS re:Post Website unter Ein Instance-Profil](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/) anhängen oder ersetzen. Weitere Informationen über IAM-Instance-Profile und -Rollen finden Sie unter [Verwendung von Instance-Profilen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) im *IAM-Benutzerhandbuch* und [IAM-Rollen für Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch für Linux-Instances*. Weitere Informationen zum Erstellen einer IAM-Servicerolle für On-Premises-Maschinen finden Sie unter [Erstellen der für Systems Manager erforderlichen IAM-Servicerolle in Hybrid- und Multi-Cloud-Umgebungen.](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html)
**Topics**
+ [Erstellen einer IAM-Rolle mit geringstmöglichen Session Manager-Berechtigungen (Konsole)](#create-iam-instance-profile-ssn-only)
+ [Erstellen einer IAM-Rolle mit Berechtigungen für Amazon S3 Session Manager und CloudWatch Logs (Konsole)](#create-iam-instance-profile-ssn-logging)
## Erstellen einer IAM-Rolle mit geringstmöglichen Session Manager-Berechtigungen (Konsole)
Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte IAM-Rolle mit einer Richtlinie zu erstellen, die ausschließlich Berechtigungen für Session Manager-Aktionen auf Ihren Instances bereitstellt.
**So erstellen Sie ein Instance-Profil mit den geringstmöglichen Session Manager-Berechtigungen (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen**. (Wenn die Schaltfläche **Get Started (Erste Schritte)** angezeigt wird, klicken Sie darauf und wählen Sie anschließend **Create Policy (Richtlinie erstellen)** aus.)
1. Wählen Sie den Tab **JSON**.
1. Ersetzen Sie den Standardinhalt durch folgende Richtlinie. Um Sitzungsdaten mit AWS Key Management Service (AWS KMS) zu verschlüsseln, ersetzen Sie *key-name* sie durch den Amazon-Ressourcennamen (ARN) der AWS KMS key , die Sie verwenden möchten.
**Anmerkung**
Wenn die `ssmmessages:OpenControlChannel` Berechtigung aus den Richtlinien entfernt wird, die mit Ihrem IAM-Instanzprofil oder Ihrer IAM-Dienstrolle verknüpft sind, SSM Agent verliert der verwaltete Knoten die Konnektivität zum Systems Manager Manager-Dienst in der Cloud. Es kann jedoch bis zu 1 Stunde dauern, bis eine Verbindung beendet wird, nachdem die Berechtigung entfernt wurde. Dies ist dasselbe Verhalten wie beim Löschen der IAM-Instanzrolle oder der IAM-Servicerolle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Weitere Informationen über die Verwendung eines KMS-Schlüssels zum Verschlüsseln von Sitzungsdaten finden Sie unter [So aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole)](session-preferences-enable-encryption.md).
Wenn Sie keine AWS KMS Verschlüsselung für Ihre Sitzungsdaten verwenden, können Sie den folgenden Inhalt aus der Richtlinie entfernen.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Fügen Sie Tags hinzu, indem Sie **Tag hinzufügen** auswählen und die bevorzugten Tags für die Richtlinie eingeben.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie auf der Seite **Richtlinie prüfen** im Feld **Name** einen Namen für die Inline-Richtlinie ein, z. B. **SessionManagerPermissions**.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für die Richtlinie ein.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.
1. Auf der Seite **Create Role** (Rolle erstellen) wählen Sie **AWS service** (-Service), und für**Use case** (Anwendungsfall), wählen Sie **EC2** aus.
1. Wählen Sie **Weiter** aus.
1. Aktivieren Sie auf der Seite **Attached permissions policy** (Richtlinie für angefügte Berechtigungen) das Kontrollkästchen links neben dem Namen der Richtlinie, die Sie gerade erstellt haben, z. B. **SessionManagerPermissions**.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Name, review, and create** (Benennen, überprüfen und erstellen) für **Role name** (Rollenname) einen Namen für die IAM-Rolle ein, z. B. **MySessionManagerRole**.
1. (Optional) Geben Sie in **Role description (Beschreibung der Rolle)** eine Beschreibung für das Instance-Profil ein.
1. (Optional) Fügen Sie Tags hinzu, indem Sie**Add tag** (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.
Wählen Sie **Rolle erstellen** aus.
Weitere Informationen zu `ssmmessages`-Aktionen finden Sie unter [Referenz: ec2messages, ssmmessages und andere API-Operationen](systems-manager-setting-up-messageAPIs.md).
## Erstellen einer IAM-Rolle mit Berechtigungen für Amazon S3 Session Manager und CloudWatch Logs (Konsole)
Verwenden Sie das folgende Verfahren, um eine benutzerdefinierte IAM-Rolle mit einer Richtlinie zu erstellen, die Berechtigungen für Session Manager-Aktionen auf Ihren Instances bereitstellt. Die Richtlinie bietet auch die erforderlichen Berechtigungen für die Speicherung von Sitzungsprotokollen in Amazon Simple Storage Service (Amazon S3) -Buckets und Amazon CloudWatch Logs-Protokollgruppen.
**Wichtig**
Um Sitzungsprotokolle an einen Amazon S3-Bucket auszugeben, der zu einem anderen AWS-Konto gehört, müssen Sie die `s3:PutObjectAcl`-Berechtigung dieser IAM-Rollen-Richtlinie hinzufügen. Außerdem müssen Sie sicherstellen, dass die Bucket-Richtlinie kontenübergreifenden Zugriff auf die IAM-Rolle gewährt, die vom besitzenden Konto verwendet wird, um dem Systems Manager Berechtigungen für verwaltete Instances zu gewähren. Wenn der Bucket die Verschlüsselung des Key Management Service (KMS) verwendet, muss die KMS-Richtlinie des Buckets diesen kontoübergreifenden Zugriff ebenfalls gewähren. Weitere Informationen zur Konfiguration von kontoübergreifenden Bucket-Berechtigungen in Amazon S3 finden Sie unter [Gewährung von kontoübergreifenden Bucket-Berechtigungen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) im *Benutzerhandbuch zu Amazon Simple Storage Service*. Wenn die kontoübergreifenden Berechtigungen nicht hinzugefügt werden, kann das Konto, das Eigentümer des Amazon-S3-Buckets ist, nicht auf die Sitzungsausgabeprotokolle zugreifen.
Informationen zum Angeben von Präferenzen für das Speichern von Sitzungsprotokollen finden Sie unter [Protokollierung von Sitzungen aktivieren und deaktivieren](session-manager-logging.md).
**So erstellen Sie eine IAM-Rolle mit Berechtigungen für Session Manager Amazon S3 und CloudWatch Logs (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen**. (Wenn die Schaltfläche **Get Started (Erste Schritte)** angezeigt wird, klicken Sie darauf und wählen Sie anschließend **Create Policy (Richtlinie erstellen)** aus.)
1. Wählen Sie den Tab **JSON**.
1. Ersetzen Sie den Standardinhalt durch folgende Richtlinie. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"ssm:UpdateInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
},
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "*"
}
]
}
```
------
1. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Fügen Sie Tags hinzu, indem Sie **Tag hinzufügen** auswählen und die bevorzugten Tags für die Richtlinie eingeben.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie auf der Seite **Richtlinie prüfen** im Feld **Name** einen Namen für die Inline-Richtlinie ein, z. B. **SessionManagerPermissions**.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für die Richtlinie ein.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.
1. Auf der Seite **Create Role** (Rolle erstellen) wählen Sie **AWS service** (-Service), und für**Use case** (Anwendungsfall), wählen Sie **EC2** aus.
1. Wählen Sie **Weiter** aus.
1. Aktivieren Sie auf der Seite **Attached permissions policy** (Richtlinie für angefügte Berechtigungen) das Kontrollkästchen links neben dem Namen der Richtlinie, die Sie gerade erstellt haben, z. B. **SessionManagerPermissions**.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Name, review, and create** (Benennen, überprüfen und erstellen) für **Role name** (Rollenname) einen Namen für die IAM-Rolle ein, z. B. **MySessionManagerRole**.
1. (Optional) Geben Sie im Feld **Role description** (Rollenbeschreibung) eine Beschreibung für die Rolle ein.
1. (Optional) Fügen Sie Tags hinzu, indem Sie**Add tag** (Tag hinzufügen) auswählen und die bevorzugten Tags für die Richtlinie eingeben.
1. Wählen Sie **Rolle erstellen** aus.
# Schritt 3: Steuern des Sitzungs-Zugriffs auf verwaltete Knoten
Sie gewähren oder entziehen Session Manager den Zugriff auf verwaltete Knoten mithilfe von AWS Identity and Access Management (IAM-) Richtlinien. Sie können eine Richtlinie erstellen und sie einem IAM-Benutzer oder einer IAM-Gruppe zuordnen, die festlegt, mit welchen verwalteten Knoten sich der Benutzer oder die Gruppe verbinden kann. Sie können auch die Session Manager-API-Operationen festlegen, die der Benutzer oder die Gruppe auf diesen verwalteten Knoten durchführen kann.
Um Ihnen den Einstieg in die IAM-Berechtigungsrichtlinien für Session Manager zu erleichtern, haben wir Beispielrichtlinien für einen Endbenutzer und einen Administrator erstellt. Sie können diese Richtlinien mit nur geringfügigen Änderungen verwenden. Oder verwenden Sie sie als Leitfaden für die Erstellung benutzerdefinierter IAM-Richtlinien. Weitere Informationen finden Sie unter [Muster-IAM-Richtlinien für Session Manager](getting-started-restrict-access-quickstart.md). Informationen dazu, wie Sie IAM-Richtlinien erstellen und diese Benutzern oder Gruppen anfügen, finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) und [Hinzufügen und Entfernen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *IAM-Benutzerhandbuch*.
**Über Sitzungs-ID-ARN-Formate**
Beim Erstellen einer IAM-Richtlinie für den Session Manager-Zugriff geben Sie eine Sitzungs-ID als Teil des Amazon-Ressourcennamens (ARN) an. Die Sitzungs-ID enthält den Benutzernamen als Variable. Um dies zu veranschaulichen, finden Sie hier das Format eines Session Manager-ARN und ein Beispiel:
```
arn:aws:ssm:region-id:account-id:session/session-id
```
Beispiel:
```
arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE
```
Weitere Informationen zur Verwendung von Variablen in IAM-Richtlinien finden Sie unter [IAM-Richtlinienelemente: Variablen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html).
**Topics**
+ [Starten Sie eine Standard-Shell-Sitzung, indem Sie das Standard-Sitzungsdokument in den IAM-Richtlinien angeben](getting-started-default-session-document.md)
+ [Starten Sie eine Sitzung mit einem Dokument, indem Sie die Sitzungsdokumente in IAM-Richtlinien angeben](getting-started-specify-session-document.md)
+ [Muster-IAM-Richtlinien für Session Manager](getting-started-restrict-access-quickstart.md)
+ [Zusätzliche IAM-Beispielrichtlinien für Session Manager](getting-started-restrict-access-examples.md)
# Starten Sie eine Standard-Shell-Sitzung, indem Sie das Standard-Sitzungsdokument in den IAM-Richtlinien angeben
Wenn Sie die Konfiguration Session Manager für Ihre Sitzung vornehmen AWS-Konto oder wenn Sie die Sitzungseinstellungen in der Systems Manager Manager-Konsole ändern, erstellt das System ein SSM-Sitzungsdokument mit dem Namen`SSM-SessionManagerRunShell`. Dies ist das Standard-Sitzungsdokument. Session Manager verwendet dieses Dokument, um Ihre Sitzungseinstellungen zu speichern, die Informationen wie die folgenden enthalten:
+ Ein Ort, an dem Sie Sitzungsdaten speichern möchten, z. B. ein Amazon Simple Storage Service (Amazon S3) -Bucket oder eine Amazon CloudWatch Logs-Protokollgruppe.
+ Eine AWS Key Management Service (AWS KMS) Schlüssel-ID zum Verschlüsseln von Sitzungsdaten.
+ Ob die Unterstützung von Run As für Ihre Sitzungen erlaubt ist.
Hier sehen Sie ein Beispiel für die Informationen, die im `SSM-SessionManagerRunShell`-Dokument Sitzungseinstellungen enthalten sind.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "amzn-s3-demo-bucket",
"s3KeyPrefix": "MyS3Prefix",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "MyCWLogGroup",
"cloudWatchEncryptionEnabled": false,
"kmsKeyId": "1a2b3c4d",
"runAsEnabled": true,
"runAsDefaultUser": "RunAsUser"
}
}
```
Standardmäßig verwendet Session Manager das Standard-Sitzungsdokument, wenn ein Benutzer eine Sitzung von AWS-Managementkonsole aus startet. Dies gilt entweder für Fleet Manager oder Session Manager in der Systems Manager Manager-Konsole oder für EC2 Connect in der Amazon EC2 EC2-Konsole. Session Managerverwendet auch das Standardsitzungsdokument, wenn ein Benutzer eine Sitzung mit einem AWS CLI Befehl wie dem folgenden Beispiel startet:
```
aws ssm start-session \
--target i-02573cafcfEXAMPLE
```
Um eine Standard-Shell-Sitzung zu starten, müssen Sie das Standard-Sitzungsdokument in der IAM-Richtlinie angeben, wie im folgenden Beispiel gezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSSMSession",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/instance-id",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": [
"ssmmessages:OpenDataChannel"
],
"Resource": [
"*"
]
}
]
}
```
------
# Starten Sie eine Sitzung mit einem Dokument, indem Sie die Sitzungsdokumente in IAM-Richtlinien angeben
Wenn Sie den AWS CLI -Befehl [start-session](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html) mit dem Standard-Sitzungsdokument verwenden, können Sie den Dokumentnamen auslassen. Das System ruft automatisch das `SSM-SessionManagerRunShell`-Sitzungsdokument auf.
In allen anderen Fällen müssen Sie einen Wert für den `document-name`-Parameter angeben. Wenn ein Benutzer den Namen eines Sitzungsdokuments in einem Befehl angibt, überprüft das System seine IAM-Richtlinie, um sicherzustellen, dass er berechtigt ist, auf das Dokument zuzugreifen. Wenn sie nicht berechtigt sind, schlägt die Verbindungsanforderung fehl. In den folgenden Beispielen ist der `document-name`-Parameter im `AWS-StartPortForwardingSession`-Sitzungsdokument enthalten.
```
aws ssm start-session \
--target i-02573cafcfEXAMPLE \
--document-name AWS-StartPortForwardingSession \
--parameters '{"portNumber":["80"], "localPortNumber":["56789"]}'
```
Ein Beispiel für die Angabe eines Session Manager-Sitzungsdokuments in einer IAM-Richtlinie finden Sie unter [Kurzeinführung in Endbenutzerrichtlinien für Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user).
**Anmerkung**
Um eine Sitzung mit SSH zu starten, müssen Sie die Konfigurationsschritte auf dem verwalteten Zielknoten *and* der lokalen Maschine des Benutzers ausführen. Informationen finden Sie unter [(Optional) Berechtigungen für SSH-Verbindungen über Session Manager zulasen und steuern](session-manager-getting-started-enable-ssh-connections.md).
# Muster-IAM-Richtlinien für Session Manager
Verwenden Sie die Beispiele in diesem Abschnitt, um Ihnen bei der Erstellung von AWS Identity and Access Management (IAM-) Richtlinien zu helfen, die die am häufigsten benötigten Zugriffsberechtigungen Session Manager bereitstellen.
**Anmerkung**
Sie können auch eine AWS KMS key Richtlinie verwenden, um zu kontrollieren, welche IAM-Entitäten (Benutzer oder Rollen) Zugriff auf Ihren KMS-Schlüssel erhalten. AWS-Konten Weitere Informationen finden Sie [im *AWS Key Management Service Entwicklerhandbuch* unter Überblick über die Verwaltung des Zugriffs auf Ihre AWS KMS Ressourcen](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) und die [Verwendung wichtiger Richtlinien](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). AWS KMS
**Topics**
+ [Kurzeinführung in Endbenutzerrichtlinien für Session Manager](#restrict-access-quickstart-end-user)
+ [Kurzeinführung in Administratorrichtlinien für Session Manager](#restrict-access-quickstart-admin)
## Kurzeinführung in Endbenutzerrichtlinien für Session Manager
Verwenden Sie die folgenden Beispiele, um IAM-Endbenutzerrichtlinien für Session Manager zu erstellen.
Sie können eine Richtlinie erstellen, die es Benutzern ermöglicht, Sitzungen nur von der Session Manager Konsole und AWS Command Line Interface (AWS CLI), nur von der Amazon Elastic Compute Cloud (Amazon EC2) -Konsole oder von allen drei aus zu starten.
Diese Richtlinien bieten Endbenutzern die Möglichkeit, eine Sitzung zu einem bestimmten verwalteten Knoten zu starten und nur ihre eigenen Sitzungen zu beenden. Beispiele für Anpassungen, die Sie möglicherweise für die Richtlinie ausführen sollten, finden Sie unter [Zusätzliche IAM-Beispielrichtlinien für Session Manager](getting-started-restrict-access-examples.md).
Ersetzen Sie in den folgenden Beispielrichtlinien jede *example resource placeholder* durch Ihre eigenen Informationen.
Wählen Sie die folgenden Registerkarten, um die Beispielrichtlinie für den Bereich des Sitzungszugriffs anzuzeigen, den Sie bereitstellen möchten.
------
#### [ Session Manager and Fleet Manager ]
Verwenden Sie diese Beispielrichtlinie für Provider-Benutzer, die Sitzungen nur über die Session Manager- und die Fleet Manager-Konsolen starten und wiederaufnehmen können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
------
#### [ Amazon EC2 ]
Verwenden Sie diese Beispielrichtlinie für Provider-Benutzer, die Sitzungen nur über die Amazon EC2-Konsole starten und wiederaufnehmen können. Diese Richtlinie bietet nicht alle Berechtigungen, die zum Starten von Sitzungen über die Session ManagerKonsole und die AWS CLI Konsole erforderlich sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:username}-*"
]
}
]
}
```
------
------
#### [ AWS CLI ]
Verwenden Sie diese Beispielrichtlinie für Provider-Benutzer, die Sitzungen nur über die AWS CLI starten und wiederaufnehmen können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
------
**Anmerkung**
`SSM-SessionManagerRunShell` ist der Standardname des SSM-Dokuments, das Session Manager zum Speichern Ihrer Sitzungskonfiguration erstellt. Sie können stattdessen ein benutzerdefiniertes Sitzungsdokument erstellen und es in dieser Richtlinie angeben. Sie können auch das von AWS bereitgestellte Dokument `AWS-StartSSHSession` für Benutzer verwenden, die Sitzungen mit SSH starten. Weitere Informationen über die für die Unterstützung von Sitzungen mit SSH erforderlichen Konfigurationsschritte finden Sie unter [(Optional) Zulassen und Steuern von Berechtigungen für SSH-Verbindungen über Session Manager](session-manager-getting-started-enable-ssh-connections.md).
Die `kms:GenerateDataKey`-Berechtigung ermöglicht die Erstellung eines Datenverschlüsselungsschlüssels, der zur Verschlüsselung von Sitzungsdaten verwendet wird. Wenn Sie die Verschlüsselung AWS Key Management Service (AWS KMS) für Ihre Sitzungsdaten verwenden, *key-name* ersetzen Sie sie durch den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels, den Sie verwenden möchten, im Format`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE`. Wenn Sie keine KMS-Schlüsselverschlüsselung für Ihre Sitzungsdaten verwenden möchten, entfernen Sie den folgenden Inhalt aus der Richtlinie.
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-name"
}
```
Informationen zur Verwendung AWS KMS zur Verschlüsselung von Sitzungsdaten finden Sie unter[So aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole)](session-preferences-enable-encryption.md).
Die Genehmigung für [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html) ist erforderlich, wenn ein Benutzer versucht, eine Sitzung über die Amazon-EC2-Konsole zu starten, aber SSM Agent zunächst auf die erforderliche Mindestversion für Session Manager aktualisiert werden muss. Run Command wird verwendet, um einen Befehl an die Instance zu senden und den Agenten zu aktualisieren.
## Kurzeinführung in Administratorrichtlinien für Session Manager
Verwenden Sie die folgenden Beispiele, um IAM-Administratorrichtlinien für Session Manager zu erstellen.
Diese Richtlinien bieten Administratoren die Möglichkeit, eine Sitzung für verwaltete Knoten zu starten, die mit `Key=Finance,Value=WebServers` markiert sind, sowie die Berechtigung zum Erstellen, Aktualisieren und Löschen von Einstellungen und die Berechtigung, nur ihre eigenen Sitzungen zu beenden. Beispiele für Anpassungen, die Sie möglicherweise für die Richtlinie ausführen sollten, finden Sie unter [Zusätzliche IAM-Beispielrichtlinien für Session Manager](getting-started-restrict-access-examples.md).
Sie können eine Richtlinie erstellen, die es Administratoren ermöglicht, diese Aufgaben nur von der Session Manager Konsole und AWS CLI nur von der Amazon EC2 EC2-Konsole aus oder von allen drei aus auszuführen.
Ersetzen Sie in den folgenden Beispielrichtlinien jede *example resource placeholder* durch Ihre eigenen Informationen.
Wählen Sie die folgenden Registerkarten aus, um die Beispielrichtlinie für das zu unterstützende Zugriffsszenario anzuzeigen.
------
#### [ Session Manager and CLI ]
Verwenden Sie diese Beispielrichtlinie für Provider-Administratoren, die sitzungsbezogene Aufgaben nur über die Session Manager-Konsole und die AWS CLI ausführen können. Diese Richtlinie bietet nicht alle Berechtigungen, die für die Ausführung von sitzungsbezogenen Aufgaben über die Amazon EC2-Konsole erforderlich sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssmmessages:OpenDataChannel"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument",
"ssm:StartSession"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssmmessages:OpenDataChannel"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
#### [ Amazon EC2 ]
Verwenden Sie diese Beispielrichtlinie für Provider-Administratoren, die sitzungsbezogene Aufgaben nur über die Amazon EC2-Konsole ausführen können. Diese Richtlinie bietet nicht alle Berechtigungen, die zum Ausführen von sitzungsbezogenen Aufgaben über die Session Manager-Konsole und die AWS CLI-Konsole erforderlich sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
#### [ Session Manager, CLI, and Amazon EC2 ]
Verwenden Sie diese Beispielrichtlinie für Provider-Administratoren, die sitzungsbezogene Aufgaben über die Session Manager-Konsole, die AWS CLI und die Amazon EC2-Konsole ausführen können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument",
"ssm:StartSession"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
**Anmerkung**
Die Berechtigung für [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html) ist erforderlich, wenn ein Benutzer versucht, eine Sitzung über die Amazon-EC2-Konsole zu starten, aber zuerst ein Befehl zur Aktualisierung von SSM Agent gesendet werden muss.
# Zusätzliche IAM-Beispielrichtlinien für Session Manager
Die folgenden Beispielrichtlinien helfen Ihnen beim Erstellen einer benutzerdefinierten AWS Identity and Access Management (IAM)-Richtlinien für alle Session Manager-Benutzerzugriffsszenarien, die Sie unterstützen müssen.
**Topics**
+ [Beispiel 1: Zugriff auf Dokumente in der Konsole gewähren](#grant-access-documents-console-example)
+ [Beispiel 2: Beschränken des Zugriffs auf bestimmte verwaltete Knoten](#restrict-access-example-instances)
+ [Beispiel 3: Beschränken des Zugriffs anhand von Tags](#restrict-access-example-instance-tags)
+ [Beispiel 4: Benutzern erlauben, ausschließlich von ihnen gestartete Sitzungen zu beenden](#restrict-access-example-user-sessions)
+ [Beispiel 5: Benutzer erhalten vollständigen (administrativen) Zugriff auf alle Sitzungen](#restrict-access-example-full-access)
## Beispiel 1: Zugriff auf Dokumente in der Konsole gewähren
Sie können Benutzern erlauben, ein benutzerdefiniertes Dokument anzugeben, wenn sie eine Sitzung über die Session-Manager-Konsole starten. Das folgende Beispiel für eine IAM-Richtlinie gewährt die Erlaubnis, auf Dokumente zuzugreifen, deren Namen mit **SessionDocument-** den angegebenen AWS-Region und AWS-Konto beginnen.
Um diese Richtlinie zu verwenden, ersetzen Sie jede *example resource placeholder* durch Ihre eigenen Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:ListDocuments"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SessionDocument-*"
]
}
]
}
```
------
**Anmerkung**
Die Session-Manager-Konsole unterstützt nur Sitzungsdokumente mit einem `sessionType` von `Standard_Stream`, die zur Definition von Sitzungseinstellungen verwendet werden. Weitere Informationen finden Sie unter [Schema des Sitzungsdokuments](session-manager-schema.md).
## Beispiel 2: Beschränken des Zugriffs auf bestimmte verwaltete Knoten
Sie können eine IAM-Richtlinie erstellen, die definiert, mit welchen verwalteten Knoten ein Benutzer mithilfe von Session Manager eine Verbindung herstellen darf. Die folgende Richtlinie gewährt einem Benutzer beispielsweise die Berechtigung, seine Sitzungen auf drei bestimmten Knoten zu starten, zu beenden und fortzusetzen. Die Richtlinie schränkt den Benutzer ein, eine Verbindung zu anderen als den angegebenen Knoten herzustellen.
**Anmerkung**
Informationen zu verbundenen Benutzern finden Sie unter [Beispiel 4: Benutzern erlauben, ausschließlich von ihnen gestartete Sitzungen zu beenden](#restrict-access-example-user-sessions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-1234567890EXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-abcdefghijEXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0e9d8c7b6aEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
------
## Beispiel 3: Beschränken des Zugriffs anhand von Tags
Sie können den Zugriff auf verwaltete Knoten anhand bestimmter Tags einschränken. Im folgenden Beispiel darf der Benutzer Sitzungen (`Effect: Allow, Action: ssm:StartSession, ssm:ResumeSession`) auf jedem verwalteten Knoten (`Resource: arn:aws:ec2:region:987654321098:instance/*`) starten und fortsetzen, vorausgesetzt, dass es sich bei dem Knoten um einen Finanzknoten WebServer (`ssm:resourceTag/Finance: WebServer`) handelt. Wenn der Benutzer einen Befehl an einen verwalteten Knoten sendet, der nicht markiert ist oder einen anderen Tag als `Finance: WebServer` hat, enthält das Befehlsergebnis `AccessDenied`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
Sie können IAM-Richtlinien erstellen, mit denen ein Benutzer Sitzungen mit verwalteten Knoten starten kann, die mit mehreren Tags markiert sind. Die folgende Richtlinie ermöglicht dem Benutzer das Starten von Sitzungen mit verwalteten Knoten, auf denen beide angegebenen Tags angewendet wurden. Wenn ein Benutzer einen Befehl an einen verwalteten Knoten sendet, der nicht mit beiden Tags markiert ist, enthält das Befehlsergebnis `AccessDenied`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:StartSession"
],
"Resource":"*",
"Condition":{
"StringLike":{
"ssm:resourceTag/tag-key1":[
"tag-value1"
],
"ssm:resourceTag/tag-key2":[
"tag-value2"
]
}
}
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
Weitere Informationen zum Erstellen von IAM-Richtlinien finden Sie unter [Verwaltete Richtlinien und eingebundene Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) im *IAM-Benutzerhandbuch*. Weitere Informationen über das Markieren von verwalteten Knoten finden Sie unter [Markieren Ihrer Amazon-EC2-Ressourcen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) im *Benutzerhandbuch zu Amazon EC2* (Inhalt gilt für Windows- und Linux-verwaltete Knoten). Weitere Informationen zur Steigerung des Sicherheitsstatus in Bezug auf nicht autorisierte Befehle auf Root-Ebene auf Ihren verwalteten Knoten finden Sie unter [Einschränken des Zugriffs auf Befehle auf Stammebene durch SSM Agent](ssm-agent-restrict-root-level-commands.md)
## Beispiel 4: Benutzern erlauben, ausschließlich von ihnen gestartete Sitzungen zu beenden
Session Managerbietet zwei Methoden, um zu steuern, welche Sitzungen ein Verbundbenutzer in Ihrem AWS-Konto Netzwerk beenden darf.
+ Verwenden Sie die Variable `{aws:userid}` in einer AWS Identity and Access Management (IAM-) Berechtigungsrichtlinie. Verbundbenutzer können nur von ihnen gestartete Sitzungen beenden. Verwenden Sie für Benutzer ohne Verbundzugriff Methode 1. Verwenden Sie für Verbundbenutzer Methode 2.
+ Verwenden Sie Tags, die von AWS Tags in einer IAM-Berechtigungsrichtlinie bereitgestellt werden. Sie nehmen eine Bedingung in die Richtlinie auf, die es Benutzern erlaubt, nur Sitzungen zu beenden, die mit bestimmten Tags versehen sind, die von AWS bereitgestellt wurden. Diese Methode funktioniert für alle Konten, auch für Konten, die Verbundkonten verwenden, um Zugriff IDs zu gewähren. AWS
### Methode 1: Gewähren Sie TerminateSession Berechtigungen mithilfe der Variablen `{aws:username}`
Die folgende IAM-Richtlinie ermöglicht es einem Benutzer, alle Sitzungen in Ihrem Konto einzusehen. IDs Benutzer können jedoch nur über von ihnen gestartete Sitzungen mit verwalteten Knoten interagieren. Ein Benutzer, dem die folgende Richtlinie zugewiesen wurde, kann keine Verbindungen mit Sitzungen anderer Benutzer herstellen oder diese beenden. Die Richtlinie verwendet die Variable `{aws:username}`, um dies zu erreichen.
**Anmerkung**
Diese Methode funktioniert nicht für Konten, die Zugriff auf die AWS Nutzung von Federated IDs gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:DescribeSessions"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"ssm:TerminateSession"
],
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:*:session/${aws:username}-*"
]
}
]
}
```
------
### Methode 2: Gewähren Sie TerminateSession Berechtigungen mithilfe von Tags, die bereitgestellt werden von AWS
Sie können steuern, welche Sitzungen ein Benutzer beenden kann, indem Sie eine Bedingung mit bestimmten Tag-Schlüsselvariablen in einer IAM-Richtlinie verwenden. Die Bedingung gibt an, dass der Benutzer nur Sitzungen beenden kann, die mit einer oder beiden dieser spezifischen Tag-Schlüsselvariablen und einem angegebenen Wert gekennzeichnet sind.
Wenn ein Benutzer in Ihrem Umfeld eine Sitzung AWS-Konto startet, Session Manager wendet er der Sitzung zwei Ressourcen-Tags an. Das erste Ressourcen-Tag ist `aws:ssmmessages:target-id`, mit dem Sie die ID des Ziels angeben, das der Benutzer beenden darf. Das andere Ressourcen-Tag ist `aws:ssmmessages:session-id`, mit einem Wert im Format `role-id:caller-specified-role-name`.
**Anmerkung**
Session Manager unterstützt keine benutzerdefinierten Tags für diese IAM-Zugriffssteuerungsrichtlinie. Sie müssen die unten beschriebenen Resource-Tags verwenden AWS, die von bereitgestellt werden.
** `aws:ssmmessages:target-id` **
Mit diesem Tag-Schlüssel schließen Sie die ID des verwalteten Knotens als Wert in die Richtlinie ein. Im folgenden Richtlinienblock lässt die Bedingungsanweisung einen Benutzer nur den Knoten i-02573cafcfEXAMPLE beenden.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:target-id": [
"i-02573cafcfEXAMPLE"
]
}
}
}
]
}
```
Wenn der Benutzer versucht, eine Sitzung zu beenden, für die ihm diese `TerminateSession`-Berechtigung nicht erteilt wurde, wird eine `AccessDeniedException`-Fehlermeldung angezeigt.
** `aws:ssmmessages:session-id` **
Dieser Tag-Schlüssel enthält als Wert in der Anforderung zum Starten einer Sitzung eine Variable für die Sitzungs-ID.
Das folgende Beispiel zeigt eine Richtlinie für Fälle, in denen der Aufrufertyp `User` ist. Der Wert, für den Sie für `aws:ssmmessages:session-id` angeben, ist die ID des Benutzers. In diesem Beispiel stellt `AIDIODR4TAW7CSEXAMPLE` die ID eines Benutzers in Ihrem AWS-Konto dar. Um die ID für einen Benutzer in Ihrem abzurufen AWS-Konto, verwenden Sie den IAM-Befehl,`get-user`. Weitere Informationen finden Sie unter [get-user](https://docs.aws.amazon.com/IAM/latest/UserGuide/get-user.html) im AWS Identity and Access Management Abschnitt des *IAM-Benutzerhandbuchs*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"AIDIODR4TAW7CSEXAMPLE"
]
}
}
}
]
}
```
Das folgende Beispiel zeigt eine Richtlinie für Fälle, in denen der Aufrufertyp `AssumedRole` ist. Sie können die Variable `{aws:userid}` für den Wert verwenden, den Sie für `aws:ssmmessages:session-id` angeben. Alternativ können Sie eine Rollen-ID für den Wert, den Sie für `aws:ssmmessages:session-id` angeben, fest codieren. Wenn Sie eine Rollen-ID fest codieren, müssen Sie den Wert im Format `role-id:caller-specified-role-name` angeben. Beispiel, `AIDIODR4TAW7CSEXAMPLE:MyRole`.
Damit System-Tags angewendet werden können, darf die von Ihnen bereitzustellende Rollen-ID nur folgende Zeichen enthalten: Unicode-Buchstaben, 0-9, Leerzeichen, `_`, `.`, `:`, `/`, `=`, `+`, `-`, `@` und `\`.
Verwenden Sie den Befehl, um die Rollen-ID für eine Rolle in Ihrem AWS-Konto abzurufen. `get-caller-identity` Weitere Informationen finden Sie [get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html)in der AWS CLI Befehlsreferenz.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"${aws:userid}*"
]
}
}
}
]
}
```
Wenn ein Benutzer versucht, eine Sitzung zu beenden, für die ihm diese `TerminateSession`-Berechtigung nicht erteilt wurde, wird eine `AccessDeniedException`-Fehlermeldung angezeigt.
**`aws:ssmmessages:target-id`** und **`aws:ssmmessages:session-id`**
Sie können auch IAM-Richtlinien erstellen, die es einem Benutzer ermöglichen, Sitzungen zu beenden, die mit beiden System-Tags gekennzeichnet sind, wie in diesem Beispiel dargestellt.
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:TerminateSession"
],
"Resource":"*",
"Condition":{
"StringLike":{
"ssm:resourceTag/aws:ssmmessages:target-id":[
"i-02573cafcfEXAMPLE"
],
"ssm:resourceTag/aws:ssmmessages:session-id":[
"${aws:userid}*"
]
}
}
}
]
}
```
## Beispiel 5: Benutzer erhalten vollständigen (administrativen) Zugriff auf alle Sitzungen
Die folgende IAM-Richtlinie ermöglicht Benutzern die vollständige Interaktion mit allen verwalteten Knoten und allen Sitzungen, die von allen Benutzern für alle Knoten erstellt wurden. Diese Berechtigung sollte nur einem Administrator gewährt werden, der vollständige Kontrolle über die Session Manager-Aktivitäten Ihrer Organisation benötigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:StartSession",
"ssm:TerminateSession",
"ssm:ResumeSession",
"ssm:DescribeSessions",
"ssm:GetConnectionStatus"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
------
# Schritt 4: Konfigurieren von Sitzungspräferenzen
Benutzer, denen in ihrer AWS Identity and Access Management (IAM-) Richtlinie Administratorberechtigungen gewährt wurden, können Sitzungseinstellungen konfigurieren, darunter die folgenden:
+ Aktivieren Sie den Run-As-Support für Linux-verwaltete Knoten. Dadurch ist es möglich, Sitzungen mit den Anmeldeinformationen eines bestimmten Betriebssystembenutzers zu starten, anstatt mit den Anmeldeinformationen eines vom System generierten `ssm-user` Kontos, das auf einem verwalteten AWS Systems Manager Session Manager Knoten erstellt werden kann.
+ Konfigurieren Sie Session Manager die Konfiguration so, dass AWS KMS key Verschlüsselung verwendet wird, um die zwischen Client-Computern und verwalteten Knoten übertragenen Daten zusätzlich zu schützen.
+ Konfigurieren Sie Session Manager die Konfiguration, um Sitzungsverlaufsprotokolle zu erstellen und an einen Amazon Simple Storage Service (Amazon S3) -Bucket oder eine Amazon CloudWatch Logs-Protokollgruppe zu senden. Die gespeicherten Protokolldaten können anschließend verwendet werden, um die Sitzungsverbindungen mit Ihren verwalteten Knoten und die auf diesen während der Sitzungen ausgeführten Befehle zu melden.
+ Konfigurieren Sie Sitzungs-Timeouts. Mit dieser Einstellung können Sie festlegen, wann eine Sitzung nach einem Zeitraum der Inaktivität beendet werden soll.
+ Konfigurieren Sie Session Manager so, dass es konfigurierbare Shell-Profile verwendet. Mit diesen anpassbaren Profilen können Sie Einstellungen in Sitzungen wie Shell-Einstellungen, Umgebungsvariablen, Arbeitsverzeichnissen und das Ausführen mehrerer Befehle definieren, wenn eine Sitzung gestartet wird.
Weitere Informationen zu den Berechtigungen, die zum Konfigurieren von Session Manager-Einstellungen erforderlich sind, finden Sie unter [Gewähren oder Verweigern von Benutzerberechtigungen zum Aktualisieren von Session Manager-Einstellungen](preference-setting-permissions.md).
**Topics**
+ [Gewähren oder Verweigern von Benutzerberechtigungen zum Aktualisieren von Session Manager-Einstellungen](preference-setting-permissions.md)
+ [Angeben eines Zeitüberschreitungswerts für Leerlaufsitzungen](session-preferences-timeout.md)
+ [Angeben der maximalen Sitzungsdauer](session-preferences-max-timeout.md)
+ [Konfigurierbare Shell-Profile zulassen](session-preferences-shell-config.md)
+ [Run-As-Support für Linux- und macOS-verwaltete Knoten einschalten](session-preferences-run-as.md)
+ [So aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole)](session-preferences-enable-encryption.md)
+ [Erstellen eines Dokuments mit Session Manager-Einstellungen (Befehlszeile)](getting-started-create-preferences-cli.md)
+ [Aktualisieren von Session Manager-Einstellungen (Befehlszeile)](getting-started-configure-preferences-cli.md)
Weitere Informationen zur Verwendung der Systems Manager-Konsole zum Konfigurieren von Optionen für die Protokollierung von Sitzungsdaten finden Sie in den folgenden Themen:
+ [Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole)](session-manager-logging-s3.md)
+ [Streaming-Sitzungsdaten mit Amazon CloudWatch Logs (Konsole)](session-manager-logging-cwl-streaming.md)
+ [Protokollierung von Sitzungsdaten mit Amazon CloudWatch Logs (Konsole)](session-manager-logging-cloudwatch-logs.md)
# Gewähren oder Verweigern von Benutzerberechtigungen zum Aktualisieren von Session Manager-Einstellungen
Kontoeinstellungen werden jeweils AWS-Region als AWS Systems Manager (SSM-) Dokumente gespeichert. Bevor Benutzer die Kontoeinstellungen für Sitzungen in Ihrem Konto aktualisieren können, müssen ihnen die notwendigen Berechtigungen für den Zugriff auf die Art des SSM-Dokuments gewährt werden, in denen diese Einstellungen gespeichert werden. Diese Berechtigungen werden durch eine AWS Identity and Access Management (IAM-) Richtlinie gewährt.
**Administratorrichtlinie, die das Erstellen und Aktualisieren von Richtlinien zulässt**
Ein Administrator kann die folgende Richtlinie zum jederzeitigen Erstellen und Aktualisieren von Einstellungen besitzen. Die folgende Richtlinie gewährt die Berechtigung für Zugriff und Aktualisierung des Dokuments `SSM-SessionManagerRunShell` im Konto 123456789012 in der Region us-east-2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:CreateDocument",
"ssm:GetDocument",
"ssm:UpdateDocument",
"ssm:DeleteDocument"
],
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
**Benutzerrichtlinie, die das Aktualisieren von Einstellungen verhindert**
Mittels der folgenden Richtlinie verhindern Sie das Aktualisieren oder Überschreiben von Session Manager-Einstellungen durch Endbenutzer in Ihrem Konto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:CreateDocument",
"ssm:GetDocument",
"ssm:UpdateDocument",
"ssm:DeleteDocument"
],
"Effect": "Deny",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
# Angeben eines Zeitüberschreitungswerts für Leerlaufsitzungen
Session Manager, ein Tool in AWS Systems Manager, ermöglicht es Ihnen, den Zeitraum festzulegen, für den ein Benutzer inaktiv sein darf, bevor das System eine Sitzung beendet. Standardmäßig wird eine Sitzung nach 20 Minuten Inaktivität beendet. Sie können diese Einstellung ändern und eine Zeitüberschreitung zwischen 1 und 60 Minuten Inaktivität festlegen. Einige professionelle Agenturen für Computersicherheit empfehlen, Timeouts für inaktive Sitzungen auf maximal 15 Minuten festzulegen.
Der Timeout-Timer für inaktive Sitzungen wird zurückgesetzt, wenn clientseitige Eingaben Session Manager empfangen werden. Zu diesen Eingaben gehören, sind aber nicht beschränkt auf:
+ Tastatureingabe im Terminal
+ Ereignisse zur Größenänderung von Terminal- oder Browserfenstern
+ Wiederverbindung der Sitzung (ResumeSession), die aufgrund von Netzwerkunterbrechungen, der Verwaltung von Browser-Tabs oder Verbindungsabbrüchen auftreten kann WebSocket
Da bei diesen Ereignissen der Leerlauftimer zurückgesetzt wird, kann eine Sitzung auch ohne direkte Terminalbefehle länger als das konfigurierte Timeout aktiv bleiben.
Wenn Ihre Sicherheitsanforderungen unabhängig von der Aktivität strenge Beschränkungen für die Sitzungsdauer vorschreiben, verwenden Sie zusätzlich zum Timeout im Leerlauf die Einstellung *Maximale Sitzungsdauer*. Weitere Informationen finden Sie unter [Angeben der maximalen Sitzungsdauer](session-preferences-max-timeout.md).
**So lassen Sie Zeitüberschreitungen für Leerlaufsitzungen zu (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Geben Sie im Feld **minutes** unter **Zeitüberschreitung bei Leerlaufsitzung** an, wie lange ein Benutzer inaktiv sein kann, bevor eine Sitzung beendet wird.
1. Wählen Sie **Speichern**.
# Angeben der maximalen Sitzungsdauer
Session Manager, ein Tool in AWS Systems Manager, ermöglicht es Ihnen, die maximale Dauer einer Sitzung festzulegen, bevor sie endet. Standardmäßig haben Sitzungen keine maximale Dauer. Der Wert, den Sie für die maximale Sitzungsdauer angeben, muss zwischen 1 und 1 440 Minuten liegen.
**So geben Sie die maximale Sitzungsdauer an (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Aktivieren Sie das Kontrollkästchen neben **Enable maximum session duration** (Aktivieren der maximalen Sitzungsdauer).
1. Geben Sie die maximale Sitzungsdauer in dem Feld **minutes** (Minuten) unter **Maximum session duration** (Maximale Sitzungsdauer) an.
1. Wählen Sie **Speichern**.
# Konfigurierbare Shell-Profile zulassen
Standardmäßig starten Sitzungen auf EC2-Instances für Linux, die Bourne-Shell (sh) zu verwenden. Sie könnten jedoch eine andere Shell wie bash vorziehen. Indem Sie konfigurierbare Shell-Profile zulassen, können Sie Einstellungen in Sitzungen wie Shell-Einstellungen, Umgebungsvariablen, Arbeitsverzeichnissen und das Ausführen mehrerer Befehle anpassen, wenn eine Sitzung gestartet wird.
**Wichtig**
Systems Manager überprüft die Befehle oder Skripts in Ihrem Shell-Profil nicht, bevor sie ausgeführt werden, um zu sehen, welche Änderungen sie an einer Instance vornehmen würden. Um die Fähigkeit eines Benutzers, Befehle oder Skripte zu ändern, die in seinem Shell-Profil eingegeben wurden, einzuschränken, wird Folgendes empfohlen:
Erstellen Sie ein angepasstes Sitzungsdokument für Ihre AWS Identity and Access Management (IAM)-Benutzer und -Rollen. Ändern Sie dann die IAM-Richtlinie für diese Benutzer und Rollen so, dass die `StartSession` API-Operation nur das Sitzungstyp-Dokument verwenden kann, das Sie für sie erstellt haben. Weitere Informationen finden Sie unter [Erstellen eines Dokuments mit Session Manager-Einstellungen (Befehlszeile)](getting-started-create-preferences-cli.md) und [Kurzeinführung in Endbenutzerrichtlinien für Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user).
Ändern Sie die IAM-Richtlinie für Ihre IAM-Benutzer und -Rollen, um den Zugriff auf die `UpdateDocument` API-Operation für die von Ihnen erstellte Sitzungstyp-Dokumentressource zu verweigern. Auf diese Weise können Benutzer und Rollen das von Ihnen erstellte Dokument für ihre Sitzungseinstellungen verwenden, ohne dass sie die Einstellungen ändern können.
**So aktivieren Sie konfigurierbare Shell-Profile**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Geben Sie die Umgebungsvariablen, Shell-Einstellungen oder Befehle, die beim Start der Sitzung ausgeführt werden sollen, in den Feldern der entsprechenden Betriebssysteme an.
1. Wählen Sie **Speichern**.
Im Folgenden sehen Sie einige Beispielbefehle, die Ihrem Shell-Profil hinzugefügt werden können.
Wechseln Sie zur bash-Shell und wechseln Sie in das Verzeichnis /usr auf Linux-Instances.
```
exec /bin/bash
cd /usr
```
Geben Sie einen Zeitstempel und eine Begrüßungsnachricht zu Beginn einer Sitzung aus.
------
#### [ Linux & macOS ]
```
timestamp=$(date '+%Y-%m-%dT%H:%M:%SZ')
user=$(whoami)
echo $timestamp && echo "Welcome $user"'!'
echo "You have logged in to a production instance. Note that all session activity is being logged."
```
------
#### [ Windows ]
```
$timestamp = (Get-Date).ToString("yyyy-MM-ddTH:mm:ssZ")
$splitName = (whoami).Split("\")
$user = $splitName[1]
Write-Host $timestamp
Write-Host "Welcome $user!"
Write-Host "You have logged in to a production instance. Note that all session activity is being logged."
```
------
Zeigen Sie die dynamische Systemaktivität zu Beginn einer Sitzung an.
------
#### [ Linux & macOS ]
```
top
```
------
#### [ Windows ]
```
while ($true) { Get-Process | Sort-Object -Descending CPU | Select-Object -First 30; `
Start-Sleep -Seconds 2; cls
Write-Host "Handles NPM(K) PM(K) WS(K) VM(M) CPU(s) Id ProcessName";
Write-Host "------- ------ ----- ----- ----- ------ -- -----------"}
```
------
# Run-As-Support für Linux- und macOS-verwaltete Knoten einschalten
Standardmäßig authentifiziert Session Manager Verbindungen mit den Anmeldeinformationen des vom System generierten `ssm-user`-Kontos, das auf einem verwalteten Knoten erstellt wird. (Auf Linux- und macOS-Maschinen wird das Konto zu `/etc/sudoers/` hinzugefügt.) Wenn Sie möchten, können Sie Sitzungen stattdessen mit den Anmeldeinformationen eines Betriebssystem-Benutzerkontos (OS) oder eines Domainbenutzers für Instances authentifizieren, die einem Active Directory beigetreten sind. In diesem Fall überprüft Session Manager vor dem Starten der Sitzung, ob das von Ihnen angegebene Betriebssystemkonto auf dem Knoten oder in der Domain vorhanden ist. Wenn Sie versuchen, eine Sitzung mit einem Betriebssystemkonto zu starten, das auf dem Knoten oder in der Domain nicht vorhanden ist, schlägt die Verbindung fehl.
**Anmerkung**
Session Manager unterstützt nicht die Verwendung des `root`-Benutzerkontos eines Betriebssystems zur Authentifizierung von Verbindungen. Für Sitzungen, die mit einem Betriebssystem-Benutzerkonto authentifiziert werden, gelten die Betriebssystem- und Verzeichnisrichtlinien des Knotens, wie Anmeldeeinschränkungen oder Nutzungseinschränkungen für Systemressourcen, möglicherweise nicht.
**Funktionsweise**
Wenn Sie die Run As-Unterstützung für Sitzungen aktivieren, überprüft das System für Zugriffsberechtigungen wie folgt:
1. Wurde die IAM-Entität (Benutzer oder Rolle) des Benutzers, der die Sitzung startet, mit `SSMSessionRunAs = os user account name` gekennzeichnet?
Falls ja, ist der Betriebssystem-Benutzername auf dem verwalteten Knoten vorhanden? Wenn dies der Fall ist, wird die Sitzung gestartet. Wenn dies nicht der Fall ist, wird das Starten der Sitzung verboten.
Wenn die IAM-Entität *nicht* mit `SSMSessionRunAs = os user account name` gekennzeichnet wurde, fahren Sie mit Schritt 2 fort.
1. Wenn die IAM-Entität nicht markiert wurde`SSMSessionRunAs = os user account name`, wurde in den Session Manager Einstellungen von ein Betriebssystem-Benutzername angegeben? AWS-Konto
Falls ja, ist der Betriebssystem-Benutzername auf dem verwalteten Knoten vorhanden? Wenn dies der Fall ist, wird die Sitzung gestartet. Wenn dies nicht der Fall ist, wird das Starten der Sitzung verboten.
**Anmerkung**
Wenn Sie die Unterstützung „Ausführen als“ aktivieren, wird Session Manager daran gehindert, Sitzungen mit dem `ssm-user`-Konto auf einem verwalteten Knoten zu starten. Dies bedeutet, dass, wenn Session Manager die Verbindung nicht mithilfe des angegebenen Betriebssystem-Benutzerkontos herstellen kann, es nicht auf die Standardmethode zurückgreift.
Wenn Sie „Ausführen als“ aktivieren, ohne ein Betriebssystemkonto anzugeben oder eine IAM-Entität zu markieren, und Sie in den Session Manager-Einstellungen kein Betriebssystemkonto angegeben haben, schlagen Sitzungsverbindungsversuche fehl.
**So aktivieren Sie den Run-As-Support für Linux- und macOS-verwaltete Knoten**
1. Öffnen Sie die AWS Systems Manager Konsole unter. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Aktivieren Sie das Kontrollkästchen neben **Run As-Unterstützung für Linux-Instances aktivieren**.
1. Führen Sie eine der folgenden Aktionen aus:
+ **Option 1**: Geben Sie im Feld **Benutzername des Betriebssystems** den Namen des Benutzerkontos des Betriebssystems auf dem verwalteten Zielknoten ein, den Sie zum Starten von Sitzungen verwenden möchten. Wenn Sie diese Option verwenden, werden alle Sitzungen von demselben Betriebssystembenutzer für alle Benutzer in Ihrem System ausgeführt AWS-Konto , die eine Verbindung herstellenSession Manager.
+ **Option 2** (Empfohlen): Wählen Sie den Link **IAM-Konsole öffnen** aus. Wählen Sie im Navigationsbereich eine der Optionen **Users (Benutzer)** oder **Roles (Rollen)**. Wählen Sie die Entität (Benutzer oder Rolle) aus, der Sie Tags hinzufügen möchten, und wählen Sie dann die Registerkarte **Tags**. Geben Sie `SSMSessionRunAs` als Schlüsselname ein. Geben Sie den Namen eines Betriebssystem-Benutzerkontos als den Schlüsselwert ein. Wählen Sie **Änderungen speichern ** aus.
Mit dieser Option können Sie bei Bedarf eindeutige Betriebssystembenutzer für verschiedene IAM-Entitäten angeben. Weitere Informationen zum Markieren von IAM-Ressourcen (Benutzer oder Rollen) finden Sie unter [Markieren von IAM-Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.
Im Folgenden wird ein -Beispiel gezeigt.
![\[Screenshot der Angabe von Tags für Session Manager Berechtigung „Run As“.\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/images/ssn-run-as-tags.png)
1. Wählen Sie **Speichern**.
# So aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole)
Verwenden Sie AWS Key Management Service (AWS KMS), um Verschlüsselungsschlüssel zu erstellen und zu verwalten. Mit AWS KMS können Sie die Verwendung von Verschlüsselung in einer Vielzahl von AWS-Services und in Ihren Anwendungen steuern. Sie können angeben, dass Sitzungsdaten, die zwischen Ihren verwalteten Knoten und den lokalen Computern der Benutzer in Ihren AWS-Konto Knoten übertragen werden, mithilfe der KMS-Schlüsselverschlüsselung verschlüsselt werden. (Dies ist eine Ergänzung zur TLS 1.2/1.3-Verschlüsselung, die AWS bereits standardmäßig zur Verfügung steht.) Um Session Manager Sitzungsdaten zu verschlüsseln, erstellen Sie einen *symmetrischen* KMS-Schlüssel mit. AWS KMS
AWS KMS Verschlüsselung ist für die `Standard_Stream` `NonInteractiveCommands` Sitzungstypen`InteractiveCommands`, und verfügbar. Um die Option zum Verschlüsseln von Sitzungsdaten mit einem Schlüssel verwenden zu können AWS KMS, der in Version 2.3.539.0 oder höher von erstellt wurde, AWS Systems Manager SSM Agent muss auf dem verwalteten Knoten installiert sein.
**Anmerkung**
Sie müssen die AWS KMS Verschlüsselung zulassen, um Kennwörter auf Ihren verwalteten Knoten von der Konsole aus zurückzusetzen. AWS Systems Manager Weitere Informationen finden Sie unter [Zurücksetzen eines Passworts auf einem verwalteten Knoten](fleet-manager-reset-password.md#managed-instance-reset-a-password).
Sie können einen Schlüssel verwenden, den Sie in Ihrem erstellt haben AWS-Konto. Sie können jedoch auch einen Schlüssel verwenden, der in einem anderen AWS-Konto erstellt wurde. Der Ersteller des Schlüssels in einer anderen Datei AWS-Konto muss Ihnen die für die Verwendung des Schlüssels erforderlichen Berechtigungen zur Verfügung stellen.
Nachdem Sie die KMS-Schlüsselverschlüsselung für Ihre Sitzungsdaten aktiviert haben, müssen sowohl die Benutzer, die Sitzungen starten, als auch die verwalteten Knoten, mit denen sie verbunden sind, über die Berechtigung zur Verwendung des Schlüssels verfügen. Sie erteilen die Erlaubnis zur Verwendung des KMS-Schlüssels Session Manager mithilfe von AWS Identity and Access Management (IAM-) Richtlinien. Weitere Informationen finden Sie unter den folgenden Themen:
+ Fügen Sie AWS KMS Berechtigungen für Benutzer in Ihrem Konto hinzu:[Muster-IAM-Richtlinien für Session Manager](getting-started-restrict-access-quickstart.md).
+ Fügen Sie AWS KMS Berechtigungen für verwaltete Knoten in Ihrem Konto hinzu:[Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager](session-manager-getting-started-instance-profile.md).
Weitere Informationen zum Erstellen und Verwalten von KMS-Schlüsseln finden Sie im [https://docs.aws.amazon.com/kms/latest/developerguide/](https://docs.aws.amazon.com/kms/latest/developerguide/).
Informationen zur Verwendung von AWS CLI , um die KMS-Schlüsselverschlüsselung von Sitzungsdaten in Ihrem Konto zu aktivieren, finden Sie unter [Erstellen eines Dokuments mit Session Manager-Einstellungen (Befehlszeile)](getting-started-create-preferences-cli.md) oder[Aktualisieren von Session Manager-Einstellungen (Befehlszeile)](getting-started-configure-preferences-cli.md).
**Anmerkung**
Es entstehen Kosten für die Verwendung von KMS-Schlüsseln. Weitere Informationen finden Sie unter [AWS Key Management Service -Preise](https://aws.amazon.com/kms/pricing/).
**So aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Aktivieren Sie das Kontrollkästchen neben **Enable KMS encryption** (Aktivieren der KMS-Verschlüsselung).
1. Führen Sie eine der folgenden Aktionen aus:
+ Klicken Sie auf die Schaltfläche neben **Select a KMS key in my current account (Einen KMS-Schlüssel in meinem aktuellen Konto auswählen)** und wählen Sie anschließend einen Schlüssel aus der Liste aus.
–oder–
Wählen Sie die Schaltfläche neben **Enter a KMS key alias or KMS key ARN (Einen KMS-Schlüssel-Alias oder KMS-Schlüssel-ARN eingeben)** aus. Geben Sie manuell einen KMS-Schlüssel-Alias für einen Schlüssel ein, der in Ihrem aktuellen Konto erstellt wurde. Für einen Schlüssel in einem anderen Konto geben Sie den Amazon-Ressourcennamen (ARN) des Schlüssels ein. Im Folgenden sind einige Beispiele aufgeführt:
+ Schlüssel-Alias: `alias/my-kms-key-alias`
+ Schüssel-ARN: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE`
–oder–
Wählen Sie **Create new key (Neuen Schlüssel erstellen)**, um einen neuen KMS-Schlüssel in Ihrem Konto zu erstellen. Nachdem Sie den neuen Schlüssel erstellt haben, kehren Sie zur Registerkarte **Preferences (Einstellungen)** zurück und wählen Sie den Schlüssel zum Verschlüsseln der Sitzungsdaten in Ihrem Konto aus.
Weitere Informationen zur gemeinsamen Nutzung von Schlüsseln finden Sie im *AWS Key Management Service Entwicklerhandbuch unter [AWS-Konten Erlauben des Zugriffs auf Schlüssel durch externe](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-external-accounts) Benutzer*.
1. Wählen Sie **Speichern**.
# Erstellen eines Dokuments mit Session Manager-Einstellungen (Befehlszeile)
Gehen Sie wie folgt vor, um SSM-Dokumente zu erstellen, die Ihre Einstellungen für AWS Systems Manager Session Manager Sitzungen definieren. Sie können das Dokument verwenden, um Sitzungsoptionen wie Datenverschlüsselung, Sitzungsdauer und Protokollierung zu konfigurieren. Sie können beispielsweise angeben, ob Sitzungsprotokolldaten in einem Amazon Simple Storage Service (Amazon S3) -Bucket oder einer Amazon CloudWatch Logs-Protokollgruppe gespeichert werden sollen. Sie können Dokumente erstellen, die allgemeine Einstellungen für alle Sitzungen für ein AWS-Konto und AWS-Region oder Einstellungen für einzelne Sitzungen definieren.
**Anmerkung**
Sie können die allgemeinen Sitzungseinstellungen auch über die Session-Manager-Konsole konfigurieren.
Dokumente, die zum Einstellen von Session-Manager-Einstellungen verwendet werden, müssen einen `sessionType` von `Standard_Stream` haben. Weitere Informationen zu Sitzungs-Dokumenten finden Sie unter [Schema des Sitzungsdokuments](session-manager-schema.md).
Weitere Informationen zur Verwendung der Befehlszeile zum Aktualisieren vorhandener Session Manager-Einstellungen finden Sie unter [Aktualisieren von Session Manager-Einstellungen (Befehlszeile)](getting-started-configure-preferences-cli.md).
Ein Beispiel für die Erstellung von Sitzungseinstellungen mit CloudFormation finden Sie unter [Erstellen eines Systems Manager Manager-Dokuments für Session Manager Einstellungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ssm-document.html#aws-resource-ssm-document--examples) im *AWS CloudFormation Benutzerhandbuch*.
**Anmerkung**
In diesem Verfahren wird beschrieben, wie Dokumente für die Festlegung von Session Manager Einstellungen auf der AWS-Konto Ebene erstellt werden. Um Dokumente zu erstellen, die für die Festlegung von Einstellungen auf Sitzungsebene verwendet werden, geben Sie einen anderen Wert als `SSM-SessionManagerRunShell` für die dateibezogenen Befehlseingaben an.
Wenn Sie Ihr Dokument verwenden möchten, um Einstellungen für Sitzungen festzulegen, die mit der AWS Command Line Interface (AWS CLI) gestartet wurden, geben Sie den Dokumentnamen als `--document-name`-Parameterwert an. Um Einstellungen für Sitzungen vorzunehmen, die von der Session-Manager-Konsole aus gestartet werden, können Sie den Namen Ihres Dokuments eingeben oder aus einer Liste auswählen.
**So erstellen Sie Session Manager-Einstellungen (Befehlszeile)**
1. Erstellen Sie eine JSON-Datei auf Ihrem lokalen Computer und geben Sie Ihr beispielsweise einen Namen wie `SessionManagerRunShell.json`. Fügen Sie der Datei anschließend den folgenden Inhalt ein.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "",
"s3KeyPrefix": "",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "",
"runAsEnabled": false,
"runAsDefaultUser": "",
"idleSessionTimeout": "",
"maxSessionDuration": "",
"shellProfile": {
"windows": "date",
"linux": "pwd;ls"
}
}
}
```
Sie können Werte auch mithilfe von Parametern an Ihre Sitzungseinstellungen übergeben, anstatt die Werte fest zu kodieren, wie im folgenden Beispiel gezeigt.
```
{
"schemaVersion":"1.0",
"description":"Session Document Parameter Example JSON Template",
"sessionType":"Standard_Stream",
"parameters":{
"s3BucketName":{
"type":"String",
"default":""
},
"s3KeyPrefix":{
"type":"String",
"default":""
},
"s3EncryptionEnabled":{
"type":"Boolean",
"default":"false"
},
"cloudWatchLogGroupName":{
"type":"String",
"default":""
},
"cloudWatchEncryptionEnabled":{
"type":"Boolean",
"default":"false"
}
},
"inputs":{
"s3BucketName":"{{s3BucketName}}",
"s3KeyPrefix":"{{s3KeyPrefix}}",
"s3EncryptionEnabled":"{{s3EncryptionEnabled}}",
"cloudWatchLogGroupName":"{{cloudWatchLogGroupName}}",
"cloudWatchEncryptionEnabled":"{{cloudWatchEncryptionEnabled}}",
"kmsKeyId":""
}
}
```
1. Legen Sie fest, wohin Sie die Sitzungsdaten senden möchten. Sie können einen S3-Bucket-Namen (mit optionalem Präfix) oder einen CloudWatch Logs-Log-Gruppennamen angeben. Wenn Sie die Daten zwischen dem lokalen Client und den verwalteten Knoten weiter verschlüsseln möchten, geben Sie den KMS-Schlüssel ein, der für die Verschlüsselung verwendet werden soll. Im Folgenden wird ein -Beispiel gezeigt.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "amzn-s3-demo-bucket",
"s3KeyPrefix": "MyS3Prefix",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "MyLogGroupName",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "MyKMSKeyID",
"runAsEnabled": true,
"runAsDefaultUser": "MyDefaultRunAsUser",
"idleSessionTimeout": "20",
"maxSessionDuration": "60",
"shellProfile": {
"windows": "MyCommands",
"linux": "MyCommands"
}
}
}
```
**Anmerkung**
Wenn Sie die Protokolldaten der Sitzung nicht verschlüsseln möchten, ändern Sie für `s3EncryptionEnabled` `true` in `false`.
Wenn Sie keine Protokolle an einen Amazon S3 S3-Bucket oder eine CloudWatch Logs-Protokollgruppe senden, aktive Sitzungsdaten nicht verschlüsseln oder die Unterstützung „Als ausführen“ für die Sitzungen in Ihrem Konto nicht aktivieren möchten, können Sie die Zeilen für diese Optionen löschen. Überprüfen Sie, dass die letzte Zeile im Abschnitt `inputs` nicht mit einem Komma endet.
Wenn Sie eine KMS-Schlüssel-ID zum Verschlüsseln Ihrer Sitzungsdaten hinzufügen, müssen sowohl die Benutzer, die die Sitzungen starten, als auch die verwalteten Knoten, mit denen sie sich verbinden, über die Berechtigung zur Verwendung des Schlüssels verfügen. Sie erteilen die Berechtigung zur Verwendung des KMS-Schlüssels mit Session Manager anhand von IAM-Richtlinien. Weitere Informationen finden Sie unter den folgenden Themen:
Fügen Sie AWS KMS Berechtigungen für Benutzer in Ihrem Konto hinzu: [Muster-IAM-Richtlinien für Session Manager](getting-started-restrict-access-quickstart.md)
Fügen Sie AWS KMS Berechtigungen für verwaltete Knoten in Ihrem Konto hinzu: [Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager](session-manager-getting-started-instance-profile.md)
1. Speichern Sie die Datei.
1. Führen Sie in dem Verzeichnis, in dem Sie die JSON-Datei erstellt haben, den folgenden Befehl aus.
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--name SSM-SessionManagerRunShell \
--content "file://SessionManagerRunShell.json" \
--document-type "Session" \
--document-format JSON
```
------
#### [ Windows ]
```
aws ssm create-document ^
--name SSM-SessionManagerRunShell ^
--content "file://SessionManagerRunShell.json" ^
--document-type "Session" ^
--document-format JSON
```
------
#### [ PowerShell ]
```
New-SSMDocument `
-Name "SSM-SessionManagerRunShell" `
-Content (Get-Content -Raw SessionManagerRunShell.json) `
-DocumentType "Session" `
-DocumentFormat JSON
```
------
Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:
```
{
"DocumentDescription": {
"Status": "Creating",
"Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE",
"Name": "SSM-SessionManagerRunShell",
"Tags": [],
"DocumentType": "Session",
"PlatformTypes": [
"Windows",
"Linux"
],
"DocumentVersion": "1",
"HashType": "Sha256",
"CreatedDate": 1547750660.918,
"Owner": "111122223333",
"SchemaVersion": "1.0",
"DefaultVersion": "1",
"DocumentFormat": "JSON",
"LatestVersion": "1"
}
}
```
# Aktualisieren von Session Manager-Einstellungen (Befehlszeile)
Das folgende Verfahren beschreibt, wie Sie Ihr bevorzugtes Befehlszeilentool verwenden, um Änderungen an den AWS Systems Manager Session Manager Einstellungen für Ihr AWS-Konto ausgewähltes Konto vorzunehmen AWS-Region. Verwenden Sie Session Manager Einstellungen, um Optionen für die Protokollierung von Sitzungsdaten in einem Amazon Simple Storage Service (Amazon S3) -Bucket oder einer Amazon CloudWatch Logs-Protokollgruppe festzulegen. Mithilfe der Session Manager-Einstellungen können Sie zudem Ihre Sitzungsdaten verschlüsseln.
**So aktualisieren Sie Session Manager-Einstellungen (Befehlszeile)**
1. Erstellen Sie eine JSON-Datei auf Ihrem lokalen Computer und geben Sie Ihr beispielsweise einen Namen wie `SessionManagerRunShell.json`. Fügen Sie der Datei anschließend den folgenden Inhalt ein.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "",
"s3KeyPrefix": "",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "",
"runAsEnabled": true,
"runAsDefaultUser": "",
"idleSessionTimeout": "",
"maxSessionDuration": "",
"shellProfile": {
"windows": "date",
"linux": "pwd;ls"
}
}
}
```
1. Legen Sie fest, wohin Sie die Sitzungsdaten senden möchten. Sie können einen S3-Bucket-Namen (mit einem optionalen Präfix) oder einen CloudWatch Logs-Protokollgruppennamen angeben. Wenn Sie Daten zwischen dem lokalen Client und den verwalteten Knoten weiter verschlüsseln möchten, geben Sie den für die Verschlüsselung AWS KMS key zu verwendenden Knoten an. Im Folgenden wird ein -Beispiel gezeigt.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "amzn-s3-demo-bucket",
"s3KeyPrefix": "MyS3Prefix",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "MyLogGroupName",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "MyKMSKeyID",
"runAsEnabled": true,
"runAsDefaultUser": "MyDefaultRunAsUser",
"idleSessionTimeout": "20",
"maxSessionDuration": "60",
"shellProfile": {
"windows": "MyCommands",
"linux": "MyCommands"
}
}
}
```
**Anmerkung**
Wenn Sie die Protokolldaten der Sitzung nicht verschlüsseln möchten, ändern Sie für `s3EncryptionEnabled` `true` in `false`.
Wenn Sie keine Protokolle an einen Amazon S3 S3-Bucket oder eine CloudWatch Logs-Protokollgruppe senden, aktive Sitzungsdaten nicht verschlüsseln oder die Unterstützung „Als ausführen“ für die Sitzungen in Ihrem Konto nicht aktivieren möchten, können Sie die Zeilen für diese Optionen löschen. Überprüfen Sie, dass die letzte Zeile im Abschnitt `inputs` nicht mit einem Komma endet.
Wenn Sie eine KMS-Schlüssel-ID zum Verschlüsseln Ihrer Sitzungsdaten hinzufügen, müssen sowohl die Benutzer, die die Sitzungen starten, als auch die verwalteten Knoten, mit denen sie sich verbinden, über die Berechtigung zur Verwendung des Schlüssels verfügen. Sie erteilen die Erlaubnis, den KMS-Schlüssel Session Manager mithilfe von AWS Identity and Access Management (IAM) -Richtlinien zu verwenden. Weitere Informationen finden Sie unter den folgenden Themen:
Fügen Sie AWS KMS Berechtigungen für Benutzer in Ihrem Konto hinzu:[Muster-IAM-Richtlinien für Session Manager](getting-started-restrict-access-quickstart.md).
Fügen Sie AWS KMS Berechtigungen für verwaltete Knoten in Ihrem Konto hinzu:[Schritt 2: Überprüfen oder Hinzufügen von Instance-Berechtigungen für Session Manager](session-manager-getting-started-instance-profile.md).
1. Speichern Sie die Datei.
1. Führen Sie in dem Verzeichnis, in dem Sie die JSON-Datei erstellt haben, den folgenden Befehl aus.
------
#### [ Linux & macOS ]
```
aws ssm update-document \
--name "SSM-SessionManagerRunShell" \
--content "file://SessionManagerRunShell.json" \
--document-version "\$LATEST"
```
------
#### [ Windows ]
```
aws ssm update-document ^
--name "SSM-SessionManagerRunShell" ^
--content "file://SessionManagerRunShell.json" ^
--document-version "$LATEST"
```
------
#### [ PowerShell ]
```
Update-SSMDocument `
-Name "SSM-SessionManagerRunShell" `
-Content (Get-Content -Raw SessionManagerRunShell.json) `
-DocumentVersion '$LATEST'
```
------
Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:
```
{
"DocumentDescription": {
"Status": "Updating",
"Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE",
"Name": "SSM-SessionManagerRunShell",
"Tags": [],
"DocumentType": "Session",
"PlatformTypes": [
"Windows",
"Linux"
],
"DocumentVersion": "2",
"HashType": "Sha256",
"CreatedDate": 1537206341.565,
"Owner": "111122223333",
"SchemaVersion": "1.0",
"DefaultVersion": "1",
"DocumentFormat": "JSON",
"LatestVersion": "2"
}
}
```
# Schritt 5: (Optional) Beschränken des Zugriffs auf Befehle in einer Sitzung
Sie können die Befehle einschränken, die ein Benutzer in einer AWS Systems Manager Session Manager Sitzung ausführen kann, indem Sie ein Dokument mit benutzerdefiniertem `Session` Typ AWS Systems Manager (SSM) verwenden. In dem Dokument definieren Sie den Befehl, der ausgeführt wird, wenn der Benutzer eine Sitzung startet, und die Parameter, die der Benutzer dem Befehl übergeben kann. Die `Session` des `schemaVersion`-Dokuments muss 1.0 und der `sessionType` des Dokuments muss `InteractiveCommands` lauten. Anschließend können Sie AWS Identity and Access Management (IAM)-Richtlinien erstellen, die es den Benutzern ermöglichen, nur auf die von Ihnen definierten `Session`-Dokumente zuzugreifen. Weitere Informationen zur Verwendung von IAM-Richtlinien zum Beschränken des Zugriffs auf Befehle in einer Sitzung finden Sie unter [IAM-Richtlinienbeispiele für interaktive Befehle](#interactive-command-policy-examples).
Dokumente mit dem Zeichen `sessionType` von `InteractiveCommands` werden nur für Sitzungen unterstützt, die mit AWS Command Line Interface (AWS CLI) gestartet wurden. Der Benutzer gibt den Namen des benutzerdefinierten Dokuments als `--document-name`-Parameterwert an und gibt alle Befehlsparameterwerte über die Option `--parameters` an. Weitere Informationen zur Ausführung interaktiver Befehle finden Sie unter [Starten einer Sitzung (interaktive und nicht interaktive Befehle)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands).
Gehen Sie wie folgt vor, um ein SSM-Dokument vom benutzerdefinierten Typ `Session` zu erstellen, das den Befehl definiert, den ein Benutzer ausführen darf.
## Beschränken des Zugriffs auf Befehle in einer Sitzung (Konsole)
**So beschränken Sie die Befehle, die ein Benutzer in einer Session Manager-Sitzung ausführen kann (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich die Option **Dokumente** aus.
1. Wählen Sie **Create command or session (Befehl oder Sitzung erstellen)** aus.
1. Geben Sie unter **Name** einen aussagekräftigen Namen für das Dokument ein.
1. Wählen Sie für **Document type (Dokumenttyp)** die Option **Session document (Sitzungsdokument)** aus.
1. Geben Sie mithilfe von JSON oder YAML Ihren Dokumentinhalt ein, der den Befehl definiert, den ein Benutzer in einer Session Manager-Sitzung ausführen kann, wie im folgenden Beispiel gezeigt.
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to view a log file on a Linux instance
sessionType: InteractiveCommands
parameters:
logpath:
type: String
description: The log file path to read.
default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
properties:
linux:
commands: "tail -f {{ logpath }}"
runAsElevated: true
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to view a log file on a Linux instance",
"sessionType": "InteractiveCommands",
"parameters": {
"logpath": {
"type": "String",
"description": "The log file path to read.",
"default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
"allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
}
},
"properties": {
"linux": {
"commands": "tail -f {{ logpath }}",
"runAsElevated": true
}
}
}
```
------
1. Wählen Sie **Create document** (Dokument erstellen) aus.
## Beschränken des Zugriffs auf Befehle in einer Sitzung (Befehlszeile)
**Bevor Sie beginnen**
Falls Sie es noch nicht getan haben, installieren und konfigurieren Sie die AWS Command Line Interface (AWS CLI) oder die AWS -Tools für PowerShell. Weitere Informationen finden Sie unter [Installieren oder Aktualisieren der neuesten Version der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [Installieren des AWS -Tools für PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
**So beschränken Sie die Befehle, die ein Benutzer in einer Session Manager-Sitzung ausführen kann (Befehlszeile)**
1. Erstellen Sie eine JSON- oder YAML-Datei für Ihren Dokumentinhalt, der den Befehl definiert, den ein Benutzer in einer Session Manager-Sitzung ausführen kann, wie im folgenden Beispiel gezeigt.
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to view a log file on a Linux instance
sessionType: InteractiveCommands
parameters:
logpath:
type: String
description: The log file path to read.
default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
properties:
linux:
commands: "tail -f {{ logpath }}"
runAsElevated: true
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to view a log file on a Linux instance",
"sessionType": "InteractiveCommands",
"parameters": {
"logpath": {
"type": "String",
"description": "The log file path to read.",
"default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
"allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
}
},
"properties": {
"linux": {
"commands": "tail -f {{ logpath }}",
"runAsElevated": true
}
}
}
```
------
1. Führen Sie die folgenden Befehle aus, um ein SSM-Dokument unter Verwendung Ihres Inhalts zu erstellen, der den Befehl definiert, den ein Benutzer in einer Session Manager-Sitzung ausführen kann.
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--content file://path/to/file/documentContent.json \
--name "exampleAllowedSessionDocument" \
--document-type "Session"
```
------
#### [ Windows ]
```
aws ssm create-document ^
--content file://C:\path\to\file\documentContent.json ^
--name "exampleAllowedSessionDocument" ^
--document-type "Session"
```
------
#### [ PowerShell ]
```
$json = Get-Content -Path "C:\path\to\file\documentContent.json" | Out-String
New-SSMDocument `
-Content $json `
-Name "exampleAllowedSessionDocument" `
-DocumentType "Session"
```
------
## Interaktive Befehlsparameter und AWS CLI
Sie können interaktive Befehlsparameter bereitstellen, wenn Sie die AWS CLI verwenden. Je nach Betriebssystem (OS) Ihres Client-Computers, mit dem Sie eine Verbindung zu verwalteten Knoten herstellen, kann die Syntax AWS CLI, die Sie für Befehle angeben, die Sonder- oder Escape-Zeichen enthalten, unterschiedlich sein. Die folgenden Beispiele zeigen einige der verschiedenen Möglichkeiten, wie Sie Befehlsparameter angeben können, wenn Sie die verwenden AWS CLI, und wie mit Sonder- oder Escape-Zeichen umgegangen wird.
Auf Parameter, die in gespeichert sind, Parameter Store kann in den AWS CLI Befehlsparametern verwiesen werden, wie im folgenden Beispiel gezeigt.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters '{"command":["{{ssm:mycommand}}"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters '{"command":["{{ssm:mycommand}}"]}'
```
------
Das folgende Beispiel zeigt, wie Sie mit der AWS CLI eine Kurzschriftsyntax verwenden, um Parameter zu übergeben.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters command="ifconfig"
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters command="ipconfig"
```
------
Sie können auch optionale Parameter in JSON angeben, wie im folgenden Beispiel dargestellt.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters '{"command":["ifconfig"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters '{"command":["ipconfig"]}'
```
------
Parameter können auch in einer JSON-Datei gespeichert und für die bereitgestellt werden, AWS CLI wie im folgenden Beispiel gezeigt. Weitere Informationen zur Verwendung von AWS CLI -Parametern aus einer Datei finden Sie unter [Laden von AWS CLI -Parametern aus einer Datei](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-parameters-file.html) im *AWS Command Line Interface -Benutzerhandbuch*.
```
{
"command": [
"my command"
]
}
```
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters file://complete/path/to/file/parameters.json
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters file://complete/path/to/file/parameters.json
```
------
Sie können auch ein AWS CLI Skelett aus einer JSON-Eingabedatei generieren, wie im folgenden Beispiel gezeigt. *Weitere Informationen zum Generieren von AWS CLI Skeletten aus JSON-Eingabedateien finden Sie im Benutzerhandbuch unter [Generieren von AWS CLI Skeletten und Eingabeparametern aus einer JSON- oder YAML-Eingabedatei](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-skeleton.html).AWS Command Line Interface *
```
{
"Target": "instance-id",
"DocumentName": "MyInteractiveCommandDocument",
"Parameters": {
"command": [
"my command"
]
}
}
```
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--cli-input-json file://complete/path/to/file/parameters.json
```
------
#### [ Windows ]
```
aws ssm start-session ^
--cli-input-json file://complete/path/to/file/parameters.json
```
------
Um Zeichen in Anführungszeichen zu maskieren, müssen Sie den Escapezeichen zusätzliche umgekehrte Schrägstriche hinzufügen, wie im folgenden Beispiel gezeigt.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters '{"command":["printf \"abc\\\\tdef\""]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters '{"command":["printf \"abc\\\\tdef\""]}'
```
------
Informationen zum Verwenden von Anführungszeichen bei Befehlsparametern in AWS CLI finden Sie unter [Verwenden von Anführungszeichen mit Zeichenfolgen in der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-parameters-quoting-strings.html) im *AWS Command Line Interface -Benutzerhandbuch*.
## IAM-Richtlinienbeispiele für interaktive Befehle
Sie können IAM-Richtlinien erstellen, mit denen Benutzer nur auf die von Ihnen definierten `Session`-Dokumente zugreifen können. Dadurch werden die Befehle, die ein Benutzer in einer Session Manager-Sitzung ausführen kann, nur auf die Befehle beschränkt, die in Ihren benutzerdefinierten SSM-Dokumenten vom Typ `Session` definiert sind.
**Einem Benutzer erlauben, einen interaktiven Befehl auf einem einzelnen verwalteten Knoten auszuführen**
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ssm:StartSession",
"Resource":[
"arn:aws:ec2:us-east-1:444455556666:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
**Einem Benutzer erlauben, einen interaktiven Befehl auf allen verwalteten Knoten auszuführen**
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ssm:StartSession",
"Resource":[
"arn:aws:ec2:us-east-1:444455556666:instance/*",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
**Einem Benutzer erlauben, mehrere interaktive Befehle auf allen verwalteten Knoten auszuführen**
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ssm:StartSession",
"Resource":[
"arn:aws:ec2:us-east-1:444455556666:instance/*",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document-2"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
# Schritt 6: (Optional) Verwenden Sie diese Option AWS PrivateLink , um einen VPC-Endpunkt einzurichten für Session Manager
Sie können den Sicherheitsstatus Ihrer verwalteten Knoten weiter verbessern, indem Sie AWS Systems Manager zum Verwenden eines Virtual Private Cloud (VPC)-Schnittstellenendpunkts konfigurieren. Schnittstellenendpunkte werden von einer Technologie unterstützt AWS PrivateLink, mit der Sie über private IP-Adressen privat auf Amazon Elastic Compute Cloud (Amazon EC2) und Systems Manager APIs zugreifen können.
AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Knoten, Systems Manager und Amazon EC2 auf das Amazon-Netzwerk ein. (Verwaltete Knoten haben keinen Zugriff auf das Internet.) Zudem benötigen Sie kein Internet-Gateway, kein NAT-Gerät und kein Virtual Private Gateway.
Informationen zum Erstellen eines VPC-Endpunkts finden Sie unter [Die Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten verbessern](setup-create-vpc.md) für Systems Manager.
Die Alternative zur Verwendung eines VPC-Endpunkts ist das Erlauben von ausgehendem Internetzugriff auf Ihre verwalteten Knoten. In diesem Fall müssen die verwalteten Knoten auch ausgehenden HTTPS-Datenverkehr (Port 443) zu den folgenden Endpunkten erlauben:
+ `ec2messages.region.amazonaws.com`
+ `ssm.region.amazonaws.com`
+ `ssmmessages.region.amazonaws.com`
Systems Manager verwendet `ssmmessages.region.amazonaws.com`, den letzten dieser Endpunkte, über den Sie Anrufe von SSM Agent auf den Session Manager-Service in der Cloud tätigen können.
Um optionale Funktionen wie AWS Key Management Service (AWS KMS) -Verschlüsselung, das Streamen von Protokollen an Amazon CloudWatch Logs (CloudWatch Logs) und das Senden von Protokollen an Amazon Simple Storage Service (Amazon S3) zu nutzen, müssen Sie ausgehenden HTTPS-Verkehr (Port 443) zu den folgenden Endpunkten zulassen:
+ `kms.region.amazonaws.com`
+ `logs.region.amazonaws.com`
+ `s3.region.amazonaws.com`
Weitere Informationen zu erforderlichen Endpunkten für Systems Manager finden Sie unter [Referenz: ec2messages, ssmmessages und andere API-Operationen](systems-manager-setting-up-messageAPIs.md).
# Schritt 7: (Optional) Deaktivieren oder Aktivieren der Administratorberechtigungen für das SSM-Benutzerkonto
Ab Version 2.3.50.0 von AWS Systems Manager SSM Agent erstellt der Agent ein lokales Benutzerkonto mit dem Namen `ssm-user` und fügt es der Administratorgruppe `/etc/sudoers` (LinuxundmacOS) oder der Administratorgruppe (Windows) hinzu. Auf Agenten-Versionen vor 2.3.612.0 wird das Konto beim ersten Start bzw. Neustart des SSM Agent nach der Installation erstellt. Auf Version 2.3.612.0 und höher wird das `ssm-user`-Konto beim ersten Start einer Sitzung auf einem Knoten erstellt. Dies `ssm-user` ist der Standardbenutzer des Betriebssystems (OS), wenn eine AWS Systems Manager Session Manager Sitzung gestartet wird. SSM AgentVersion 2.3.612.0 wurde am 8. Mai 2019 veröffentlicht.
Wenn Sie verhindern möchten, dass Session Manager-Benutzer administrative Befehle auf einem Knoten ausführen, können Sie ihre `ssm-user`-Kontoberechtigungen aktualisieren. Sie können diese Berechtigungen wiederherstellen, nachdem sie entfernt wurden.
**Topics**
+ [Verwalten von sudo-Berechtigungen für ssm-user-Konten in Linux und macOS](#ssm-user-permissions-linux)
+ [Verwalten von Administratorberechtigungen für das Konto ssm-user in Windows Server](#ssm-user-permissions-windows)
## Verwalten von sudo-Berechtigungen für ssm-user-Konten in Linux und macOS
Mit den folgenden Verfahren können Sie die sudo-Berechtigungen von ssm-Benutzerkonten auf Linux- und macOS-verwalteten Knoten aktivieren oder deaktivieren.
**Verwenden von Run Command zum Ändern von sudo-Berechtigungen für ssm-user (Konsole)**
+ Verwenden Sie die Prozedur in [Ausführen von Befehlen über die Konsole](running-commands-console.md) mit den folgenden Werten:
+ Wählen Sie unter **Command document (Befehlsdokument)** die Option `AWS-RunShellScript` aus.
+ Um den sudo-Zugriff zu entfernen, fügen Sie im Bereich **Command parameters (Befehlsparameter)** Folgendes in das Feld **Commands (Befehle)** ein.
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
–oder–
Um den sudo-Zugriff wiederherzustellen, fügen Sie im Bereich **Command parameters (Befehlsparameter)** Folgendes in das Feld **Commands (Befehle)** ein.
```
cd /etc/sudoers.d
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```
**Verwenden der Befehlszeile zum Ändern von sudo-Berechtigungen für ssm-user (AWS CLI)**
1. Stellen Sie eine Verbindung zum verwalteten Knoten her und führen Sie den folgenden Befehl aus.
```
sudo -s
```
1. Ändern Sie den Arbeitsordner mit dem folgenden Befehl.
```
cd /etc/sudoers.d
```
1. Öffnen Sie die Datei mit dem Namen `ssm-agent-users`, um sie zu bearbeiten.
1. Um den sudo-Zugriff zu entfernen, löschen Sie die folgende Zeile.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
–oder–
Um den sudo-Zugriff wiederherzustellen, fügen Sie die folgende Zeile hinzu.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
1. Speichern Sie die Datei.
## Verwalten von Administratorberechtigungen für das Konto ssm-user in Windows Server
Mit den folgenden Verfahren können Sie die Administratorberechtigungen von ssm-user-Konten auf von Windows Server verwalteten Knoten aktivieren oder deaktivieren.
**Verwenden von Run Command zum Ändern von Administratorberechtigungen (Konsole)**
+ Verwenden Sie die Prozedur in [Ausführen von Befehlen über die Konsole](running-commands-console.md) mit den folgenden Werten:
Wählen Sie unter **Command document (Befehlsdokument)** die Option `AWS-RunPowerShellScript` aus.
Um den administrativen Zugriff zu entfernen, fügen Sie im Bereich **Command parameters (Befehlsparameter)** Folgendes in das Feld **Commands (Befehle)** ein.
```
net localgroup "Administrators" "ssm-user" /delete
```
–oder–
Um den administrativen Zugriff wiederherzustellen, fügen Sie im Bereich **Command parameters (Befehlsparameter)** Folgendes in das Feld **Commands (Befehle)** ein.
```
net localgroup "Administrators" "ssm-user" /add
```
**Verwenden des PowerShell- oder Eingabeaufforderungs-Fensters zum Ändern von Administratorberechtigungen**
1. Stellen Sie eine Verbindung mit dem verwalteten Knoten her und öffnen Sie das PowerShell- oder Eingabeaufforderungsfenster.
1. Um den administrativen Zugriff zu entfernen, führen Sie den folgenden Befehl aus.
```
net localgroup "Administrators" "ssm-user" /delete
```
–oder–
Um den administrativen Zugriff wiederherzustellen, führen Sie den folgenden Befehl aus.
```
net localgroup "Administrators" "ssm-user" /add
```
**Verwenden Sie die Windows-Konsole, um die Berechtigungen für Administratoren zu ändern**
1. Stellen Sie eine Verbindung mit dem verwalteten Knoten her und öffnen Sie das PowerShell- oder Eingabeaufforderungsfenster.
1. Führen Sie in der Befehlszeile `lusrmgr.msc` aus, um die Konsole **Local Users and Groups (Lokale Benutzer und Gruppen)** zu öffnen.
1. Öffnen Sie das Verzeichnis **Benutzer** und dann **ssm-user**.
1. Führen Sie auf der Registerkarte **Member Of (Mitglied von)** einen der folgenden Schritte aus:
+ Um den administrativen Zugriff zu entfernen, wählen Sie **Administrators (Administratoren)** und dann **Remove (Entfernen)** aus.
–oder–
Um den administrativen Zugriff wiederherzustellen, geben Sie **Administrators** in das Textfeld ein und klicken dann auf **Add (Hinzufügen)**.
1. Wählen Sie **OK** aus.
# Schritt 8: (Optional) Berechtigungen für SSH-Verbindungen über Session Manager zulassen und steuern
Sie können Benutzern in Ihrem Konto erlauben AWS-Konto , mithilfe von AWS Command Line Interface (AWS CLI) Secure Shell (SSH) -Verbindungen zu verwalteten Knoten herzustellen. AWS Systems Manager Session Manager Benutzer, die eine Verbindung über SSH herstellen, können auch mit dem Secure Copy Protocol (SCP) Dateien zwischen ihren lokalen Maschinen und verwalteten Knoten kopieren. Sie können diese Funktionalität verwenden, um eine Verbindung zu verwalteten Knoten herzustellen, ohne eingehende Ports öffnen oder Bastion-Hosts pflegen zu müssen.
Wenn Sie SSH-Verbindungen überSession Manager, AWS CLI und SSM Agent stellen Sie sichere WebSocket Verbindungen über TLS zu Session Manager Endpunkten her. Die SSH-Sitzung läuft innerhalb dieses verschlüsselten Tunnels und bietet so eine zusätzliche Sicherheitsebene, ohne dass eingehende Ports auf Ihren verwalteten Knoten geöffnet werden müssen.
Nachdem Sie SSH-Verbindungen zugelassen haben, können Sie AWS Identity and Access Management (IAM-) Richtlinien verwenden, um Benutzern, Gruppen oder Rollen das Herstellen von SSH-Verbindungen explizit zu gestatten oder zu verweigern. Session Manager
**Anmerkung**
Protokollieren ist für Session Manager-Sitzungen, die eine Verbindung über Port-Weiterleitung oder SSH herstellen, nicht verfügbar. Das liegt daran, dass SSH alle Sitzungsdaten innerhalb der sicheren TLS-Verbindung zwischen den Endpunkten AWS CLI und Session Manager Endpunkten verschlüsselt und Session Manager nur als Tunnel für SSH-Verbindungen dient.
**Topics**
+ [Zulassen von SSH-Verbindungen für Session Manager](#ssh-connections-enable)
+ [Steuern von Benutzerberechtigungen für SSH-Verbindungen über Session Manager](#ssh-connections-permissions)
## Zulassen von SSH-Verbindungen für Session Manager
Gehen Sie wie folgt vor, um über Session Manager SSH-Verbindungen für einen verwalteten Knoten zuzulassen.
**Um SSH-Verbindungen für Session Manager zuzulassen**
1. Gehen Sie auf dem verwalteten Knoten, zu dem Sie SSH-Verbindungen erlauben möchten, wie folgt vor:
+ Stellen Sie sicher, dass SSH auf dem verwalteten Knoten ausgeführt wird. (Sie können eingehende Ports für den Knoten schließen.)
+ Stellen Sie sicher, dass SSM Agent Version 2.3.672.0 oder höher auf dem verwalteten Knoten installiert ist.
Weitere Informationen zum Installieren oder Aktualisieren von SSM Agent auf einem verwalteten Knoten finden Sie in den folgenden Themen:
+ [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Windows Server](manually-install-ssm-agent-windows.md).
+ [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Linux](manually-install-ssm-agent-linux.md)
+ [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für macOS](manually-install-ssm-agent-macos.md)
+ [So installieren Sie den SSM Agent in Hybrid-Windows-Knoten](hybrid-multicloud-ssm-agent-install-windows.md)
+ [So installieren Sie den SSM Agent in Hybrid-Linux-Knoten](hybrid-multicloud-ssm-agent-install-linux.md)
**Anmerkung**
Für die Verwendung Session Manager mit lokalen Servern, Edge-Geräten und virtuellen Maschinen (VMs), die Sie als verwaltete Knoten aktiviert haben, müssen Sie die Stufe „Advanced-Instances“ verwenden. Weitere Informationen über erweiterte Instances finden Sie unter [Konfigurieren von Instance-Kontingenten](fleet-manager-configure-instance-tiers.md).
1. Gehen Sie auf der lokalen Maschine, mit der Sie mit SSH eine Verbindung zu einem verwalteten Knoten herstellen möchten, wie folgt vor:
+ Stellen Sie sicher, dass Version 1.1.23.0 oder höher des Session Manager-Plugin installiert ist.
Weitere Informationen zur Installation des Session Manager-Plugins finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md).
+ Aktualisieren Sie die SSH-Konfigurationsdatei so, dass ein Proxy-Befehl ausgeführt wird, der eine Session Manager-Sitzung startet und alle Daten über die Verbindung überträgt.
**Linux und macOS**
**Tipp**
Die SSH-Konfigurationsdatei befindet sich in der Regel unter `~/.ssh/config`.
Fügen Sie der Konfigurationsdatei auf dem lokalen Computer den folgenden Code hinzu.
```
# SSH over Session Manager
Host i-* mi-*
ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"
User ec2-user
```
** Windows **
**Tipp**
Die SSH-Konfigurationsdatei befindet sich in der Regel unter `C:\Users\\.ssh\config`.
Fügen Sie der Konfigurationsdatei auf dem lokalen Computer den folgenden Code hinzu.
```
# SSH over Session Manager
Host i-* mi-*
ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
```
+ Erstellen ein Privacy-Enhanced-Mail-Zertifikat (eine PEM-Datei) oder mindestens einen öffentlichen Schlüssel, bzw. überprüfen Sie, ob sie darüber verfügen, die beim Herstellen von Verbindungen zu verwalteten Knoten verwendet werden sollen. Dies muss ein Schlüssel sein, der dem verwalteten Knoten bereits zugeordnet ist. Die Berechtigungen für Ihre private Schlüsseldatei müssen so festgelegt sein, dass nur Sie diese lesen können. Mit dem folgenden Befehl können Sie die Berechtigungen für Ihre private Schlüsseldatei so festlegen, dass nur Sie diese lesen können.
```
chmod 400 .pem
```
Für eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance kann dies beispielsweise die Schlüsselpaardatei sein, die Sie beim Erstellen der Instance erstellt oder ausgewählt haben. (Sie geben den Pfad zum Zertifikat oder Schlüssel als Teil des Befehls zum Starten einer Sitzung an. Informationen zum Starten einer Sitzung mithilfe von SSH finden Sie unter [Starten einer Sitzung (SSH)](session-manager-working-with-sessions-start.md#sessions-start-ssh).)
## Steuern von Benutzerberechtigungen für SSH-Verbindungen über Session Manager
Nachdem Sie SSH-Verbindungen über Session Manager auf einem verwalteten Knoten aktiviert haben, können Sie IAM-Richtlinien verwenden, um Benutzern, Gruppen oder Rollen zu erlauben oder zu verweigern, SSH-Verbindungen über Session Manager herzustellen.
**So verwenden Sie eine IAM-Richtlinie, um SSH-Verbindungen über Session Manager zu erlauben**
+ Wählen Sie eine der folgenden Optionen aus:
+ **Option 1**: Öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
Wählen Sie im Navigationsbereich **Policies (Richtlinien)** aus und aktualisieren Sie dann die Berechtigungsrichtlinie für den Benutzer oder die Rolle, dem/der Sie die Berechtigung erteilen möchten, SSH-Verbindungen über Session Manager zu starten.
Fügen Sie beispielsweise das folgende Element der Schnellstart-Richtlinie hinzu, die Sie in [Kurzeinführung in Endbenutzerrichtlinien für Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user) erstellt haben. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartSession",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/instance-id",
"arn:aws:ssm:*:*:document/AWS-StartSSHSession"
]
},
{
"Effect": "Allow",
"Action": "ssmmessages:OpenDataChannel",
"Resource": "arn:aws:ssm:*:*:session/${aws:userid}-*"
}
]
}
```
------
+ **Option 2**: Hängen Sie mithilfe der, der oder der AWS-Managementkonsole AWS API eine Inline-Richtlinie an AWS CLI eine Benutzerrichtlinie an.
Verwenden Sie die Methode Ihrer Wahl und fügen Sie die Richtlinienerklärung in **Option 1** der Richtlinie für einen AWS Benutzer, eine Gruppe oder eine Rolle bei.
Informationen finden Sie im Abschnitt [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *IAM-Benutzerhandbuch*.
**So verwenden Sie eine IAM-Richtlinie, um SSH-Verbindungen über Session Manager zu verweigern**
+ Wählen Sie eine der folgenden Optionen aus:
+ **Option 1**: Öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Wählen Sie im Navigationsbereich **Policies (Richtlinien)** aus und aktualisieren Sie dann die Berechtigungsrichtlinie für den Benutzer oder die Rolle, die am Starten von Session Manager-Sitzungen gehindert werden soll.
Fügen Sie beispielsweise das folgende Element der Schnellstart-Richtlinie hinzu, die Sie in [Kurzeinführung in Endbenutzerrichtlinien für Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user) erstellt haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ssm:StartSession",
"Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
},
{
"Effect": "Allow",
"Action": "ssmmessages:OpenDataChannel",
"Resource": "arn:aws:ssm:*:*:session/${aws:userid}-*"
}
]
}
```
------
+ **Option 2**: Hängen Sie mithilfe der, der oder der AWS-Managementkonsole AWS API eine Inline-Richtlinie an AWS CLI eine Benutzerrichtlinie an.
Verwenden Sie die Methode Ihrer Wahl und fügen Sie die Richtlinienerklärung in **Option 1** der Richtlinie für einen AWS Benutzer, eine Gruppe oder eine Rolle bei.
Informationen finden Sie im Abschnitt [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *IAM-Benutzerhandbuch*.
# Arbeiten mit Session Manager
Sie können die AWS Systems Manager-Konsole, die Amazon Elastic Compute Cloud (Amazon EC2)-Konsole oder die AWS Command Line Interface (AWS CLI) verwenden, um Sitzungen zu starten, die eine Verbindung zu den verwalteten Knoten herstellen, auf die Ihr Systemadministrator Ihnen mit AWS Identity and Access Management (IAM)-Richtlinien Zugriff gewährt hat. Abhängig von Ihren Berechtigungen können Sie auch Informationen zu Sitzungen anzeigen, noch nicht abgelaufene inaktive Sitzungen fortsetzen und Sitzungen beenden. Nachdem eine Sitzung eingerichtet wurde, ist sie nicht von der Dauer der IAM-Rollensitzung betroffen. Informationen zur Begrenzung der Sitzungsdauer mit Session Manager, finden Sie unter [Angeben eines Zeitüberschreitungswerts für Leerlaufsitzungen](session-preferences-timeout.md) und [Angeben der maximalen Sitzungsdauer](session-preferences-max-timeout.md).
Weitere Informationen zu Sitzungen finden Sie unter [Was ist eine Sitzung?](session-manager.md#what-is-a-session).
**Topics**
+ [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md)
+ [Starten einer Sitzung](session-manager-working-with-sessions-start.md)
+ [Eine Sitzung beenden](session-manager-working-with-sessions-end.md)
+ [Anzeigen des Sitzungsverlaufs](session-manager-working-with-view-history.md)
# Installiere das Session Manager Plugin für AWS CLI
Um Session Manager-Sitzungen mit Ihren verwalteten Knoten mithilfe von AWS Command Line Interface (AWS CLI) zu initiieren, müssen Sie das *Session Manager-Plugin* auf Ihrer lokalen Maschine installieren. Sie können das Plugin in unterstützten Versionen von Microsoft Windows Server, macOS, Linux und Ubuntu Server installieren.
**Anmerkung**
Um das Session Manager Plugin verwenden zu können, muss AWS CLI Version 1.16.12 oder höher auf Ihrem lokalen Computer installiert sein. Weitere Informationen finden Sie unter [Installieren oder Aktualisierung auf die neueste Version von AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Topics**
+ [Aktuelle Version und Versionsverlauf des Session Manager-Plugins](plugin-version-history.md)
+ [Installieren Sie das Session Manager-Plugin in Windows](install-plugin-windows.md)
+ [Installieren Sie das Session Manager-Plugin in macOS](install-plugin-macos-overview.md)
+ [Installieren des Session Manager-Plugins unter Linux](install-plugin-linux-overview.md)
+ [Verifizieren der Session Manager-Plugin-Installation](install-plugin-verify.md)
+ [Session Manager-Plugin in GitHub](plugin-github.md)
+ [(Optional) Aktivieren Sie die Session Manager-Plug-In-Protokollierung](install-plugin-configure-logs.md)
# Aktuelle Version und Versionsverlauf des Session Manager-Plugins
Auf Ihrem lokalen Computer muss eine unterstützte Version des Session Manager-Plugins ausgeführt werden. Die aktuelle unterstützte Mindestversion ist 1.1.17.0. Wenn Sie eine ältere Version ausführen, werden Ihre Session Manager-Operationen möglicherweise nicht erfolgreich abgeschlossen.
Um zu prüfen, ob Sie die neueste Version ausführen, führen Sie den folgenden Befehl in der AWS CLI aus.
**Anmerkung**
Der Befehl gibt nur dann Ergebnisse zurück, wenn sich das Plugin im Standardinstallationsverzeichnis für Ihren Betriebssystemtypen befindet. Sie können die Version auch in der Datei `VERSION` überprüfen. Diese Datei befindet sich in dem Verzeichnis, in dem Sie das Plugin installiert haben.
```
session-manager-plugin --version
```
In der folgenden Tabelle finden Sie alle Versionen des Session Manager-Plugins sowie die in den einzelnen Versionen enthaltenen Features und Erweiterungen.
**Wichtig**
Wir empfehlen Ihnen, immer die neueste Version zu verwenden. Die neueste Version enthält Verbesserungen, die die Benutzererfahrung mit dem Plugin verbessern.
| Version | Datum der Veröffentlichung | Details |
| --- | --- | --- |
| 1,2,792,0 | 17. März 2026 | **Bugfix**: Internationale Tastaturunterstützung für Windows hinzugefügt. |
| 1.2.779.0 | 12. Februar 2026 | **Verbesserung**: Aktualisieren Sie die Go-Version in Dockerfile auf 1.25. **Bugfix**: Shebang-Zeilen zu Debian-Paketskripten hinzugefügt. |
| 1.2.764.0 | 19. November 2025 | **Verbesserung**: Unterstützung für OpenDataChannel Signaturanfragen hinzugefügt. **Bugfix**: Checkstyle-Probleme behoben, um die neuere Go-Version zu unterstützen. |
| 1.2.707.0 | 6. Februar 2025 | **Verbesserung**: Die Go-Version wurde im Dockerfile auf 1.23 aktualisiert. Der Schritt zur Versionskonfiguration in der README-Datei wurde aktualisiert. |
| 1,2,694,0 | 20. November 2024 | **Fehlerbehebung**: Die Änderung, durch die Anmeldeinformationen zu Anfragen hinzugefügt wurden, wurde rückgängig gemacht. OpenDataChannel |
| 1.2.688.0 | 6. November 2024 | **Diese Version ist am 20.11.2024 veraltet.** **Verbesserungen**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/systems-manager/latest/userguide/plugin-version-history.html) |
| 1.2.677.0 | 10. Oktober 2024 | **Verbesserung**: Unterstützung für die Weitergabe der Plugin-Version mit Anfragen hinzugefügt. OpenDataChannel |
| 1.2.650.0 | 02. Juli 2024 | **Verbesserung: Auf** 1.54.10 aktualisiert aws-sdk-go.**Bugfix**: Kommentare für Gofmt Check wurden neu formatiert. |
| 1.2.633.0 | 30. Mai 2024 | Verbesserung: Das Dockerfile wurde aktualisiert, sodass es ein Amazon Elastic Container Registry (Amazon ECR)-Image verwendet. |
| 1,2,553,0 | 10. Januar 2024 | Verbesserung: Aktualisierte aws-sdk-go und abhängige Golang-Pakete. |
| 1.2.536.0 | 4. Dezember 2023 | Verbesserung: Unterstützung für die Übergabe einer [StartSession](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartSession.html)API-Antwort als Umgebungsvariable an hinzugefügt. session-manager-plugin |
| 1.2.497.0 | 1. August 2023 | Verbesserung: Go SDK wurde auf v1.44.302 aktualisiert. |
| 1,2,463,0 | 15. März 2023 | Verbesserung: Mac with Apple silicon-Unterstützung für Apple Mac (M1) im macOS-Bundle-Installer und im signierten Installer hinzugefügt. |
| 1,2,398,0 | 14. Oktober 2022 | Verbesserung: Unterstützung für Golang-Version 1.17. Aktualisieren Sie den session-manager-plugin Standard-Runner für macOS, um Python3 zu verwenden. Aktualisieren Sie den Importpfad von SSMCLI auf. session-manager-plugin |
| 1.2.339.0 | 16. Juni 2022 | Fehlerbehebung: Behebt die Zeitbeschränkung der Leerlaufsitzung für Portsitzungen. |
| 1.2.331,0 | 27. Mai 2022 | Fehlerbehebung: Behebt Portsitzungen, die vorzeitig geschlossen werden, wenn der lokale Server vor der Zeitbeschränkung keine Verbindung herstellt. |
| 1.2.323,0 | 19. Mai 2022 | Fehlerbehebung: Deaktivieren Sie Smux Keep Alive, um das Timeout-Feature im Leerlauf zu verwenden. |
| 1.2.312,0 | 31. März 2022 | Verbesserung: Unterstützt mehr Payload-Typen für Ausgabenachrichten. |
| 1.2.295,0 | 12. Januar 2022 | Fehlerbehebung: Aufgehängte Sitzungen durch das erneute Senden von Stream-Daten des Clients, wenn der Agent inaktiv wird, und falsche Protokolle für die Nachrichten start\$1publication und pause\$1publication. |
| 1.2.279,0 | 27. Oktober 2021 | Verbesserung: ZIP-Paketierung für Windows-Plattform. |
| 1.2.245,0 | 19. August 2021 | Verbesserung: Aktualisieren von aws-sdk-go auf die neueste Version (v1.40.17), um AWS IAM Identity Center zu unterstützen. |
| 1,2,234,0 | 26. Juli 2021 | Fehlerbehebung: Abrupt abgebrochenes Szenario im interaktiven Sitzungstyp behandeln. |
| 1.2.205,0 | 10. Juni 2021 | Verbesserung: Unterstützung für signiertes macOS-Installationsprogramm. |
| 1,2,54,0 | 29. Januar 2021 | Verbesserung: Unterstützung für das Ausführen von Sitzungen im NonInteractiveCommands Ausführungsmodus hinzugefügt. |
| 1.2.30.0 | 24. November 2020 | **Verbesserung**: (Nur Port-Weiterleitungssitzungen) Verbesserte Gesamtleistung. |
| 1.2.7.0 | 15. Oktober 2020 | **Verbesserung**: (Nur Port-Weiterleitungssitzungen) Verringerte Latenz und verbesserte Gesamtleistung. |
| 1.1.61.0 | 17. April 2020 | **Erweiterung**: ARM-Unterstützung für Linux und Ubuntu Server hinzugefügt. |
| 1.1.54.0 | 6. Januar 2020 | **Fehlerbehebung**: Verarbeitung des Race-Bedingungsszenarios von Paketen, die gelöscht werden, wenn das Session Manager-Plugin nicht bereit ist. |
| 1.1.50.0 | 19. November 2019 | **Erweiterung**: Unterstützung für die Weiterleitung eines Ports an einen lokalen Unix-Socket hinzugefügt. |
| 1.1.35.0 | 7. November 2019 | **Verbesserung**: (Nur Portweiterleitungssitzungen) Sendet einen TerminateSession Befehl an, SSM Agent wenn der lokale Benutzer drückt. `Ctrl+C` |
| 1.1.33.0 | 26. September 2019 | Erweiterung: (Nur Port-Weiterleitungssitzungen) Senden Sie ein Trennsignal an den Server, wenn der Client die TCP-Verbindung trennt. |
| 1.1.31.0 | 6. September 2019 | Erweiterung: Aktualisieren Sie, um die Port-Weiterleitungssitzung offen zu halten, bis der Remote-Server die Verbindung schließt. |
| 1.1.26.0 | 30. Juli 2019 | **Erweiterung**: Begrenzung der Datenübertragungsrate während einer Sitzung aktualisiert. |
| 1.1.23.0 | 9. Juli 2019 | **Verbesserung**: Unterstützung für die Ausführung von SSH-Sitzungen mit Session Manager hinzugefügt. |
| 1.1.17.0 | 4. April 2019 | **Erweiterung**: Unterstützung für die zusätzliche Verschlüsselung von Sitzungsdaten mit AWS Key Management Service (AWS KMS) hinzugefügt. |
| 1.0.37.0 | 20. September 2018 | **Verbesserung**: Fehlerbehebung für Windows-Version. |
| 1.0.0.0 | 11. September 2018 | Erstveröffentlichung des Session Manager-Plugins. |
# Installieren Sie das Session Manager-Plugin in Windows
Sie können das Session Manager-Plug-In auf Windows Vista oder höher mit dem eigenständigen Installationsprogramm installieren.
Wenn Aktualisierungen veröffentlicht werden, müssen Sie die Installation wiederholen, um die aktuelle Version des Session Manager-Plugins zu erhalten.
**Anmerkung**
Notieren Sie die folgenden Informationen:
Das Session Manager-Plugin-Installationsprogramm benötigt Administratorrechte, um das Plugin zu installieren.
Um optimale Ergebnisse zu erzielen, sollten Sie Sitzungen auf Windows-Clients mittels Windows PowerShell-Version 5 oder höher starten. Alternativ hierzu können Sie auch die Befehls-Shell in Windows 10 verwenden. Das Session Manager-Plug-In unterstützt nur PowerShell und die Befehls-Shell. Die Befehlszeilentools von Drittanbietern sind möglicherweise nicht mit dem Plug-In kompatibel.
**So installieren Sie das Session Manager-Plug-In mithilfe des EXE-Installationsprogramms**
1. Laden Sie das Installationsprogramm über die folgende URL herunter.
```
https://s3.amazonaws.com/session-manager-downloads/plugin/latest/windows/SessionManagerPluginSetup.exe
```
Alternativ können Sie eine gezippte Version des Installationsprogramms mit der folgenden URL herunterladen.
```
https://s3.amazonaws.com/session-manager-downloads/plugin/latest/windows/SessionManagerPlugin.zip
```
1. Führen Sie das heruntergeladene Installationsprogramm aus und folgen Sie den Anweisungen auf dem Bildschirm. Wenn Sie die gezippte Version des Installationsprogramms heruntergeladen haben, müssen Sie zuerst das Installationsprogramm entpacken.
Lassen Sie das Feld „Installationsspeicherort“ leer, um das Plug-In im Standardverzeichnis zu installieren.
+ `%PROGRAMFILES%\Amazon\SessionManagerPlugin\bin\`
1. Überprüfen Sie, ob die Installation erfolgreich war. Weitere Informationen finden Sie unter [Verifizieren der Session Manager-Plugin-Installation](install-plugin-verify.md).
**Anmerkung**
Wenn Windows die ausführbare Datei nicht finden kann, müssen Sie die Eingabeaufforderung möglicherweise erneut öffnen oder das Installationsverzeichnis der Umgebungsvariablen `PATH` manuell hinzufügen. Informationen finden Sie im Fehlerbehebungsthema [Session Manager-Plugin wurde nicht automatisch zumBefehlszeilenpfad hinzugefügt (Windows)](session-manager-troubleshooting.md#windows-plugin-env-var-not-set).
# Installieren Sie das Session Manager-Plugin in macOS
Wählen Sie eines der folgenden Themen aus, unter dem das Session Manager-Plugin auf macOS installiert werden soll.
**Anmerkung**
Das signierte Installationsprogramm ist eine signierte `.pkg`-Datei. Das mitgelieferte Installationsprogramm verwendet eine `.zip`-Datei. Wenn Sie die Datei entpackt haben, können Sie das Plugin mithilfe der Binärdatei installieren.
## Installieren des Session Manager-Plugins in macOS mittels des signierten Installationsprogramms
In diesem Abschnitt wird beschrieben, wie Sie das Session Manager-Plugin mithilfe des signierten Installers auf macOS installieren.
**So installieren Sie das Session Manager-Plugin mittels des signierten Installationsprogramms (macOS)**
1. Laden Sie das signierte Installationsprogramm herunter.
------
#### [ x86\$164 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac/session-manager-plugin.pkg" -o "session-manager-plugin.pkg"
```
------
#### [ Mac mit Apple-Halbleiter ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac_arm64/session-manager-plugin.pkg" -o "session-manager-plugin.pkg"
```
------
1. Führen Sie die Installationsbefehle aus. Wenn der Befehl fehlschlägt, überprüfen Sie, ob der Ordner `/usr/local/bin` vorhanden ist. Ist dies nicht der Fall, erstellen Sie ihn und führen Sie den Befehl erneut aus.
```
sudo installer -pkg session-manager-plugin.pkg -target /
sudo ln -s /usr/local/sessionmanagerplugin/bin/session-manager-plugin /usr/local/bin/session-manager-plugin
```
1. Überprüfen Sie, ob die Installation erfolgreich war. Weitere Informationen finden Sie unter [Verifizieren der Session Manager-Plugin-Installation](install-plugin-verify.md).
## Installieren Sie das Session Manager-Plugin in macOS
In diesem Abschnitt wird beschrieben, wie Sie das Session Manager-Plugin mithilfe des mitgelieferten Installers auf macOS installieren.
**Wichtig**
Notieren Sie die folgenden wichtigen Informationen.
Standardmäßig benötigt das Installationsprogramm Sudo-Zugriff, um ausgeführt zu werden, da das Skript das Plugin im `/usr/local/sessionmanagerplugin`-Systemverzeichnis installiert. Wenn Sie das Plugin nicht mit Sudo installieren möchten, aktualisieren Sie das Installationsskript manuell, um das Plugin in einem Verzeichnis zu installieren, für das kein Sudo-Zugriff erforderlich ist.
Das gebündelte Installationsprogramm unterstützt keine Installation in Pfaden, die Leerzeichen enthalten.
**Sie installieren Sie das Session Manager-Plugin mittels des Paketinstallationsprogramms (macOS)**
1. Laden Sie das Paketinstallationsprogramm herunter.
------
#### [ x86\$164 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac/sessionmanager-bundle.zip" -o "sessionmanager-bundle.zip"
```
------
#### [ Mac mit Apple-Halbleiter ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac_arm64/sessionmanager-bundle.zip" -o "sessionmanager-bundle.zip"
```
------
1. Entpacken Sie das Paket.
```
unzip sessionmanager-bundle.zip
```
1. Führen Sie den Installationsbefehl aus.
```
sudo ./sessionmanager-bundle/install -i /usr/local/sessionmanagerplugin -b /usr/local/bin/session-manager-plugin
```
**Anmerkung**
Das Plugin benötigt Python 3.10 oder höher. Standardmäßig wird das Installationsskript unter der Standard-Systemversion von Python ausgeführt. Wenn Sie eine alternative Version von Python installiert haben und diese zum Installieren des Session Manager-Plugins verwenden möchten, führen Sie das Installationsskript mit dieser Version aus, indem Sie den absoluten Pfad der ausführbaren Python-Datei verwenden. Im Folgenden wird ein -Beispiel gezeigt.
```
sudo /usr/local/bin/python3.11 sessionmanager-bundle/install -i /usr/local/sessionmanagerplugin -b /usr/local/bin/session-manager-plugin
```
Das Installationsprogramm installiert das Session Manager-Plugin in `/usr/local/sessionmanagerplugin` und erstellt den Symlink `session-manager-plugin` im Verzeichnis `/usr/local/bin`. Dies beseitigt die Notwendigkeit, das Installationsverzeichnis in der `$PATH`-Variablen des Benutzers anzugeben.
Eine Erklärung der Optionen `-i` und `-b` sehen Sie, indem Sie die Option `-h` verwenden.
```
./sessionmanager-bundle/install -h
```
1. Überprüfen Sie, ob die Installation erfolgreich war. Weitere Informationen finden Sie unter [Verifizieren der Session Manager-Plugin-Installation](install-plugin-verify.md).
**Anmerkung**
Um das Plugin zu deinstallieren, führen Sie die folgenden beiden Befehle in der angegebenen Reihenfolge aus.
```
sudo rm -rf /usr/local/sessionmanagerplugin
```
```
sudo rm /usr/local/bin/session-manager-plugin
```
# Installieren des Session Manager-Plugins unter Linux
Dieser Abschnitt enthält Informationen zur Überprüfung der Signatur des Session Manager-Plugin-Installationspakets und zur Installation des Plugins in den folgenden Linux-Distributionen:
+ Amazon Linux 2
+ AL2023
+ RHEL
+ Debian Server
+ Ubuntu Server
**Topics**
+ [Verifizieren der Signatur des Session Manager-Plugins](install-plugin-linux-verify-signature.md)
+ [Installieren Sie das Session Manager-Plugin auf Amazon Linux 2, Amazon Linux 2023 und Red Hat Enterprise Linux-Distributionen](install-plugin-linux.md)
+ [Das Session Manager-Plugin in Debian Server und Ubuntu Server installieren](install-plugin-debian-and-ubuntu.md)
# Verifizieren der Signatur des Session Manager-Plugins
Die RPM- und Debian-Installationspakete des Session Manager-Plugins für Linux-Instances sind kryptografisch signiert. Sie können einen öffentlichen Schlüssel verwenden, um zu verifizieren, dass die Binärdatei und das Paket des Plugins original und unverändert sind. Wenn die Dateien beschädigt sind oder verändert wurden, schlägt die Überprüfung fehl. Sie können die Signatur des Installationspakets mithilfe des GNU Privacy Guard (GPG)-Tools überprüfen. Die folgenden Informationen sind für Session Manager-Plugin-Versionen 1.2.707.0 oder höher.
Führen Sie die folgenden Schritte aus, um die Signatur des Session Manager-Plugin-Installationspakets zu überprüfen.
**Topics**
+ [Schritt 1: Session Manager-Plugin-Installationspaket herunterladen](#install-plugin-linux-verify-signature-installer-packages)
+ [Schritt 2: Zugehörige Signaturdatei herunterladen](#install-plugin-linux-verify-signature-packages)
+ [Schritt 3: GPG-Tool installieren](#install-plugin-linux-verify-signature-packages-gpg)
+ [Schritt 4: Session Manager-Plugin-Installationspaket auf einem Linux-Server überprüfen](#install-plugin-linux-verify-signature-packages)
## Schritt 1: Session Manager-Plugin-Installationspaket herunterladen
Laden Sie das zu prüfende Session Manager-Plugin-Installationspaket herunter.
**Amazon Linux 2- AL2023 und RHEL RPM-Pakete**
------
#### [ x86\$164 ]
```
curl -o "session-manager-plugin.rpm" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm"
```
------
#### [ ARM64 ]
```
curl -o "session-manager-plugin.rpm" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm"
```
------
**Debian Server- und Ubuntu Server-Deb-Pakete**
------
#### [ x86\$164 ]
```
curl -o "session-manager-plugin.deb" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb"
```
------
#### [ ARM64 ]
```
curl -o "session-manager-plugin.deb" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb"
```
------
## Schritt 2: Zugehörige Signaturdatei herunterladen
Nachdem Sie das Installationspaket heruntergeladen haben, laden Sie die zugehörige Signaturdatei für die Paketüberprüfung herunter. Um einen zusätzlichen Schutz vor unbefugtem Kopieren oder Verwenden der session-manager-plugin Binärdatei im Paket zu bieten, bieten wir auch Binärsignaturen an, mit denen Sie einzelne Binärdateien validieren können. Sie können diese binären Signaturen je nach Ihren Sicherheitsanforderungen verwenden.
**Amazon Linux 2 AL2023 und RHEL Signaturpakete**
------
#### [ x86\$164 ]
Paket:
```
curl -o "session-manager-plugin.rpm.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm.sig"
```
Binärdatei:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.sig"
```
------
#### [ ARM64 ]
Paket:
```
curl -o "session-manager-plugin.rpm.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm.sig"
```
Binärdatei:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.sig"
```
------
**Deb-Signaturpakete für Debian Server und Ubuntu Server**
------
#### [ x86\$164 ]
Paket:
```
curl -o "session-manager-plugin.deb.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb.sig"
```
Binärdatei:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.sig"
```
------
#### [ ARM64 ]
Paket:
```
curl -o "session-manager-plugin.deb.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb.sig"
```
Binärdatei:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.sig"
```
------
## Schritt 3: GPG-Tool installieren
Um die Signatur des Session Manager-Plugins zu überprüfen, muss das GNU Privacy Guard (GPG)-Tool auf Ihrem System installiert sein. Der Überprüfungsprozess erfordert GPG-Version 2.1 oder höher. Sie können Ihre GPG-Version mit dem folgenden Befehl ermitteln:
```
gpg --version
```
Wenn Ihre Version älter als 2.1 ist, müssen Sie sie aktualisieren, bevor Sie fortfahren können. Bei den meisten Systemen können Sie das GPG-Tool über Ihren Paketmanager aktualisieren. In unterstützten Amazon-Linux- und RHEL-Versionen können Sie zum Beispiel die folgenden Befehle verwenden:
```
sudo yum update
sudo yum install gnupg2
```
Auf unterstützten Ubuntu Server- und Debian Server-Systemen können Sie die folgenden Befehle verwenden:
```
sudo apt-get update
sudo apt-get install gnupg2
```
Sie müssen die erforderliche GPG-Version haben, bevor Sie mit dem Überprüfungsprozess fortfahren.
## Schritt 4: Session Manager-Plugin-Installationspaket auf einem Linux-Server überprüfen
Gehen Sie wie folgt vor, um das Session Manager-Plugin-Installationspaket auf einem Linux-Server zu überprüfen.
**Anmerkung**
Amazon Linux 2 unterstützt die GPG-Version 2.1 oder höher nicht. Wenn das folgende Verfahren auf Ihren Amazon-Linux-2-Instances nicht funktioniert, überprüfen Sie die Signatur auf einer anderen Plattform, bevor Sie sie auf Ihren Amazon-Linux-2-Instances installieren.
1. Kopieren Sie den folgenden öffentlichen Schlüssel und speichern Sie ihn in einer Datei namens session-manager-plugin .gpg.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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=2DQm
-----END PGP PUBLIC KEY BLOCK-----
```
1. Importieren Sie den öffentlichen Schlüssel in Ihren Schlüsselbund. Der zurückgegebene Schlüsselwert sollte `2C4D4AFF6F6757EE` lauten.
```
$ gpg --import session-manager-plugin.gpg
gpg: key 2C4D4AFF6F6757EE: public key "AWS SSM Session Manager (AWS Systems Manager Session Manager Plugin Linux Signer Key)" imported
gpg: Total number processed: 1
gpg: imported: 1
```
1. Führen Sie den folgenden Befehl aus, um den Fingerabdruck zu verifizieren.
```
gpg --fingerprint 2C4D4AFF6F6757EE
```
Der Fingerabdruck für die Befehlsausgabe sollte wie folgt aussehen.
```
7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
```
```
pub nistp256 2025-01-22 [SC]
7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
uid [ unknown] AWS SSM Session Manager (AWS Systems Manager Session Manager Plugin Linux Signer Key)
```
Wenn keine Übereinstimmung vorliegt, installieren Sie das Plugin nicht. Kontakt. AWS Support
1. Überprüfen Sie die Installer-Paketsignatur. Ersetzen Sie das *signature-filename* und *downloaded-plugin-filename* durch die Werte, die Sie beim Herunterladen der Signaturdatei angegeben haben session-manager-plugin, und, wie in der Tabelle weiter oben in diesem Thema aufgeführt.
```
gpg --verify signature-filename downloaded-plugin-filename
```
Für die x86\$164-Architektur unter Amazon Linux 2 lautet der Befehl wie folgt:
```
gpg --verify session-manager-plugin.rpm.sig session-manager-plugin.rpm
```
Dieser Befehl gibt etwa die folgende Ausgabe zurück.
```
gpg: Signature made Mon Feb 3 20:08:32 2025 UTC gpg: using ECDSA key 2C4D4AFF6F6757EE
gpg: Good signature from "AWS Systems Manager Session Manager (AWS Systems Manager Session Manager Plugin Linux Signer Key)" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
```
Wenn die Ausgabe die Bezeichnung `BAD signature`enthält, überprüfen Sie, ob Sie das Verfahren korrekt durchgeführt haben. Wenn Sie weiterhin diese Antwort erhalten, wenden Sie sich an das Paket AWS Support und installieren Sie es nicht. Die Vertrauens-Warnmeldung bedeutet nicht, dass die Signatur ungültig ist, sondern nur, dass Sie den öffentlichen Schlüssel nicht überprüft haben. Beachten Sie die Warnung zu vertrauenswürdigen Inhalten. Wenn die Ausgabe die Phrase `Can't check signature: No public key` enthält, überprüfen Sie, ob Sie Session Manager-Plugin-Version 1.2.707.0 oder höher heruntergeladen haben.
# Installieren Sie das Session Manager-Plugin auf Amazon Linux 2, Amazon Linux 2023 und Red Hat Enterprise Linux-Distributionen
Gehen Sie wie folgt vor, um das Session Manager Plugin auf Amazon Linux 2, Amazon Linux 2023 (AL2023) und RHEL Distributionen zu installieren.
1. Laden Sie das Session Manager-Plugin-RPM-Paket herunter und installieren Sie es.
------
#### [ x86\$164 ]
Führen Sie unter Amazon Linux 2 und RHEL 7 den folgenden Befehl aus:
```
sudo yum install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm
```
Führen Sie auf den Geräten RHEL 8 AL2023 und 9 den folgenden Befehl aus:
```
sudo dnf install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm
```
------
#### [ ARM64 ]
Führen Sie unter Amazon Linux 2 und RHEL 7 den folgenden Befehl aus:
```
sudo yum install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm
```
Führen Sie an den Stellen RHEL 8 AL2023 und 9 den folgenden Befehl aus:
```
sudo dnf install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm
```
------
1. Überprüfen Sie, ob die Installation erfolgreich war. Weitere Informationen finden Sie unter [Verifizieren der Session Manager-Plugin-Installation](install-plugin-verify.md).
**Anmerkung**
Wenn Sie das Plugin deinstallieren möchten, führen Sie `sudo yum erase session-manager-plugin -y` aus.
# Das Session Manager-Plugin in Debian Server und Ubuntu Server installieren
1. Laden Sie das Session Manager-Plug-In-deb-Paket herunter.
------
#### [ x86\$164 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb" -o "session-manager-plugin.deb"
```
------
#### [ ARM64 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb" -o "session-manager-plugin.deb"
```
------
1. Führen Sie den Installationsbefehl aus.
```
sudo dpkg -i session-manager-plugin.deb
```
1. Überprüfen Sie, ob die Installation erfolgreich war. Weitere Informationen finden Sie unter [Verifizieren der Session Manager-Plugin-Installation](install-plugin-verify.md).
**Anmerkung**
Wenn Sie das Plugin jemals deinstallieren möchten, führen Sie `sudo dpkg -r session-manager-plugin` aus.
# Verifizieren der Session Manager-Plugin-Installation
Führen Sie die folgenden Befehle aus, um zu überprüfen, ob das Session Manager-Plugin erfolgreich installiert wurde.
```
session-manager-plugin
```
Wenn die Installation erfolgreich war, wird die folgende Meldung zurückgegeben.
```
The Session Manager plugin is installed successfully. Use the AWS CLI to start a session.
```
Sie können die Installation auch testen, indem Sie den [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)-Befehl in der [AWS Command Line Interface](https://aws.amazon.com/cli/) (AWS CLI) ausführen. Ersetzen Sie im folgenden Befehl *instance-id* durch Ihre eigenen Informationen.
```
aws ssm start-session --target instance-id
```
Dieser Befehl funktioniert nur AWS CLI, wenn Sie den installiert und konfiguriert haben und Ihr Session Manager Administrator Ihnen die erforderlichen IAM-Berechtigungen für den Zugriff auf den verwalteten Zielknoten erteilt hat. Session Manager
# Session Manager-Plugin in GitHub
Der Quellcode für das Session Manager-Plugin ist auf [https://github.com/aws/session-manager-plugin](https://github.com/aws/session-manager-plugin) verfügbar, damit Sie das Plugin entsprechend Ihren Anforderungen anpassen können. Wir möchten Sie bitten, uns eventuelle [Änderungswünsche](https://github.com/aws/session-manager-plugin/blob/mainline/CONTRIBUTING.md) mitzuteilen. Amazon Web Services bietet jedoch keine Unterstützung für die Ausführung modifizierter Kopien dieser Software.
# (Optional) Aktivieren Sie die Session Manager-Plug-In-Protokollierung
Das Session Manager-Plug-In enthält eine Option zum Aktivieren der Protokollierung für von Ihnen ausgeführte Sitzungen. Standardmäßig ist die Protokollierung deaktiviert.
Wenn Sie die Protokollierung aktivieren, erstellt das Session Manager-Plug-In Protokolldateien sowohl für Anwendungsaktivitäten (`session-manager-plugin.log`) als auch für Fehler (`errors.log`) auf Ihrem lokalen Computer.
**Topics**
+ [Aktivieren der Protokollierung für das Session Manager-Plug-In (Windows)](#configure-logs-windows)
+ [Aktivieren der Protokollierung für das Session Manager-Plug-In (Linux und macOS)](#configure-logs-linux)
## Aktivieren der Protokollierung für das Session Manager-Plug-In (Windows)
1. Suchen Sie die Datei `seelog.xml.template` für das Plug-In.
Der Standardspeicherort ist `C:\Program Files\Amazon\SessionManagerPlugin\seelog.xml.template`.
1. Ändern Sie den Namen der Datei in `seelog.xml`.
1. Öffnen Sie die Datei und ändern Sie `minlevel="off"` in `minlevel="info"` oder `minlevel="debug"`.
**Anmerkung**
Standardmäßig werden Protokolleinträge zum Öffnen eines Datenkanals und Neuverbinden von Sitzungen auf **INFO**-Ebene aufgezeichnet. Datenflusseinträge (Pakete und Bestätigung) werden auf **DEBUG**-Ebene aufgezeichnet.
1. Ändern Sie andere Konfigurationsoptionen, die Sie ändern möchten. Optionen, die Sie ändern können, sind:
+ **Debug-Ebene**: Sie können die Debug-Ebene von `formatid="fmtinfo"` in `formatid="fmtdebug"` ändern.
+ Die**Protokolldateioptionen**: Sie können die Protokolldateioptionen einschließlich des Speicherorts der Protokolle ändern, jedoch nicht die Namen von Protokolldateien.
**Wichtig**
Sie dürfen die Dateinamen nicht ändern. Wenn Sie dies tun, funktioniert die Protokollierung nicht korrekt.
```
```
1. Speichern Sie die Datei.
## Aktivieren der Protokollierung für das Session Manager-Plug-In (Linux und macOS)
1. Suchen Sie die Datei `seelog.xml.template` für das Plug-In.
Der Standardspeicherort ist `/usr/local/sessionmanagerplugin/seelog.xml.template`.
1. Ändern Sie den Namen der Datei in `seelog.xml`.
1. Öffnen Sie die Datei und ändern Sie `minlevel="off"` in `minlevel="info"` oder `minlevel="debug"`.
**Anmerkung**
Standardmäßig werden Protokolleinträge zum Öffnen von Datenkanälen und Neuverbinden von Sitzungen auf **INFO**-Ebene aufgezeichnet. Datenflusseinträge (Pakete und Bestätigung) werden auf **DEBUG**-Ebene aufgezeichnet.
1. Ändern Sie andere Konfigurationsoptionen, die Sie ändern möchten. Optionen, die Sie ändern können, sind:
+ **Debug-Ebene**: Sie können die Debug-Ebene von `formatid="fmtinfo"` in `outputs formatid="fmtdebug"` ändern.
+ Die**Protokolldateioptionen**: Sie können die Protokolldateioptionen einschließlich des Speicherorts der Protokolle ändern, jedoch nicht die Namen von Protokolldateien.
**Wichtig**
Sie dürfen die Dateinamen nicht ändern. Wenn Sie dies tun, funktioniert die Protokollierung nicht korrekt.
```
```
**Wichtig**
Wenn Sie das angegebene Standardverzeichnis für das Speichern von Protokollen verwenden, müssen Sie Sitzungsbefehle entweder über **sudo** ausführen oder dem Verzeichnis, in dem das Plug-In installiert ist, vollständige Lese- und Schreibberechtigungen erteilen. Um diese Einschränkungen zu umgehen, ändern Sie den Speicherort, an dem die Protokolle gespeichert werden.
1. Speichern Sie die Datei.
# Starten einer Sitzung
Sie können die AWS Systems Manager Konsole, die Amazon Elastic Compute Cloud (Amazon EC2) -Konsole, die AWS Command Line Interface (AWS CLI) oder SSH verwenden, um eine Sitzung zu starten.
**Topics**
+ [Starten einer Sitzung (Systems Manager-Konsole)](#start-sys-console)
+ [Starten einer Sitzung (Amazon EC2-Konsole)](#start-ec2-console)
+ [Starten einer Sitzung (AWS CLI)](#sessions-start-cli)
+ [Starten einer Sitzung (SSH)](#sessions-start-ssh)
+ [Starten einer Sitzung (Port-Weiterleitung)](#sessions-start-port-forwarding)
+ [Starten einer Sitzung (Port-Weiterleitung an entfernten Host)](#sessions-remote-port-forwarding)
+ [Starten einer Sitzung (interaktive und nicht interaktive Befehle)](#sessions-start-interactive-commands)
## Starten einer Sitzung (Systems Manager-Konsole)
Sie können die AWS Systems Manager Konsole verwenden, um eine Sitzung mit einem verwalteten Knoten in Ihrem Konto zu starten.
**Anmerkung**
Bevor Sie eine Sitzung beginnen, stellen Sie sicher, dass Sie die Einrichtungsschritte für Session Manager ausgeführt haben. Weitere Informationen finden Sie unter [Einrichten von Session Manager](session-manager-getting-started.md).
**Starten einer Sitzung (Systems-Manager-Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie **Sitzung starten** aus.
1. (Optional) Geben Sie eine Beschreibung für die Sitzung im Feld **Grund für die Sitzung** ein.
1. Aktivieren Sie unter **Ziel-Instances** das Optionsfeld links neben dem verwalteten Knoten aus, mit dem Sie eine Verbindung herstellen möchten.
Wenn der gewünschte Knoten nicht in der Liste enthalten ist oder wenn Sie einen Knoten auswählen und einen Konfigurationsfehler erhalten, lesen Sie die Schritte zur Fehlerbehebung unter [Verwalteter Knoten ist nicht verfügbar oder nicht für Session Manager konfiguriert](session-manager-troubleshooting.md#session-manager-troubleshooting-instances).
1. Wählen Sie **Sitzung starten**, um die Sitzung sofort zu starten.
–oder–
Wählen Sie **Weiter** für die Sitzungsoptionen.
1. (Optional) Wählen Sie unter **Sitzungsdokument** das Dokument aus, das Sie zu Beginn der Sitzung ausführen möchten. Wenn Ihr Dokument Laufzeitparameter unterstützt, können Sie in jedes Parameterfeld einen oder mehrere durch Komma getrennte Werte eingeben.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie **Sitzung starten** aus.
Nach der Herstellung der Verbindung können Sie Bash-Befehle (Linux und macOS) oder PowerShell-Befehle (Windows) wie für jeden anderen Verbindungstyp ausführen.
**Wichtig**
Wenn Sie Benutzern die Möglichkeit geben möchten, beim Starten von Sitzungen in der Session-Manager-Konsole ein Dokument anzugeben, beachten Sie Folgendes:
Sie müssen Benutzern die in ihrer IAM-Richtlinie festgelegten Berechtigungen `ssm:GetDocument` und `ssm:ListDocuments` gewähren. Weitere Informationen finden Sie unter [Zugriff auf benutzerdefinierte Sitzungsdokumente in der Konsole gewähren](getting-started-restrict-access-examples.md#grant-access-documents-console-example).
Die Konsole unterstützt nur Sitzungsdokumente, für die der `sessionType` als `Standard_Stream` definiert ist. Weitere Informationen finden Sie unter [Schema des Sitzungsdokuments](session-manager-schema.md).
## Starten einer Sitzung (Amazon EC2-Konsole)
Sie können die Amazon Elastic Compute Cloud (Amazon EC2)-Konsole verwenden, um eine Sitzung mit einer Instance in Ihrem Konto zu starten.
**Anmerkung**
Wenn Sie den Fehler erhalten, dass Sie nicht berechtigt sind, eine oder mehrere Systems Manager (`ssm:command-name`)-Aktionen auszuführen, müssen Sie sich an Ihren Administrator wenden. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt. Bitten Sie diese Person, Ihre Richtlinien zu aktualisieren, damit Sie Sitzungen von der Amazon EC2-Konsole aus starten können. Wenn Sie ein Administrator sind, finden Sie weitere Informationen unter [Muster-IAM-Richtlinien für Session Manager](getting-started-restrict-access-quickstart.md).
**Starten einer Sitzung (Amazon EC2-Konsole)**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Wählen Sie die Instance und **Connect (Verbinden)** aus.
1. Für **Connection method (Verbindungsmethode)** wählen Sie **Session Manager**.
1. Wählen Sie **Connect** aus.
Nach der Herstellung der Verbindung können Sie Bash-Befehle (Linux und macOS) oder PowerShell-Befehle (Windows) wie für jeden anderen Verbindungstyp ausführen.
## Starten einer Sitzung (AWS CLI)
Installieren und konfigurieren Sie AWS Command Line Interface (AWS CLI), falls Sie dies noch nicht getan haben.
Weitere Informationen finden Sie unter [Installieren oder Aktualisieren der neuesten Version von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
Bevor Sie eine Sitzung beginnen, stellen Sie sicher, dass Sie die Einrichtungsschritte für Session Manager ausgeführt haben. Weitere Informationen finden Sie unter [Einrichten von Session Manager](session-manager-getting-started.md).
Um die Befehle AWS CLI to run session verwenden zu können, muss das Session Manager Plugin auch auf Ihrem lokalen Computer installiert sein. Weitere Informationen finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md).
Um eine Sitzung mit dem zu starten AWS CLI, führen Sie den folgenden Befehl aus und *instance-id* ersetzen Sie ihn durch Ihre eigenen Informationen.
```
aws ssm start-session \
--target instance-id
```
Informationen zu anderen Optionen, die Sie mit dem **start-session** Befehl verwenden können, finden Sie [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)im AWS Systems Manager Abschnitt der AWS CLI Befehlsreferenz.
## Starten einer Sitzung (SSH)
Um eine Session Manager-SSH-Sitzung zu starten, muss Version 2.3.672.0 oder höher von SSM Agent auf dem verwalteten Knoten installiert sein.
**Anforderungen für SSH-Verbindungen**
Beachten Sie die folgenden Anforderungen und Einschränkungen für Sitzungsverbindungen über Session Manager SSH:
+ Ihr anvisierter verwalteter Knoten muss so konfiguriert sein, dass er SSH-Verbindungen unterstützt. Weitere Informationen finden Sie unter [(Optional) Berechtigungen für SSH-Verbindungen über Session Manager aktivieren und steuern](session-manager-getting-started-enable-ssh-connections.md).
+ Sie müssen mithilfe des Kontos des verwalteten Knotens verbinden, der dem Privacy Enhanced Mail (PEM)-Zertifikat zugeordnet ist, und nicht dem `ssm-user`-Konto, das für andere Arten von Sitzungsverbindungen verwendet wird. Auf EC2-Instances für Linux und macOS, ist beispielsweise der Standardbenutzer `ec2-user`. Weitere Hinweise zur Identifizierung des Standardbenutzers für die einzelnen Instance-Typen finden Sie unter [Informationen zu Ihrer Instance anfordern](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connection-prereqs.html#connection-prereqs-get-info-about-instance) im *Amazon-EC2-Benutzerhandbuch*.
+ Protokollieren ist für Session Manager-Sitzungen, die eine Verbindung über Port-Weiterleitung oder SSH herstellen, nicht verfügbar. Dies liegt daran, dass SSH alle Sitzungsdaten innerhalb der sicheren TLS-Verbindung zwischen den Endpunkten AWS CLI und den Session Manager Endpunkten verschlüsselt und Session Manager nur als Tunnel für SSH-Verbindungen dient.
**Anmerkung**
Bevor Sie eine Sitzung beginnen, stellen Sie sicher, dass Sie die Einrichtungsschritte für Session Manager ausgeführt haben. Weitere Informationen finden Sie unter [Einrichten von Session Manager](session-manager-getting-started.md).
Um eine Sitzung über SSH zu starten, führen Sie folgenden Befehl aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
```
ssh -i /path/my-key-pair.pem username@instance-id
```
**Tipp**
Wenn Sie eine Sitzung mit SSH starten, können Sie mit dem folgenden Befehl lokale Dateien auf den anvisierten verwalteten Knoten kopieren.
```
scp -i /path/my-key-pair.pem /path/ExampleFile.txt username@instance-id:~
```
Informationen zu anderen Optionen, die Sie mit dem **start-session** Befehl verwenden können, finden Sie [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)im AWS Systems Manager Abschnitt der Befehlsreferenz. AWS CLI
## Starten einer Sitzung (Port-Weiterleitung)
Um eine Session Manager-Port-Weiterleitungs-Sitzung zu starten, muss Version 2.3.672.0 oder höher des SSM Agent auf dem verwalteten Knoten installiert sein.
**Anmerkung**
Bevor Sie eine Sitzung beginnen, stellen Sie sicher, dass Sie die Einrichtungsschritte für Session Manager ausgeführt haben. Weitere Informationen finden Sie unter [Einrichten von Session Manager](session-manager-getting-started.md).
Um die Befehle AWS CLI to run session verwenden zu können, müssen Sie das Session Manager Plug-in auf Ihrem lokalen Computer installieren. Weitere Informationen finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md).
Je nach Betriebssystem und Befehlszeilentool kann die Platzierung von Anführungszeichen unterschiedlich sein, und möglicherweise sind Escapezeichen erforderlich.
Um eine Port-Weiterleitungssitzung zu starten, führen Sie den folgenden Befehl in der CLI aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name AWS-StartPortForwardingSession \
--parameters '{"portNumber":["80"], "localPortNumber":["56789"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name AWS-StartPortForwardingSession ^
--parameters portNumber="3389",localPortNumber="56789"
```
------
`portNumber` ist der Remote-Port auf dem verwalteten Knoten, an den der Sitzungsverkehr umgeleitet werden soll. Sie können beispielsweise Port `3389` für die Verbindung zu einem Windows-Knoten mithilfe des Remote Desktop Protocol (RDP) angeben. Wenn Sie den `portNumber`-Parameter nicht angeben, verwendet Session Manager die `80`-Standardschulungsparameter.
`localPortNumber` ist der Port auf Ihrem lokalen Computer, an dem der Verkehr beginnt, z. B. `56789` Dieser Wert ist, was Sie eingeben, wenn Sie eine Verbindung mit einem verwalteten Knoten über einen Client herstellen. Beispiel, **localhost:56789**.
Informationen zu anderen Optionen, die Sie mit dem **start-session** Befehl verwenden können, finden Sie [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)im AWS Systems Manager Abschnitt der AWS CLI Befehlsreferenz.
Weitere Informationen zu Port-Weiterleitungssitzungen finden Sie unter [Port-Weiterleitung unter Verwendung von AWS Systems ManagerSession Manager](https://aws.amazon.com/blogs/aws/new-port-forwarding-using-aws-system-manager-sessions-manager/) im *AWS News Blog*.
## Starten einer Sitzung (Port-Weiterleitung an entfernten Host)
Um eine Session Manager-Port-Weiterleitungs-Sitzung zu einem entfernten Host zu starten, muss Version 3.1.1374.0 oder höher des SSM Agent auf dem verwalteten Knoten installiert sein. Der Remote-Host muss nicht von Systems Manager verwaltet werden.
**Anmerkung**
Bevor Sie eine Sitzung beginnen, stellen Sie sicher, dass Sie die Einrichtungsschritte für Session Manager ausgeführt haben. Weitere Informationen finden Sie unter [Einrichten von Session Manager](session-manager-getting-started.md).
Um die Befehle AWS CLI to run session verwenden zu können, müssen Sie das Session Manager Plug-in auf Ihrem lokalen Computer installieren. Weitere Informationen finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md).
Je nach Betriebssystem und Befehlszeilentool kann die Platzierung von Anführungszeichen unterschiedlich sein, und möglicherweise sind Escapezeichen erforderlich.
Um eine Port-Weiterleitungssitzung zu starten, führen Sie den folgenden Befehl in der AWS CLI aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name AWS-StartPortForwardingSessionToRemoteHost \
--parameters '{"host":["mydb.example.us-east-2.rds.amazonaws.com"],"portNumber":["3306"], "localPortNumber":["3306"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name AWS-StartPortForwardingSessionToRemoteHost ^
--parameters host="mydb.example.us-east-2.rds.amazonaws.com",portNumber="3306",localPortNumber="3306"
```
------
Der `host`-Wert stellt den Hostnamen oder die IP-Adresse des Remote-Hosts dar, zu dem Sie eine Verbindung herstellen möchten. Es gelten weiterhin allgemeine Anforderungen an Konnektivität und Namensauflösung zwischen dem verwalteten Knoten und dem Remote-Host.
`portNumber` ist der Remote-Port auf dem verwalteten Knoten, an den der Sitzungsverkehr umgeleitet werden soll. Sie können beispielsweise Port `3389` für die Verbindung zu einem Windows-Knoten mithilfe des Remote Desktop Protocol (RDP) angeben. Wenn Sie den `portNumber`-Parameter nicht angeben, verwendet Session Manager die `80`-Standardschulungsparameter.
`localPortNumber` ist der Port auf Ihrem lokalen Computer, an dem der Verkehr beginnt, z. B. `56789` Dieser Wert ist, was Sie eingeben, wenn Sie eine Verbindung mit einem verwalteten Knoten über einen Client herstellen. Beispiel, **localhost:56789**.
Informationen zu anderen Optionen, die Sie mit dem **start-session** Befehl verwenden können, finden Sie [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)im AWS Systems Manager Abschnitt der AWS CLI Befehlsreferenz.
### Starten einer Sitzung mit einer Amazon-ECS-Aufgabe
Session Manager unterstützt das Starten einer Portweiterleitungssitzung mit einer Aufgabe in einem Amazon Elastic Container Service (Amazon ECS)-Cluster. Aktivieren Sie dazu ECS Exec. Weitere Informationen finden Sie unter [Überwachen von Amazon-ECS-Containern mit ECS Exec](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-exec.html) im *Entwicklerhandbuch zum Amazon Elastic Container Service*.
Sie müssen ebenso die Aufgabenrolle in IAM aktualisieren, sodass sie die folgenden Berechtigungen enthält:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
}
]
}
```
------
Um eine Port-Weiterleitungssitzung mit einer Amazon-ECS-Aufgabe zu starten, führen Sie den folgenden Befehl in der AWS CLI aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
**Anmerkung**
Entfernen Sie die <- und >-Symbole aus dem `target`-Parameter. Diese Symbole dienen nur zur Verdeutlichung des Lesers.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target ecs:__ \
--document-name AWS-StartPortForwardingSessionToRemoteHost \
--parameters '{"host":["URL"],"portNumber":["port_number"], "localPortNumber":["port_number"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target ecs:__ ^
--document-name AWS-StartPortForwardingSessionToRemoteHost ^
--parameters host="URL",portNumber="port_number",localPortNumber="port_number"
```
------
## Starten einer Sitzung (interaktive und nicht interaktive Befehle)
Bevor Sie eine Sitzung beginnen, stellen Sie sicher, dass Sie die Einrichtungsschritte für Session Manager ausgeführt haben. Weitere Informationen finden Sie unter [Einrichten von Session Manager](session-manager-getting-started.md).
Um die Befehle AWS CLI to run session verwenden zu können, muss das Session Manager Plugin auch auf Ihrem lokalen Computer installiert sein. Weitere Informationen finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md).
Um eine Interactive Befehls-Sitzung zu starten, führen Sie den folgenden Befehl aus. Ersetzen Sie jeden *example resource placeholder* durch Ihre Informationen.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name CustomCommandSessionDocument \
--parameters '{"logpath":["/var/log/amazon/ssm/amazon-ssm-agent.log"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name CustomCommandSessionDocument ^
--parameters logpath="/var/log/amazon/ssm/amazon-ssm-agent.log"
```
------
Informationen zu anderen Optionen, die Sie mit dem **start-session** Befehl verwenden können, finden Sie [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)im AWS Systems Manager Abschnitt der AWS CLI Befehlsreferenz.
**Weitere Informationen**
+ [Verwenden Sie Port-Forwarding in AWS Systems ManagerSession Manager, um eine Verbindung zu Remote-Hosts herzustellen](https://aws.amazon.com/blogs/mt/use-port-forwarding-in-aws-systems-manager-session-manager-to-connect-to-remote-hosts/)
+ [Amazon EC2 EC2-Instance-Portweiterleitung mit AWS Systems Manager](https://aws.amazon.com/blogs/mt/amazon-ec2-instance-port-forwarding-with-aws-systems-manager/)
+ [AWS Verwaltete Microsoft AD-Ressourcen mit Session Manager Portweiterleitung verwalten](https://aws.amazon.com/blogs/mt/manage-aws-managed-microsoft-ad-resources-with-session-manager-port-forwarding/)
+ [Port-Weiterleitung mit AWS Systems ManagerSession Manager](https://aws.amazon.com/blogs/aws/new-port-forwarding-using-aws-system-manager-sessions-manager/) im *AWS News Blog*.
# Eine Sitzung beenden
Sie können mithilfe der AWS Systems Manager-Konsole oder der AWS Command Line Interface (AWS CLI) eine Sitzung beenden, die Sie in Ihrem Konto gestartet haben. Wenn Sie in der Konsole auf die Schaltfläche **Beenden** für eine Sitzung klicken oder die API-Aktion [TerminateSession](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_TerminateSession.html) mithilfe von AWS CLI aufrufen, wird Session Manager die Sitzung dauerhaft beenden und die Datenverbindung zwischen dem Session Manager-Client und SSM Agent auf dem verwalteten Knoten wird geschlossen. Sie können eine beendete Sitzung nicht fortsetzen.
Wenn in einer geöffneten Sitzung 20 Minuten lang keine Benutzeraktivität stattfindet, löst der Ruhezustand ein Timeout aus. Session Manager ruft `TerminateSession` nicht auf, schließt aber den zugrunde liegenden Kanal. Sie können eine Sitzung, die aufgrund eines Timeouts im Leerlauf geschlossen wurde, nicht fortsetzen.
Wir empfehlen, eine Sitzung immer explizit zu beenden, indem Sie den `terminate-session`-Befehl verwenden, wenn Sie die AWS CLI verwenden, oder die Schaltfläche **Beenden**, wenn Sie die Konsole verwenden. (Die Schaltflächen zum **Beenden** befinden sich sowohl im Sitzungsfenster als auch auf der Hauptseite der Session Manager-Konsole.) Wenn Sie nur ein Browser- oder Befehlsfenster schließen, wird die Sitzung in der Konsole 30 Tage lang als **Aktiv** aufgeführt. Wenn Sie eine Sitzung nicht explizit beenden oder wenn das Zeitlimit für eine Sitzung überschritten wird, werden alle Prozesse, die zu diesem Zeitpunkt auf dem verwalteten Knoten ausgeführt wurden, weiterhin ausgeführt.
**Topics**
+ [So beenden Sie eine Sitzung (Konsole)](#stop-sys-console)
+ [Beenden einer Sitzung (AWS CLI)](#stop-cli)
## So beenden Sie eine Sitzung (Konsole)
Sie können mithilfe der AWS Systems Manager-Konsole eine Sitzung in Ihrem Konto beenden.
**So beenden Sie eine Sitzung (Konsole)**
1. Öffnen Sie die AWS Systems Manager-Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie unter **Sessions (Sitzungen)** die Optionsschaltfläche links neben der Sitzung aus, die Sie beenden möchten.
1. Wähen Sie **Beenden**.
## Beenden einer Sitzung (AWS CLI)
Um eine Sitzung über die AWS CLI zu beenden, führen Sie folgenden Befehl aus. Ersetzen Sie *session-id* mit Ihren eigenen Informationen.
```
aws ssm terminate-session \
--session-id session-id
```
Weitere Informationen zum Befehl **terminate-session** finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/ssm/terminate-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/terminate-session.html) im Abschnitt AWS Systems Manager der Befehlsreferenz AWS CLI.
# Anzeigen des Sitzungsverlaufs
Sie können die AWS Systems Manager Konsole oder die AWS Command Line Interface (AWS CLI) verwenden, um Informationen zu Sitzungen in Ihrem Konto einzusehen. In der Konsole können Sie Sitzungsdetails wie die folgenden anzeigen:
+ Die ID der Sitzung
+ Welche Benutzer über eine Sitzung eine Verbindung mit einem verwalteten Knoten hergestellt haben
+ Die ID des verwalteten Knotens
+ Wann die Sitzung gestartet und beendet wurde
+ Den Status der Sitzung
+ Den für das Speichern von Sitzungsprotokollen angegebenen Speicherort (wenn aktiviert)
Mithilfe der AWS CLI können Sie eine Liste der Sitzungen in Ihrem Konto einsehen, nicht jedoch die zusätzlichen Details, die in der Konsole verfügbar sind.
Informationen zur Protokollierung des Sitzungsverlaufs finden Sie unter [Protokollierung von Sitzungen aktivieren und deaktivieren](session-manager-logging.md).
**Topics**
+ [Anzeigen des Sitzungsverlaufs (Konsole)](#view-console)
+ [Anzeigen des Sitzungsverlaufs (AWS CLI)](#view-history-cli)
## Anzeigen des Sitzungsverlaufs (Konsole)
Sie können die AWS Systems Manager Konsole verwenden, um Details zu den Sitzungen in Ihrem Konto einzusehen.
**So zeigen Sie den Sitzungsverlauf an (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie die Registerkarte **Session history (Sitzungsverlauf)** aus.
–oder–
Wenn die Session Manager-Startseite zum ersten Mal geöffnet wird, wählen Sie **Einstellungen konfigurieren** und dann die Registerkarte **Sitzungsverlauf** aus.
## Anzeigen des Sitzungsverlaufs (AWS CLI)
Führen Sie den folgenden Befehl aus AWS CLI, um eine Liste der Sitzungen in Ihrem Konto mit dem anzuzeigen.
```
aws ssm describe-sessions \
--state History
```
**Anmerkung**
Dieser Befehl gibt nur Ergebnisse für Verbindungen zu Zielen zurück, die mit Session Manager initiiert wurden. Es werden keine Verbindungen aufgeführt, die auf andere Weise hergestellt wurden, z. B. Remote Desktop Protocol (RDP) oder Secure Shell Protocol (SSH).
Informationen zu anderen Optionen, die Sie mit dem **describe-sessions** Befehl verwenden können, finden Sie [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-sessions.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-sessions.html)im AWS Systems Manager Abschnitt der AWS CLI Befehlsreferenz.
# Protokollieren von Sitzungsaktivitäten
Zusätzlich zur Bereitstellung von Informationen zu den aktuellen und abgeschlossenen Sitzungen in der Systems-Manager-Konsole stellt Session Manager Ihnen Optionen für das Protokoll von Sitzungsaktivitäten in Ihrem AWS-Konto mit AWS CloudTrail bereit.
CloudTrail erfasst Session-API-Aufrufe über die Systems Manager-Konsole, das AWS Command Line Interface (AWS CLI) und das Systems Manager SDK. Sie können die Informationen auf der CloudTrail Konsole anzeigen oder sie in einem bestimmten Amazon Simple Storage Service (Amazon S3) -Bucket speichern. Ein Amazon S3 S3-Bucket wird für alle CloudTrail Protokolle Ihres Kontos verwendet. Weitere Informationen finden Sie unter [AWS Systems Manager API-Aufrufe protokollieren mit AWS CloudTrail](monitoring-cloudtrail-logs.md).
**Anmerkung**
Für wiederkehrende, historische, analytische Analysen Ihrer Protokolldateien sollten Sie erwägen, CloudTrail Protokolle mithilfe von [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) oder einer von Ihnen verwalteten Tabelle abzufragen. Weitere Informationen finden Sie unter [AWS CloudTrail Logs abfragen](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html) im *AWS CloudTrail Benutzerhandbuch*.
## Überwachung der Sitzungsaktivität mit Amazon EventBridge (Konsole)
Mit können Sie Regeln einrichten EventBridge, um zu erkennen, wann Änderungen an AWS Ressourcen vorgenommen werden. Sie können eine Regel erstellen, um zu erkennen, wenn ein Benutzer in Ihrer Organisation eine Sitzung startet oder beendet, und dann z. B. über Amazon SNS eine Benachrichtigung bezüglich des Ereignisses erhalten.
EventBridge Die Unterstützung für Session Manager stützt sich auf Aufzeichnungen von API-Vorgängen, die von aufgezeichnet wurden CloudTrail. (Sie können die CloudTrail Integration mit verwenden EventBridge , um auf die meisten AWS Systems Manager Ereignisse zu reagieren.) Aktionen, die innerhalb einer Sitzung stattfinden, z. B. ein `exit` Befehl, der keinen API-Aufruf durchführt, werden von nicht erkannt EventBridge.
Die folgenden Schritte zeigen, wie Sie Benachrichtigungen über Amazon Simple Notification Service (Amazon SNS) initiieren, wenn ein Session ManagerAPI-Ereignis eintritt, z. B. **StartSession**.
**Um die Sitzungsaktivität mit Amazon EventBridge (Konsole) zu überwachen**
1. Erstellen Sie ein Amazon SNS-Thema zum Senden von Benachrichtigungen, wenn das Session Manager-Ereignis eintritt, die Sie überwachen möchten.
Weitere Informationen finden Sie unter [Erstellen eines Themas](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) im *Amazon Simple Notification Service-Entwicklerhandbuch*.
1. Erstellen Sie eine EventBridge Regel, um das Amazon SNS SNS-Ziel für den Session Manager Ereignistyp aufzurufen, den Sie verfolgen möchten.
Informationen zur Erstellung der Regel finden Sie im [* EventBridge Amazon-Benutzerhandbuch* unter Erstellen von EventBridge Amazon-Regeln, die auf Ereignisse reagieren](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html).
Wählen Sie während der Erstellung der Regel die folgenden Optionen aus:
+ Wählen Sie für **AWS service** (-Service), die Option **Systems Manager** aus.
+ Wählen Sie als **Ereignistyp** die Option **AWS API Call through** aus CloudTrail.
+ Wählen Sie **Specific operation (s) (Spezifische Operation(en))** aus und geben Sie dann nacheinander die Session Manager-Befehle ein, für die Sie Benachrichtigungen erhalten möchten. Sie können **StartSession****ResumeSession**, und wählen**TerminateSession**. (unterstützt die `Describe*` Befehle `Get*`` List*`, und EventBridge nicht.)
+ Für **Select a target** (Wählen Sie ein Ziel aus), wählen Sie **SNS-Thema** aus. Wählen Sie unter **Topic (Thema)** den Namen des von Ihnen in Schritt 1 erstellten Amazon SNS-Themas aus.
Weitere Informationen finden Sie im *[ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/)* und im *[Amazon Simple Notification Service Getting Started Guide](https://docs.aws.amazon.com/sns/latest/gsg/)*.
# Protokollierung von Sitzungen aktivieren und deaktivieren
Die Sitzungsprotokollierung zeichnet Informationen über aktuelle und abgeschlossene Sitzungen in der Systems-Manager-Konsole auf. Sie können auch Details zu Befehlen protokollieren, die während Sitzungen in Ihrem AWS-Konto ausgeführt werden. Mithilfe der Sitzungsprotokollierung können Sie Folgendes tun:
+ Erstellen und Speichern von Sitzungsprotokollen zu Archivierungszwecken.
+ Generieren eines Berichts mit Details zu jeder Verbindung, die mit Ihren verwalteten Knoten über Session Manager in den letzten 30 Tagen hergestellt wurde.
+ Generieren Sie Benachrichtigungen für die Sitzungsprotokollierung in Ihren Benachrichtigungen AWS-Konto, z. B. Amazon Simple Notification Service (Amazon SNS).
+ Initiieren Sie automatisch eine weitere Aktion für eine AWS Ressource als Ergebnis von Aktionen, die während einer Sitzung ausgeführt wurden, z. B. das Ausführen einer AWS Lambda Funktion, das Starten einer AWS CodePipeline Pipeline oder das Ausführen eines AWS Systems Manager Run Command Dokuments.
**Wichtig**
Beachten Sie die folgenden Anforderungen und Einschränkungen für Session Manager:
Session Manager protokolliert die von Ihnen eingegebenen Befehle und deren Ausgabe während einer Sitzung abhängig von Ihren Sitzungseinstellungen. Um zu verhindern, dass vertrauliche Daten wie Passwörter in Ihren Sitzungsprotokollen angezeigt werden, empfehlen wir die folgenden Befehle, wenn Sie während einer Sitzung vertrauliche Daten eingeben.
```
stty -echo; read passwd; stty echo;
```
```
$Passwd = Read-Host -AsSecureString
```
Wenn Sie Windows Server 2012 oder früher verwenden, werden die Daten in Ihren Protokollen möglicherweise nicht optimal formatiert. Wir empfehlen die Verwendung von Windows Server 2012 R2 und höher, um optimal formatierte Protokolle zu erhalten.
Wenn Sie Linux- oder macOS-verwaltete Knoten verwenden, muss das Screen-Serviceprogramm installiert sein. Wenn dies nicht der Fall ist, werden die Protokolldaten möglicherweise abgeschnitten. Unter Amazon Linux AL2 2.023 und ist Ubuntu Server das Screen Utility standardmäßig installiert. Um Screen manuell zu installieren, müssen Sie abhängig von Ihrer Linux-Version entweder `sudo yum install screen` oder `sudo apt-get install screen` ausführen.
Protokollieren ist für Session Manager-Sitzungen, die eine Verbindung über Port-Weiterleitung oder SSH herstellen, nicht verfügbar. Das liegt daran, dass SSH alle Sitzungsdaten innerhalb der sicheren TLS-Verbindung zwischen den Session Manager Endpunkten verschlüsselt AWS CLI und Session Manager nur als Tunnel für SSH-Verbindungen dient.
Weitere Informationen zu den Berechtigungen, die für die Verwendung von Amazon S3 oder Amazon CloudWatch Logs für die Protokollierung von Sitzungsdaten erforderlich sind, finden Sie unter[Erstellen einer IAM-Rolle mit Berechtigungen für Amazon S3 Session Manager und CloudWatch Logs (Konsole)](getting-started-create-iam-instance-profile.md#create-iam-instance-profile-ssn-logging).
Weitere Informationen zu Protokollierungsoptionen für Session Manager finden Sie in den folgenden Themen.
**Topics**
+ [Streaming-Sitzungsdaten mit Amazon CloudWatch Logs (Konsole)](session-manager-logging-cwl-streaming.md)
+ [Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole)](session-manager-logging-s3.md)
+ [Protokollierung von Sitzungsdaten mit Amazon CloudWatch Logs (Konsole)](session-manager-logging-cloudwatch-logs.md)
+ [Konfigurieren der Sitzungsprotokollierung auf Festplatte](session-manager-logging-disk.md)
+ [Anpassen, wie lange die Session Manager temporäre Protokolldatei auf der Festplatte gespeichert wird](session-manager-logging-disk-retention.md)
+ [Deaktivierung der Session Manager Protokollierung in CloudWatch Logs und Amazon S3](session-manager-enable-and-disable-logging.md)
# Streaming-Sitzungsdaten mit Amazon CloudWatch Logs (Konsole)
Sie können einen kontinuierlichen Stream von Sitzungsdatenprotokollen an Amazon CloudWatch Logs senden. Wichtige Details, wie die Befehle, die ein Benutzer in einer Sitzung ausgeführt hat, die ID des Benutzers, der die Befehle ausgeführt hat, und Zeitstempel für den Zeitpunkt, zu dem die Sitzungsdaten in CloudWatch Logs gestreamt werden, sind beim Streaming von Sitzungsdaten enthalten. Beim Streamen von Sitzungsdaten werden die Protokolle JSON-formatiert, um Ihnen bei der Integration in Ihre vorhandenen Protokollierungslösungen zu helfen. Streaming-Sitzungsdaten werden für interaktive Befehle nicht unterstützt.
**Anmerkung**
Um Sitzungsdaten von Windows Server-verwalteten Knoten zu streamen, müssen Sie PowerShell 5.1 oder höher installiert haben. Standardmäßig ist bei Windows Server 2016 und höher die erforderliche PowerShell-Version installiert. Bei Windows Server 2012 und 2012 R2 ist die erforderliche PowerShell-Version jedoch nicht standardmäßig installiert. Wenn Sie PowerShell noch nicht auf Ihren von Windows Server 2012 oder 2012 R2 verwalteten Knoten aktualisiert haben, können Sie dies mit Run Command tun. Informationen zur Aktualisierung von PowerShell mithilfe von Run Command finden Sie unter [Aktualisierung PowerShell mit Run Command](run-command-tutorial-update-software.md#rc-console-pwshexample).
**Wichtig**
Wenn Sie die Einstellung der **PowerShell Transkriptionsrichtlinie** auf Ihren Windows Server verwalteten Knoten konfiguriert haben, können Sie keine Sitzungsdaten streamen.
**Um Sitzungsdaten mit Amazon CloudWatch Logs zu streamen (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Aktivieren Sie unter **CloudWatch Protokollierung** das Kontrollkästchen neben **Aktivieren**.
1. Wählen Sie die Option **Sitzungsungsprotokolle streamen** aus.
1. (Empfohlen) Aktivieren Sie das Kontrollkästchen neben **Nur verschlüsselte CloudWatch Protokollgruppen zulassen**. Wenn diese Funktion aktiviert ist, werden die Protokolldaten mithilfe des serverseitigen Verschlüsselungsschlüssels, der für die Protokollgruppe angegeben wurde, verschlüsselt. Wenn Sie die Protokolldaten, die an CloudWatch Logs gesendet werden, nicht verschlüsseln möchten, deaktivieren Sie das Kontrollkästchen. Außerdem müssen Sie das Kontrollkästchen deaktivieren, wenn die Verschlüsselung für die Protokollgruppe nicht aktiviert ist.
1. Wählen Sie für **CloudWatch Protokolle** eine der folgenden Optionen aus, AWS-Konto um die bestehende CloudWatch Protokollgruppe Logs in die Sie die Sitzungsprotokolle hochladen möchten, anzugeben:
+ Geben Sie den Namen einer bereits in Ihrem Konto erstellten Protokollgruppe in das Textfeld ein, um die Sitzungsprotokolldaten zu speichern.
+ **Protokollgruppen durchsuchen**: Wählen Sie eine bereits in Ihrem Konto erstellte Protokollgruppe aus, um die Sitzungsprotokolldaten zu speichern.
1. Wählen Sie **Speichern**.
# Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole)
Sie können Sitzungsprotokolldaten zu Debugging- und Fehlerbehebungszwecken in einem angegebenen Amazon Simple Storage Service (Amazon S3)-Bucket speichern. Standardmäßig werden Protokolle an einen verschlüsselten Amazon S3-Bucket gesendet. Die Verschlüsselung erfolgt mit dem für den Bucket angegebenen Schlüssel, entweder einem AWS KMS key oder einem Amazon S3 S3-Schlüssel für serverseitige Verschlüsselung (SSE) (AES-256).
**Wichtig**
Bei Verwendung von Buckets im Stil eines virtuellen Hostings mit SSL (Secure Sockets Layer) stimmt das SSL-Wildcard-Zertifikat nur mit Buckets überein, die keine Punkte enthalten. Um dies zu umgehen, verwenden Sie HTTP oder schreiben Sie Ihre eigene Logik zur Verifizierung von Zertifikaten. Wir empfehlen, bei der Verwendung von Buckets im Stil des virtuellen Hostings keine Punkte („.“) in Bucket-Namen zu verwenden.
**Verschlüsselung von Amazon S3-Bucket**
Um Protokolle mit Verschlüsselung an Ihren Amazon S3-Bucket senden zu können, muss die Verschlüsselungsfunktion für den Bucket aktiviert sein. Weitere Informationen zur Amazon S3 Bucket-Verschlüsselung finden Sie unter [Amazon S3-Standardverschlüsselung für S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html).
**Kundenseitig verwalteter Schlüssel**
Wenn Sie zum Verschlüsseln Ihres Buckets einen KMS-Schlüssel verwenden, den Sie selbst verwalten, muss das Ihren Instances angefügte IAM-Instance-Profil explizite Berechtigungen zum Lesen des Schlüssels besitzen. Wenn Sie einen verwenden Von AWS verwalteter Schlüssel, benötigt die Instance diese ausdrückliche Genehmigung nicht. Weitere Informationen zum Bereitstellen des Instance-Profils mit Zugriff auf die Verwendung des Schlüssels finden Sie unter [Gestattet Schlüsselbenutzern die Verwendung des Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) im *AWS Key Management Service -Entwicklerhandbuch*.
Gehen Sie wie folgt vor, um Session Manager zum Speichern von Sitzungsprotokollen im Amazon S3-Bucket zu konfigurieren.
**Anmerkung**
Sie können den auch verwenden AWS CLI , um den Amazon S3 S3-Bucket anzugeben oder zu ändern, an den Sitzungsdaten gesendet werden. Weitere Informationen finden Sie unter [Aktualisieren von Session Manager-Einstellungen (Befehlszeile)](getting-started-configure-preferences-cli.md).
**Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Wählen Sie bei **S3-Protokollierung** neben **Aktivieren** das Kontrollkästchen aus.
1. (Empfohlen) Aktivieren Sie das Kontrollkästchen neben **Nur verschlüsselte S3-Buckets zulassen**. Wenn diese Funktion aktiviert ist, werden die Protokolldaten mithilfe des serverseitigen Verschlüsselungsschlüssels, der für den Bucket angegeben wurde, verschlüsselt. Wenn Sie die an Amazon S3 gesendeten Protokolldaten nicht verschlüsseln möchten, aktivieren Sie das Kontrollkästchen. Außerdem müssen Sie das Kontrollkästchen deaktivieren, wenn die Verschlüsselung für den S3-Bucket nicht aktiviert ist.
1. Wählen Sie in **S3 bucket name (Name des S3-Buckets)** eine der folgenden Optionen aus:
**Anmerkung**
Wir empfehlen, bei der Verwendung von Buckets im Stil des virtuellen Hostings keine Punkte („.“) in Bucket-Namen zu verwenden. Weitere Informationen zu Namenskonventionen für Amazon-S3-Buckets finden Sie unter [Bucket-Einschränkungen und -Limits](https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules) im *Benutzerhandbuch zu Amazon Simple Storage Service*.
+ **Choose a bucket name from the list (Bucket-Namen aus der Liste auswählen)**: Wählen Sie einen bereits in Ihrem Konto erstellten Amazon S3-Bucket aus, um Sitzungsprotokolldaten zu speichern.
+ **Enter a bucket name in the text box (Geben Sie einen Namen für den Bucket in das Textfeld ein)**: Geben Sie den Namen eines bereits in Ihrem Konto erstellten Amazon S3-Buckets ein, um Sitzungsprotokolldaten zu speichern.
1. (Optional) Geben Sie in **S3 key prefix (S3-Schlüsselpräfix)** den Namen eines vorhandenen oder neuen Ordners ein, in dem die Protokolle im ausgewählten Bucket gespeichert werden sollen.
1. Wählen Sie **Speichern**.
Weitere Informationen zum Arbeiten mit Amazon S3 und Amazon-S3-Buckets finden Sie im *[Benutzerhandbuch zu Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)* und im *[Benutzerhandbuch zu Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)*.
# Protokollierung von Sitzungsdaten mit Amazon CloudWatch Logs (Konsole)
Mit Amazon CloudWatch Logs können Sie Protokolldateien aus verschiedenen Quellen überwachen, speichern und darauf zugreifen AWS-Services. Sie können Sitzungsprotokolldaten zu Debugging- und Fehlerbehebungszwecken an eine CloudWatch Logs-Protokollgruppe senden. Standardmäßig werden Protokolldaten nach Verschlüsselung mit Ihrem KMS-Schlüssel gesendet. Sie können die Daten jedoch mit oder ohne Verschlüsselung an ihre Protokollgruppe senden.
Gehen Sie wie folgt vor, um AWS Systems Manager Session Manager zu konfigurieren, dass Sitzungsprotokolldaten am Ende Ihrer Sitzungen an eine CloudWatch Logs-Protokollgruppe gesendet werden.
**Anmerkung**
Sie können den auch verwenden AWS CLI , um die CloudWatch Logs-Protokollgruppe anzugeben oder zu ändern, an die Sitzungsdaten gesendet werden. Weitere Informationen finden Sie unter [Aktualisieren von Session Manager-Einstellungen (Befehlszeile)](getting-started-configure-preferences-cli.md).
**So protokollieren Sie Sitzungsdaten mit Amazon CloudWatch Logs (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Aktivieren Sie unter **CloudWatch Protokollierung** das Kontrollkästchen neben **Aktivieren**.
1. Wählen Sie die Option **Sitzungsungsprotokolle hochladen** aus.
1. (Empfohlen) Aktivieren Sie das Kontrollkästchen neben **Nur verschlüsselte CloudWatch Protokollgruppen zulassen**. Wenn diese Funktion aktiviert ist, werden die Protokolldaten mithilfe des serverseitigen Verschlüsselungsschlüssels, der für die Protokollgruppe angegeben wurde, verschlüsselt. Wenn Sie die Protokolldaten, die an CloudWatch Logs gesendet werden, nicht verschlüsseln möchten, deaktivieren Sie das Kontrollkästchen. Außerdem müssen Sie das Kontrollkästchen deaktivieren, wenn die Verschlüsselung für die Protokollgruppe nicht aktiviert ist.
1. Wählen Sie für **CloudWatch Protokolle** eine der folgenden Optionen aus, AWS-Konto um die bestehende CloudWatch Protokollgruppe Logs in die Sie die Sitzungsprotokolle hochladen möchten, anzugeben:
+ **Choose a log group from the list (Eine Protokollgruppe aus der Liste auswählen)**: Wählen Sie eine bereits in Ihrem Konto erstellte Protokollgruppe aus, in die die Sitzungsprotokolldaten gespeichert werden sollen.
+ **Enter a log group name in the text box (Geben Sie den Namen einer Protokollgruppe in das Textfeld ein)**: Geben Sie den Namen einer bereits in Ihrem Konto erstellten Protokollgruppe ein, in die die Sitzungsprotokolldaten gespeichert werden sollen.
1. Wählen Sie **Speichern**.
Weitere Informationen zur Arbeit mit CloudWatch Logs finden Sie im *[Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
# Konfigurieren der Sitzungsprotokollierung auf Festplatte
Nachdem Sie die Session Manager Protokollierung bei Amazon S3 CloudWatch oder Amazon S3 aktiviert haben, werden alle während einer Sitzung ausgeführten Befehle (und die daraus resultierenden Ausgaben) in einer temporären Datei auf der Festplatte der Ziel-Instance protokolliert. Die temporäre Datei hat den Namen `ipcTempFile.log`.
`ipcTempFile.log` wird durch den `SessionLogsDestination`-Parameter in der SSM Agent-Konfigurationsdatei gesteuert. Dieser Parameter akzeptiert die folgenden Werte:
+ **Festplatte**: Wenn Sie diesen Parameter angeben und die Sitzungsprotokollierung auf CloudWatch oder Amazon S3 *aktiviert ist*, SSM Agent erstellt die `ipcTempFile.log` temporäre Protokolldatei und protokolliert Sitzungsbefehle sowie die Ausgabe auf der Festplatte. Session Managerlädt dieses Protokoll je nach Protokollierungskonfiguration während oder nach der Sitzung entweder CloudWatch auf S3 hoch. Das Protokoll wird dann entsprechend der für den SSM Agent `SessionLogsRetentionDurationHours` Konfigurationsparameter angegebenen Dauer gelöscht.
Wenn Sie diesen Parameter angeben und die Sitzungsprotokollierung bei Amazon S3 *deaktiviert* ist, werden SSM Agent trotzdem der Befehlsverlauf und die Ausgabe in der `ipcTempFile.log` Datei protokolliert. CloudWatch Die Datei wird entsprechend der für den SSM Agent `SessionLogsRetentionDurationHours` Konfigurationsparameter angegebenen Dauer gelöscht.
+ **none**: Wenn Sie diesen Parameter angeben und die Sitzungsprotokollierung bei CloudWatch oder Amazon S3 *aktiviert ist*, funktioniert die Protokollierung auf der Festplatte genauso, als ob Sie den `disk` Parameter angegeben hätten. SSM Agentbenötigt die temporäre Datei, wenn die Sitzungsprotokollierung bei CloudWatch oder Amazon S3 aktiviert ist.
Wenn Sie diesen Parameter angeben und die Sitzungsprotokollierung bei CloudWatch oder Amazon S3 *deaktiviert* SSM Agent ist, wird die `ipcTempFile.log` Datei nicht erstellt.
Gehen Sie wie folgt vor, um die Erstellung der `ipcTempFile.log`-temporären Protokolldatei auf der Festplatte zu aktivieren oder zu deaktivieren, wenn eine Sitzung gestartet wird.
**Um die Erstellung der Session Manager-temporären Protokolldatei auf der Festplatte zu aktivieren oder zu deaktivieren**
1. Installieren Sie SSM Agent entweder auf Ihrer Instance oder führen Sie ein Upgrade auf Version 3.2.2086 oder höher durch. Weitere Informationen zum Überprüfen der Agent-Versionsnummer finden Sie unter [Überprüfen der SSM Agent-Versionsnummer](ssm-agent-get-version.md). Informationen zur manuellen Installation des Agenten finden Sie in den folgenden Abschnitten nach dem Verfahren für Ihr Betriebssystem:
+ [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Linux](manually-install-ssm-agent-linux.md)
+ [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für macOS](manually-install-ssm-agent-macos.md)
+ [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Windows Server](manually-install-ssm-agent-windows.md)
1. Erstellen Sie eine Verbindung zu Ihrer Instance und suchen Sie die `amazon-ssm-agent.json`-Datei am folgenden Speicherort.
+ **Linux**:/etc/amazon/ssm/
+ **macOS**: /opt/aws/ssm/
+ **Windows Server**: C:\$1Program Files\$1Amazon\$1SSM
Wenn die Datei `amazon-ssm-agent.json` nicht existiert, kopieren Sie den Inhalt von `amazon-ssm-agent.json.template` in eine neue Datei im selben Verzeichnis. Benennen Sie die Datei `amazon-ssm-agent.json`.
1. Geben Sie entweder `none` oder `disk` für den `SessionLogsDestination`-Parameter an. Speichern Sie Ihre Änderungen.
1. [Starten Sie SSM Agent neu](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-status-and-restart.html).
Wenn Sie `disk` für den `SessionLogsDestination`-Parameter angegeben haben, können Sie überprüfen, ob die temporäre Protokolldatei SSM Agent erstellt wird, indem Sie eine neue Sitzung starten und die `ipcTempFile.log`-Datei dann am folgenden Speicherort suchen:
+ **Linux**://var/lib/amazon/ssm*target ID*/Sitzung/Orchestration/ *session ID* /Standard\$1Stream/ .log ipcTempFile
+ **macOS**: opt/aws/ssm/data*target ID*/*session ID*/sitzung/orchestration/ ipcTempFile /Standard\$1Stream/ .log
+ **Windows Server**: C:\$1\$1 AmazonProgramData\$1 SSM\$1\$1 SitzungInstanceData\$1 *target ID* Orchestrierung\$1\$1 Standard\$1Stream*session ID*\$1 .log ipcTempFile
**Anmerkung**
Standardmäßig wird die temporäre Protokolldatei 14 Tage lang auf der Instance gespeichert.
Wenn Sie den `SessionLogsDestination`-Parameter für mehrere Instances aktualisieren möchten, empfehlen wir Ihnen, ein SSM-Dokument zu erstellen, das die neue Konfiguration spezifiziert. Anschließend können Sie Systems Manager Run Command verwenden, um die Änderung auf Ihren Instances zu implementieren. Weitere Informationen finden Sie unter [Eigene AWS Systems Manager Dokumente schreiben (Blog](https://aws.amazon.com/blogs/mt/writing-your-own-aws-systems-manager-documents/)) und. [Ausführen von Befehlen auf verwalteten Knoten](running-commands.md)
# Anpassen, wie lange die Session Manager temporäre Protokolldatei auf der Festplatte gespeichert wird
Nachdem Sie die Session Manager Protokollierung bei Amazon S3 CloudWatch oder Amazon S3 aktiviert haben, werden alle während einer Sitzung ausgeführten Befehle (und die daraus resultierenden Ausgaben) in einer temporären Datei auf der Festplatte der Ziel-Instance protokolliert. Die temporäre Datei hat den Namen `ipcTempFile.log`. Session ManagerLädt dieses temporäre Protokoll während einer Sitzung oder nach deren Abschluss entweder CloudWatch auf S3 hoch. Das temporäre Protokoll wird dann entsprechend der für den SSM Agent `SessionLogsRetentionDurationHours` Konfigurationsparameter angegebenen Dauer gelöscht. Standardmäßig wird die temporäre Protokolldatei 14 Tage lang am folgenden Speicherort auf der Instance gespeichert:
+ **Linux**:/var/lib/amazon/ssm*target ID*/session/orchestration/ *session ID* /Standard\$1Stream/ .log ipcTempFile
+ **macOS**: opt/aws/ssm/data*target ID*/*session ID*/sitzung/orchestration/ ipcTempFile /Standard\$1Stream/ .log
+ **Windows Server**: C:\$1\$1 AmazonProgramData\$1 SSM\$1\$1 SitzungInstanceData\$1 *target ID* Orchestrierung\$1\$1 Standard\$1Stream*session ID*\$1 .log ipcTempFile
Gehen Sie wie folgt vor, um einzustellen, wie lange die Session Manager temporäre Protokolldatei auf der Festplatte gespeichert wird.
**Um einzustellen, wie lange die `ipcTempFile.log`-Datei auf der Festplatte gespeichert wird**
1. Erstellen Sie eine Verbindung zu Ihrer Instance und suchen Sie die `amazon-ssm-agent.json`-Datei am folgenden Speicherort.
+ etc/amazon/ssmLinux**:**//
+ **macOS**: /opt/aws/ssm/
+ **Windows Server**: C:\$1Program Files\$1Amazon\$1SSM
Wenn die Datei `amazon-ssm-agent.json` nicht existiert, kopieren Sie den Inhalt von `amazon-ssm-agent.json.template` in eine neue Datei im selben Verzeichnis. Benennen Sie die Datei `amazon-ssm-agent.json`.
1. Ändern Sie den Wert von `SessionLogsRetentionDurationHours` auf die gewünschte Anzahl von Stunden. Wenn `SessionLogsRetentionDurationHours` auf 0 gesetzt ist, wird die temporäre Protokolldatei während der Sitzung erstellt und nach Abschluss der Sitzung gelöscht. Diese Einstellung sollte sicherstellen, dass die Protokolldatei nach dem Ende der Sitzung nicht erhalten bleibt.
1. Speichern Sie Ihre Änderungen.
1. [Starten Sie SSM Agent neu](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-status-and-restart.html).
# Deaktivierung der Session Manager Protokollierung in CloudWatch Logs und Amazon S3
Sie können die Systems Manager Manager-Konsole verwenden oder AWS CLI die Sitzungsprotokollierung in Ihrem Konto deaktivieren.
**So deaktivieren Sie die Sitzungsprotokollierung (Konsole)**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Session Manager** aus.
1. Wählen Sie die Registerkarte **Präferenzen** und anschließend **Bearbeiten** aus.
1. Um die CloudWatch Protokollierung zu deaktivieren, deaktivieren **CloudWatch Sie im Bereich Protokollierung** das Kontrollkästchen **Aktivieren**.
1. Um die S3-Protokollierung zu deaktivieren, deaktivieren Sie im Abschnitt **S3-Protokollierung** das Kontrollkästchen **Aktivieren**.
1. Wählen Sie **Speichern**.
**So können Sie Sitzungsprotokollierung deaktivieren (AWS CLI)**
Um die Sitzungsprotokollierung mit dem zu deaktivieren AWS CLI, folgen Sie den Anweisungen unter[Aktualisieren von Session Manager-Einstellungen (Befehlszeile)](getting-started-configure-preferences-cli.md).
Stellen Sie in Ihrer JSON-Datei sicher, dass die Eingaben `s3BucketName` und `cloudWatchLogGroupName` keine Werte enthalten. Beispiel:
```
"inputs": {
"s3BucketName": "",
...
"cloudWatchLogGroupName": "",
...
}
```
Alternativ können Sie, um die Protokollierung zu deaktivieren, alle `S3*` und `cloudWatch*` Eingaben aus Ihrer JSON-Datei entfernen, um die Protokollierung zu deaktivieren.
**Anmerkung**
Abhängig von Ihrer Konfiguration kann es sein, dass nach der Deaktivierung CloudWatch von S3 immer noch eine temporäre Protokolldatei auf der Festplatte von generiert wirdSSM Agent. Weitere Informationen, wie Sie die Protokollierung auf der Festplatte deaktivieren können, finden Sie unter [Konfigurieren der Sitzungsprotokollierung auf Festplatte](session-manager-logging-disk.md).
# Schema des Sitzungsdokuments
In den folgenden Informationen werden die Schemaelemente eines Sitzungsdokuments beschrieben. AWS Systems Manager Session Manager verwendet Sitzungsdokumente, um zu bestimmen, welche Art von Sitzung gestartet werden soll, z. B. eine Standardsitzung, eine Port-Weiterleitungssitzung oder eine Sitzung zum Ausführen eines interaktiven Befehls.
[schemaVersion](#version)
Die Schemaversion des Sitzungsdokuments. Sitzungsdokumente unterstützen nur die Version 1.0.
**Typ:** Zeichenfolge
Erforderlich: Ja
[description](#descript)
Eine Beschreibung, die Sie für das Sitzungsdokument angeben. Beispiel: „Dokument zum Starten der Port-Weiterleitungssitzung mit Session Manager“.
**Typ:** Zeichenfolge
Erforderlich: Nein
[sessionType](#type)
Der Sitzungstyp, mit dem das Sitzungsdokument erstellt wird.
**Typ:** Zeichenfolge
Erforderlich: Ja
Zulässige Werte: `InteractiveCommands` \$1 `NonInteractiveCommands` \$1 `Port` \$1 `Standard_Stream`
[inputs](#in)
Die Sitzungseinstellungen, die für Sitzungen verwendet werden, die mit diesem Sitzungsdokument erstellt wurden. Dieses Element ist für Sitzungsdokumente erforderlich, die zum Erstellen von `Standard_Stream`-Sitzungen verwendet werden.
Typ: StringMap
Erforderlich: Nein
[s3BucketName](#bucket)
Der Amazon Simple Storage Service (Amazon S3)-Bucket, an den Sie am Ende Ihrer Sitzungen Sitzungsprotokolle senden möchten.
**Typ:** Zeichenfolge
Erforderlich: Nein
[s3KeyPrefix](#prefix)
Das Präfix, das beim Senden von Protokollen an den Amazon S3-Bucket verwendet werden soll, den Sie in der `s3BucketName`-Eingabe angegeben haben. Weitere Hinweise zur Verwendung eines freigegebenen Präfixes für in Amazon S3 gespeicherte Objekte finden Sie unter [Wie kann ich Ordner in einem S3-Bucket verwenden?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/using-folders.html) im *Benutzerhandbuch zu Amazon Simple Storage Service*.
**Typ:** Zeichenfolge
Erforderlich: Nein
[s3EncryptionEnabled](#s3Encrypt)
Wenn auf `true` eingestellt ist, muss der Amazon S3-Bucket, den Sie in der `s3BucketName`-Eingabe angegeben haben, verschlüsselt werden.
Typ: Boolesch
Erforderlich: Ja
[cloudWatchLogGroupName](#logGroup)
Der Name der Amazon CloudWatch Logs (CloudWatch Logs)-Gruppe, an die Sie am Ende Ihrer Sitzungen Sitzungsprotokolle senden möchten.
**Typ:** Zeichenfolge
Erforderlich: Nein
[cloudWatchEncryptionEnabled](#cwEncrypt)
Wenn auf `true` eingestellt ist, muss die Protokollgruppe, die Sie in der `cloudWatchLogGroupName`-Eingabe angegeben haben, verschlüsselt werden.
Typ: Boolesch
Erforderlich: Ja
[cloudWatchStreamingEnabled](#cwStream)
Wenn auf `true` eingestellt ist, wird ein kontinuierlicher Stream von Sitzungsdaten an die Protokollgruppe gesendet, die Sie in der `cloudWatchLogGroupName`-Eingabe angegeben haben. Wenn auf `false` eingestellt ist, werden Sitzungsprotokolle am Ende Ihrer Sitzungen an die Protokollgruppe gesendet, die Sie in der `cloudWatchLogGroupName`-Eingabe angegeben haben.
Typ: Boolesch
Erforderlich: Ja
[kmsKeyId](#kms)
Die ID des AWS KMS key, den Sie verwenden möchten, um Daten zwischen dem lokalen Client-Maschinen und den von Amazon Elastic Compute Cloud (Amazon EC2) verwalteten Knoten, zu denen Sie eine Verbindung herstellen, weiter zu verschlüsseln.
**Typ:** Zeichenfolge
Erforderlich: Nein
[runAsEnabled](#run)
Wenn auf `true` eingestellt ist, müssen Sie in der `runAsDefaultUser`-Eingabe ein Benutzerkonto angeben, das auf den verwalteten Knoten vorhanden ist, mit denen Sie eine Verbindung herstellen möchten. Andernfalls können Sitzungen nicht gestartet werden. Standardmäßig werden Sitzungen mit dem von AWS Systems Manager SSM Agent erstellten `ssm-user`-Konto gestartet. Das Run-As-Feature wird nur für die Verbindung mit Linux und macOS-verwalteten Knoten unterstützt.
Typ: Boolesch
Erforderlich: Ja
[runAsDefaultUser](#runUser)
Der Name des Benutzerkontos, mit dem Sitzungen auf Linux- und macOS-verwalteten Knoten gestartet werden sollen, wenn die `runAsEnabled`-Eingabe auf `true` eingestellt ist. Das Benutzerkonto, das Sie für diese Eingabe angeben, muss auf den verwalteten Knoten vorhanden sein, mit denen Sie eine Verbindung herstellen möchten. Andernfalls können Sitzungen nicht gestartet werden.
**Typ:** Zeichenfolge
Erforderlich: Nein
[idleSessionTimeout](#timeout)
Die Zeit der Inaktivität, die Sie zulassen möchten, bevor eine Sitzung beendet wird. Diese Eingabe wird in Minuten gemessen.
**Typ:** Zeichenfolge
Zulässige Werte: 1 bis 60
Erforderlich: Nein
[maxSessionDuration](#maxDuration)
Die maximale Zeit, die Sie erlauben möchten, bevor eine Sitzung beendet wird. Diese Eingabe wird in Minuten gemessen.
**Typ:** Zeichenfolge
Zulässige Werte: 1–1 440
Erforderlich: Nein
[shellProfile](#shell)
Die Einstellungen, die Sie pro Betriebssystem angeben und die in Sitzungen angewendet werden, wie Shell-Einstellungen, Umgebungsvariablen, Arbeitsverzeichnissen und das Ausführen mehrerer Befehle.
Typ: StringMap
Erforderlich: Nein
[windows](#win)
Die Shell-Einstellungen, Umgebungsvariablen, Arbeitsverzeichnisse und Befehle, die Sie für Sitzungen auf Windows Server-verwalteten Knoten angeben.
**Typ:** Zeichenfolge
Erforderlich: Nein
[linux](#lin)
Die Shell-Einstellungen, Umgebungsvariablen, Arbeitsverzeichnisse und Befehle, die Sie für Sitzungen auf Linux- und macOS-verwalteten Knoten angeben.
**Typ:** Zeichenfolge
Erforderlich: Nein
[parameters](#param)
Ein Objekt, das die Parameter definiert, die das Dokument akzeptiert. Weitere Informationen zum Definieren von Dokumentparametern finden Sie unter **Parameter** im [Top-Level-Datenelemente](documents-syntax-data-elements-parameters.md#top-level). Wir empfehlen, Parameter, auf die Sie häufig verweisen, im Systems Manager Parameter Store abzuspeichern und dann auf sie zu verweisen. In diesem Abschnitt des Dokuments können Sie die Parameter Store-Parameter `String` und `StringList` referenzieren. In diesem Abschnitt des Dokuments können Sie die Parameter Store-Parameter `SecureString` nicht referenzieren. Sie können über das folgende Format einen Parameter Store-Parameter referenzieren.
```
{{ssm:parameter-name}}
```
Mehr über Parameter Store erfahren Sie unter [AWS Systems Manager Parameter Store](systems-manager-parameter-store.md).
Typ: StringMap
Erforderlich: Nein
[properties](#props)
Ein Objekt, dessen Werte Sie angeben, die in der `StartSession` API-Operation verwendet werden.
Für Sitzungsdokumente, die für `InteractiveCommands`-Sitzungen verwendet werden,enthält das Eigenschaftenobjekt die Befehle, die auf den von Ihnen angegebenen Betriebssystemen ausgeführt werden sollen. Mit der `runAsElevated` booleschen Eigenschaft können Sie auch festlegen, ob Befehle als `root` ausgeführt werden. Weitere Informationen finden Sie unter [Zugriff auf Befehle in einer Sitzung beschränken](session-manager-restrict-command-access.md).
Für Sitzungsdokumente, die für `Port`-Sitzungen verwendet werden, enthält das Eigenschaftenobjekt die Portnummer, an die der Datenverkehr umgeleitet werden soll. Ein Beispiel ist das Beispiel zum Sitzungsdokument des Typs `Port` an späterer Stelle in diesem Thema.
Typ: StringMap
Erforderlich: Nein
Beispiel für Sitzungsdokument vom Typ `Standard_Stream`
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to hold regional settings for Session Manager
sessionType: Standard_Stream
inputs:
s3BucketName: ''
s3KeyPrefix: ''
s3EncryptionEnabled: true
cloudWatchLogGroupName: ''
cloudWatchEncryptionEnabled: true
cloudWatchStreamingEnabled: true
kmsKeyId: ''
runAsEnabled: true
runAsDefaultUser: ''
idleSessionTimeout: '20'
maxSessionDuration: '60'
shellProfile:
windows: ''
linux: ''
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "",
"s3KeyPrefix": "",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": true,
"kmsKeyId": "",
"runAsEnabled": true,
"runAsDefaultUser": "",
"idleSessionTimeout": "20",
"maxSessionDuration": "60",
"shellProfile": {
"windows": "date",
"linux": "pwd;ls"
}
}
}
```
------
Beispiel für Sitzungsdokument vom Typ `InteractiveCommands`
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to view a log file on a Linux instance
sessionType: InteractiveCommands
parameters:
logpath:
type: String
description: The log file path to read.
default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
properties:
linux:
commands: "tail -f {{ logpath }}"
runAsElevated: true
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to view a log file on a Linux instance",
"sessionType": "InteractiveCommands",
"parameters": {
"logpath": {
"type": "String",
"description": "The log file path to read.",
"default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
"allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
}
},
"properties": {
"linux": {
"commands": "tail -f {{ logpath }}",
"runAsElevated": true
}
}
}
```
------
Beispiel für Sitzungsdokument vom Typ `Port`
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to open given port connection over Session Manager
sessionType: Port
parameters:
paramExample:
type: string
description: document parameter
properties:
portNumber: anyPortNumber
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to open given port connection over Session Manager",
"sessionType": "Port",
"parameters": {
"paramExample": {
"type": "string",
"description": "document parameter"
}
},
"properties": {
"portNumber": "anyPortNumber"
}
}
```
------
Beispiel für Sitzungsdokument mit Sonderzeichen
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Example document with quotation marks
sessionType: InteractiveCommands
parameters:
Test:
type: String
description: Test Input
maxChars: 32
properties:
windows:
commands: |
$Test = '{{ Test }}'
$myVariable = \"Computer name is $env:COMPUTERNAME\"
Write-Host "Test variable: $myVariable`.`nInput parameter: $Test"
runAsElevated: false
```
------
#### [ JSON ]
```
{
"schemaVersion":"1.0",
"description":"Test document with quotation marks",
"sessionType":"InteractiveCommands",
"parameters":{
"Test":{
"type":"String",
"description":"Test Input",
"maxChars":32
}
},
"properties":{
"windows":{
"commands":[
"$Test = '{{ Test }}'",
"$myVariable = \\\"Computer name is $env:COMPUTERNAME\\\"",
"Write-Host \"Test variable: $myVariable`.`nInput parameter: $Test\""
],
"runAsElevated":false
}
}
}
```
------
# Fehlerbehebung für Session Manager
Im Folgenden finden Sie Informationen zur Behandlung von Problemen mit AWS Systems Manager Session Manager.
**Topics**
+ [AccessDeniedException beim Aufrufen der TerminateSession Operation](#session-manager-troubleshooting-access-denied-exception)
+ [Der Dokumentvorgang ist unerwartet fehlgeschlagen: Zeitlimit für den Dokumentenarbeiter überschritten](#session-manager-troubleshooting-document-worker-timed-out)
+ [Session Manager kann von der Amazon-EC2-Konsole aus keine Verbindung herstellen](#session-manager-troubleshooting-EC2-console)
+ [Keine Berechtigung zum Starten einer Sitzung](#session-manager-troubleshooting-start-permissions)
+ [SSM Agent nicht online](#session-manager-troubleshooting-agent-not-online)
+ [Keine Berechtigung zum Ändern von Sitzungspräferenzen](#session-manager-troubleshooting-preferences-permissions)
+ [Verwalteter Knoten ist nicht verfügbar oder nicht für Session Manager konfiguriert](#session-manager-troubleshooting-instances)
+ [Session Manager-Plugin nicht gefunden](#plugin-not-found)
+ [Session Manager-Plugin wurde nicht automatisch zumBefehlszeilenpfad hinzugefügt (Windows)](#windows-plugin-env-var-not-set)
+ [Session Manager-Plugin reagiert nicht mehr](#plugin-unresponsive)
+ [TargetNotConnected](#ssh-target-not-connected)
+ [Nach dem Starten einer Sitzung wird ein leerer Bildschirm angezeigt](#session-manager-troubleshooting-start-blank-screen)
+ [Verwalteter Knoten reagiert während langer Sitzungen nicht mehr](#session-manager-troubleshooting-log-retention)
+ [Beim Aufrufen des Vorgangs ist ein Fehler aufgetreten (InvalidDocument) StartSession](#session-manager-troubleshooting-invalid-document)
## AccessDeniedException beim Aufrufen der TerminateSession Operation
**Problem**: Beim versuchten Beenden einer Sitzung gibt Systems Manager den folgenden Fehler zurück:
```
An error occurred (AccessDeniedException) when calling the TerminateSession operation:
User: is not authorized to perform: ssm:TerminateSession on resource:
because no identity-based policy allows the ssm:TerminateSession action.
```
**Lösung A: Stellen Sie sicher, dass die [neueste Version des Session Manager-Plug-ins](https://docs.aws.amazon.com/systems-manager/latest/userguide/plugin-version-history.html) auf dem Knoten installiert ist**
Geben Sie im Terminal den folgenden Befehl ein und drücken Sie anschließend die Eingabetaste.
```
session-manager-plugin --version
```
**Lösung B: Installieren oder reinstallieren Sie die neueste Version des Plugins**
Weitere Informationen finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md).
**Lösung C: Versuchen Sie, eine Verbindung zum Knoten wiederherzustellen**
Stellen Sie sicher, dass der Knoten auf Anfragen reagiert. Versuchen Sie, die Sitzung wiederherzustellen. Oder öffnen Sie bei Bedarf die Amazon-EC2-Konsole und überprüfen Sie, dass die Instance ausgeführt wird.
## Der Dokumentvorgang ist unerwartet fehlgeschlagen: Zeitlimit für den Dokumentenarbeiter überschritten
**Problem**: Beim Starten einer Sitzung auf einem Linux-Host gibt Systems Manager den folgenden Fehler zurück:
```
document process failed unexpectedly: document worker timed out,
check [ssm-document-worker]/[ssm-session-worker] log for crash reason
```
Wenn Sie die SSM Agent-Protokollierung wie unter [Anzeigen von SSM Agent-Protokollen](ssm-agent-logs.md) beschrieben konfiguriert haben, können Sie weitere Details im Debugging-Protokoll einsehen. Für dieses Problem zeigt Session Manager den folgende Protokolleintrag an:
```
failed to create channel: too many open files
```
Dieser Fehler weist in der Regel darauf hin, dass zu viele Session Manager-Arbeitsprozesse ausgeführt werden und das zugrunde liegende Betriebssystem ein Limit erreicht hat. Sie haben zwei Möglichkeiten, dieses Problem zu lösen.
**Lösung A: Das Limit für Dateibenachrichtigungen im Betriebssystem erhöhen**
Sie können das Limit erhöhen, indem Sie den folgenden Befehl von einem separaten Linux-Host aus ausführen. Dieser Befehl verwendet Systems Manager Run Command. Der angegebene Wert erhöht sich `max_user_instances` auf 8 192. Dieser Wert ist erheblich höher als der Standardwert 128, belastet aber die Hostressourcen nicht:
```
aws ssm send-command --document-name AWS-RunShellScript \
--instance-id i-02573cafcfEXAMPLE --parameters \
"commands=sudo sysctl fs.inotify.max_user_instances=8192"
```
**Lösung B: Die von Session Manager im Zielhost verwendeten Dateibenachrichtigungen reduzieren**
Führen Sie den folgenden Befehl von einem separaten Linux-Host aus, um die auf dem Zielhost laufenden Sitzungen aufzulisten:
```
aws ssm describe-sessions --state Active --filters key=Target,value=i-02573cafcfEXAMPLE
```
Überprüfen Sie die Befehlsausgabe, um nicht mehr benötigte Sitzungen zu identifizieren. Sie können diese Sitzung beenden, indem Sie den folgenden Befehl von einem separaten Linux-Host ausführen:
```
aws ssm terminate-session —session-id session ID
```
Wenn auf dem Remoteserver keine weiteren Sitzungen mehr laufen, können Sie optional zusätzliche Ressourcen freigeben, indem Sie den folgenden Befehl von einem separaten Linux-Host aus ausführen. Dieser Befehl beendet alle Session Manager-Prozesse, die auf dem Remote-Host ausgeführt werden, und folglich alle Sitzungen auf dem Remote-Host. Bevor Sie diesen Befehl ausführen, stellen Sie sicher, dass keine laufenden Sitzungen vorhanden sind, die Sie behalten möchten:
```
aws ssm send-command --document-name AWS-RunShellScript \
--instance-id i-02573cafcfEXAMPLE --parameters \
'{"commands":["sudo kill $(ps aux | grep ssm-session-worker | grep -v grep | awk '"'"'{print $2}'"'"')"]}'
```
## Session Manager kann von der Amazon-EC2-Konsole aus keine Verbindung herstellen
**Problem**: Nach der Erstellung einer neuen Instance bietet Ihnen die **Connect**-Schaltfläche > **Session Manager**-Registerkarte in der Konsole von Amazon Elastic Compute Cloud (Amazon EC2) nicht die Möglichkeit, sich zu verbinden.
**Lösung A: Erstellen Sie ein Instanzprofil**: Falls Sie dies noch nicht getan haben (wie in den Informationen auf der Registerkarte „**Session Manager**“ in der EC2-Konsole beschrieben), erstellen Sie ein AWS Identity and Access Management (IAM-) Instanzprofil mithilfe von. Quick Setup Quick Setupist ein Tool in. AWS Systems Manager
Session Manager erfordert ein IAM-Instance-Profil, um eine Verbindung zu Ihrer Instance herzustellen. Sie können ein Instance-Profil erstellen und es Ihrer Instance zuweisen, indem Sie eine [Host-Verwaltungs-Konfiguration](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) mit Quick Setup erstellen. Eine *Host-Verwaltungs-Konfiguration* erstellt ein Instance-Profil mit den erforderlichen Berechtigungen und weist es Ihrer Instance zu. Eine Host-Verwaltungs-Konfiguration ermöglicht auch andere Systems-Manager-Tools und erstellt IAM-Rollen für die Ausführung dieser Tools. Die Nutzung von Quick Setup oder der Tools, die durch die Host-Verwaltungs-Konfiguration aktiviert werden, ist kostenlos. [Öffnen Sie Quick Setup und erstellen Sie eine Host-Verwaltungs-Konfiguration](https://console.aws.amazon.com/systems-manager/quick-setup/create-configuration&configurationType=SSMHostMgmt).
**Wichtig**
Nachdem Sie die Host-Verwaltungs-Konfiguration erstellt haben, kann es einige Minuten dauern, bis Amazon EC2 die Änderung registriert und die Registerkarte **Session Manager** aktualisiert hat. Wenn auf der Registerkarte nach zwei Minuten keine Schaltfläche **Verbinden** angezeigt wird, starten Sie Ihre Instance neu. Wenn nach dem Neustart immer noch keine Verbindungsoption angezeigt wird, öffnen Sie [Quick Setup](https://console.aws.amazon.com/systems-manager/quick-setup/create-configuration&configurationType=SSMHostMgmt) und überprüfen Sie, dass Sie nur eine Hostverwaltungskonfiguration haben. Wenn es zwei gibt, löschen Sie die ältere Konfiguration und warten Sie einige Minuten.
Wenn Sie nach dem Erstellen einer Host-Verwaltungs-Konfiguration immer noch keine Verbindung herstellen können oder wenn Sie eine Fehlermeldung erhalten, einschließlich einer Fehlermeldung zu SSM Agent, nutzen Sie eine der folgenden Lösungen:
+ [Lösung B: Kein Fehler, aber es kann immer noch keine Verbindung hergestellt werden](#session-manager-troubleshooting-EC2-console-no-error)
+ [Lösung C: Fehler wegen fehlendem SSM Agent](#session-manager-troubleshooting-EC2-console-no-agent)
### Lösung B: Kein Fehler, aber es kann immer noch keine Verbindung hergestellt werden
Wenn Sie die Host-Verwaltungs-Konfiguration erstellt haben, mehrere Minuten gewartet haben, bevor Sie versucht haben, eine Verbindung herzustellen, und immer noch keine Verbindung herstellen können, müssen Sie die Host-Management-Konfiguratio möglicherweise manuell auf Ihre Instance anwenden. Gehen Sie wie folgt vor, um eine Quick Setup Host-Verwaltungs-Konfiguration zu aktualisieren und Änderungen auf eine Instance anzuwenden.
**So aktualisieren Sie eine Host-Verwaltungs-Konfiguration mit Quick Setup**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich **Quick Setup** aus.
1. Wählen Sie in der **Konfigurationsliste** die **Host-Verwaltungs-Konfiguration** aus, die Sie erstellt haben.
1. Wählen Sie **Aktionen** und wählen Sie dann **Konfiguration bearbeiten**.
1. Wählen Sie unten im Bereich **Ziele** unter **Wählen Sie aus, wie Sie auf Instances abzielen möchten** die Option **Manuell** aus.
1. Wählen Sie im Abschnitt **Instances** die Instance aus, die Sie erstellt haben.
1. Wählen Sie **Aktualisieren** aus.
Warten Sie einige Minuten, bis EC2 die Registerkarte **Session Manager** aktualisiert hat. Wenn Sie immer noch keine Verbindung herstellen können oder eine Fehlermeldung angezeigt wird, überprüfen Sie die verbleibenden Lösungen für dieses Problem.
### Lösung C: Fehler wegen fehlendem SSM Agent
Wenn Sie mithilfe von keine Host-Management-Konfiguration erstellen konnten oder wenn Sie eine Fehlermeldung erhalten habenQuick Setup, dass Sie SSM Agent nicht installiert wurden, müssen Sie die Installation möglicherweise manuell SSM Agent auf Ihrer Instance durchführen. SSM Agentist eine Amazon-Software, mit der Systems Manager mithilfe von eine Verbindung zu Ihrer Instance herstellen kannSession Manager. SSM Agentist standardmäßig auf den meisten Amazon Machine Images (AMIs) installiert. Wenn Ihre Instance aus einem nicht standardmäßigen AMI oder einem älteren AMI erstellt wurde, müssen Sie den Agenten möglicherweise manuell installieren. Informationen zum Installationsverfahren von SSM Agent finden Sie im folgenden Thema, das Ihrem Instance-Betriebssystem entspricht.
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-windows.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-windows.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-macos.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-macos.html)
+ [AlmaLinux](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-alma.html)
+ [Amazon Linux 2 und AL2023](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-al2.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-oracle.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-oracle.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rhel.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rhel.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rocky.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rocky.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-ubuntu.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-ubuntu.html)
Bei Problemen mit SSM Agent siehe [Fehlerbehebung für SSM Agent](troubleshooting-ssm-agent.md).
## Keine Berechtigung zum Starten einer Sitzung
**Problem**: Sie versuchen, eine Sitzung zu starten. Das System teilt Ihnen jedoch mit, dass Sie nicht über die erforderlichen Berechtigungen verfügen.
+ **Lösung**: Ein Systemadministrator hat Ihnen keine AWS Identity and Access Management (IAM-) Richtlinienberechtigungen zum Starten von Session Manager Sitzungen erteilt. Weitere Informationen finden Sie unter [Kontrollieren des Sitzungszugriffs von Benutzern auf Instances](session-manager-getting-started-restrict-access.md).
## SSM Agent nicht online
**Problem**: Auf der Registerkarte Amazon-EC2-Instance **Session Manager** wird eine Meldung angezeigt, die besagt: „SSM Agent ist nicht online. SSM Agent konnte keine Verbindung zu einem Systems-Manager-Endpunkt herstellen, um sich beim Service zu registrieren.“
**Lösung**: SSM Agent ist Amazon-Software, die auf Amazon-EC2-Instances ausgeführt wird, sodass sie zu Session Manager eine Verbindung aufbauen kann. Wenn Sie diesen Fehler sehen, kann SSM Agent keine Verbindung mit dem Systems-Manager-Endpunkt herstellen. Die Ursache des Problems könnten Firewall-Einschränkungen, Routing-Probleme oder mangelnde Internetverbindung sein. Sie lösen dieses Problem, indem Sie die Probleme mit der Netzwerkverbindung untersuchen. Weitere Informationen erhalten Sie unter [Fehlerbehebung für SSM Agent](troubleshooting-ssm-agent.md) und [Problembehandlung bei der Verfügbarkeit verwalteter Knoten](fleet-manager-troubleshooting-managed-nodes.md). Informationen zu Endpunkten von Systems Manager finden Sie unter [AWS Systems Manager -Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/ssm.html) in der Allgemeinen AWS -Referenz.
## Keine Berechtigung zum Ändern von Sitzungspräferenzen
**Problem**: Sie versuchen, globale Sitzungspräferenzen für Ihre Organisation zu aktualisieren. Das System teilt Ihnen jedoch mit, dass Sie nicht über die erforderlichen Berechtigungen verfügen.
+ **Lösung**: Ihnen wurden vom Systemadministrator keine IAM-Richtlinienberechtigungen zum Festlegen von Session Manager-Präferenzen erteilt. Weitere Informationen finden Sie unter [Gewähren oder Verweigern von Benutzerberechtigungen zum Aktualisieren von Session Manager-Einstellungen](preference-setting-permissions.md).
## Verwalteter Knoten ist nicht verfügbar oder nicht für Session Manager konfiguriert
**Problem 1**: Sie möchten auf der Seite **Start a session** (Sitzung starten) der Konsole eine Sitzung starten. Es befindet sich jedoch kein verwalteter Knoten in der Liste.
+ **Lösung A**: Der verwaltete Knoten, zu dem Sie eine Verbindung herstellen möchten, wurde möglicherweise nicht konfiguriert. AWS Systems Manager Weitere Informationen finden Sie unter [Einrichten der einheitlichen Systems-Manager-Konsole für eine Organisation](systems-manager-setting-up-organizations.md).
**Anmerkung**
Wenn er bereits auf einem verwalteten Knoten ausgeführt AWS Systems Manager SSM Agent wird, wenn Sie das IAM-Instanzprofil anhängen, müssen Sie den Agenten möglicherweise neu starten, bevor die Instanz auf der Seite **Sitzungskonsole starten** aufgeführt wird.
+ **Lösung B**: Die Proxy-Konfiguration, die Sie auf den SSM Agent auf Ihrem verwalteten Knoten angewendet haben, ist möglicherweise falsch. Wenn die Proxy-Konfiguration falsch ist, kann der verwaltete Knoten die erforderlichen Service-Endpunkte nicht erreichen, oder der Knoten meldet sich möglicherweise als anderes Betriebssystem beim Systems Manager. Weitere Informationen erhalten Sie unter [Konfigurieren Sie SSM Agent, um einen Proxy in Linux-Knoten zu verwenden](configure-proxy-ssm-agent.md) und [Konfigurieren des SSM Agent zur Nutzung eines Proxys für Windows Server-Instances](configure-proxy-ssm-agent-windows.md).
**Problem 2**: Ein verwalteter Knoten, mit dem Sie eine Verbindung herstellen möchten, befindet sich in der Liste auf der Seite **Start a session** (Sitzung starten) der Konsole. Die Seite meldet jedoch, dass „die von Ihnen ausgewählte Instance nicht für die Verwendung mit Session Manager konfiguriert wurde.“
+ **Lösung A**: Der verwaltete Knoten wurde für die Verwendung mit dem Systems-Manager-Service konfiguriert. Das dem Knoten angefügte IAM-Instance-Profil enthält jedoch möglicherweise keine Berechtigungen für das Session Manager-Tool. Informationen hierzu finden Sie unter [Überprüfen oder Erstellen eines IAM-Instance-Profils mit Session Manager-Berechtigungen](session-manager-getting-started-instance-profile.md).
+ **Lösung B**: Der verwaltete Knoten wird nicht auf einer Version von SSM Agent ausgeführt, die den Session Manager unterstützt. Aktualisieren Sie SSM Agent auf dem Knoten auf die Version 2.3.68.0 oder höher.
Sie können SSM Agent manuell auf einem verwalteten Knoten aktualisieren, indem Sie die in [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Windows Server](manually-install-ssm-agent-windows.md), [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für Linux](manually-install-ssm-agent-linux.md) oder [Manuelle Installation und Deinstallation des SSM Agent auf EC2-Instances für macOS](manually-install-ssm-agent-macos.md) beschriebenen Schritte ausführen, abhängig vom Betriebssystem.
Alternativ können Sie das Run Command-Dokument `AWS-UpdateSSMAgent` verwenden, um die Agent-Version auf einem oder mehreren verwalteten Knoten gleichzeitig zu aktualisieren. Weitere Informationen finden Sie unter [Aktualisierung von SSM Agent mithilfe von Run Command](run-command-tutorial-update-software.md#rc-console-agentexample).
**Tipp**
Damit Ihr Agent stets auf dem aktuellen Stand ist, sollten Sie die Aktualisierung des SSM Agent auf die jeweils aktuelle Version anhand eines automatisierten Zeitplans ausführen, den Sie mittels einer der beiden folgenden Methoden definieren:
Führen Sie `AWS-UpdateSSMAgent` als Teil einer State Manager-Zuordnung aus. Weitere Informationen finden Sie unter [Exemplarische Vorgehensweise: Automatisches Update SSM Agent mit dem AWS CLI](state-manager-update-ssm-agent-cli.md).
Führen Sie `AWS-UpdateSSMAgent` als Teil eines Wartungsfensters aus. Weitere Informationen zum Arbeiten mit Wartungsfenstern finden Sie unter [Wartungsfenster mit der Konsole erstellen und verwalten](sysman-maintenance-working.md) und [Tutorial: Erstellen und konfigurieren Sie ein Wartungsfenster mit dem AWS CLI](maintenance-windows-cli-tutorials-create.md).
+ **Lösung C**: Der verwaltete Knoten kann die erforderlichen Service-Endpunkte nicht erreichen. Sie können die Sicherheitslage Ihrer verwalteten Knoten verbessern, indem Sie Schnittstellenendpunkte verwenden, die mit Strom versorgt werden, AWS PrivateLink um eine Verbindung zu Systems Manager Manager-Endpunkten herzustellen. Die Alternative zur Verwendung von Schnittstellenendpunkten ist das Erlauben von ausgehendem Internetzugriff auf Ihre verwalteten Knoten. Weitere Informationen finden Sie unter [Verwenden PrivateLink zum Einrichten eines VPC-Endpunkts für Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-privatelink.html).
+ **Lösung D**: Der verwaltete Knoten verfügt über begrenzte verfügbare CPU- oder Speicherressourcen. Auch wenn Ihr verwalteter Knoten ansonsten funktionsfähig ist, können Sie keine Sitzung einrichten, wenn der Knoten nicht über genügend verfügbare Ressourcen verfügt. Weitere Informationen finden Sie unter [Problembehandlung bei unerreichbaren Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-console.html).
## Session Manager-Plugin nicht gefunden
Um die Befehle AWS CLI to run session verwenden zu können, muss das Session Manager Plugin auch auf Ihrem lokalen Computer installiert sein. Weitere Informationen finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md).
## Session Manager-Plugin wurde nicht automatisch zumBefehlszeilenpfad hinzugefügt (Windows)
Wenn Sie das Session Manager-Plugin auf Windows installieren, sollte die ausführbare Datei `session-manager-plugin` der Umgebungsvariablen `PATH` Ihres Betriebssystems automatisch hinzugefügt werden. Wenn die Prüfung auf korrekte Installation des Session Manager-Plugins (`aws ssm start-session --target instance-id`) ergibt, dass der Befehl fehlgeschlagen ist, müssen Sie das Plugin möglicherweise mittels des folgenden Verfahrens manuell einrichten.
**So ändern Sie die Variable PATH (Windows)**
1. Betätigen Sie die Windows-Taste und geben Sie **environment variables** ein.
1. Wählen Sie **Edit environment variables for your account (Umgebungsvariablen für Ihr Konto bearbeiten)**.
1. Wählen Sie **PATH** und anschließend **Edit**.
1. Fügen Sie dem Feld **Variable value (Variablenwert)** Pfade hinzu, die durch Semikolons getrennt sind, wie in diesem Beispiel dargestellt: *`C:\existing\path`*;*`C:\new\path`*
*`C:\existing\path`* stellt den Wert dar, der sich bereits im Feld befindet. *`C:\new\path`* stellt den Pfad dar, den Sie hinzufügen möchten, wie im folgenden Beispielen dargestellt.
+ **64-Bit-Computer**: `C:\Program Files\Amazon\SessionManagerPlugin\bin\`
1. Klicken Sie zweimal auf **OK**, um die neuen Einstellungen anzuwenden.
1. Schließen Sie alle etwa ausgeführten Eingabeaufforderungen und öffnen Sie erneut.
## Session Manager-Plugin reagiert nicht mehr
Während einer Port-Weiterleitungssitzung kann der Datenverkehr nicht mehr weitergeleitet werden, wenn auf Ihrem lokalen Computer Antivirus-Software installiert ist. In einigen Fällen stört Antivirus-Software das Session Manager-Plugin, was zu Prozess-Deadlocks führt. Um dieses Problem zu beheben, erlauben Sie das Session Manager-Plugin in der Antivirus-Software oder schließen Sie es aus. Weitere Informationen zum Standardinstallationspfad für das Session Manager-Plugin finden Sie unter [Installiere das Session Manager Plugin für AWS CLI](session-manager-working-with-install-plugin.md).
## TargetNotConnected
**Problem**: Sie versuchen, eine Sitzung zu starten, aber das System gibt die Fehlermeldung „Beim Aufrufen der StartSession Operation ist ein Fehler aufgetreten (TargetNotConnected): *InstanceID* ist nicht verbunden“ zurück.
+ **Lösung A**: Dieser Fehler wird zurückgegeben, wenn der angegebene verwaltete Knoten für die Sitzung nicht vollständig für die Verwendung mit dem Session Manager konfiguriert wurde. Weitere Informationen finden Sie unter [Einrichten von Session Manager](session-manager-getting-started.md).
+ **Lösung B**: Dieser Fehler wird auch zurückgegeben, wenn Sie versuchen, eine Sitzung auf einem verwalteten Knoten zu starten, der sich in einem anderen AWS-Konto oder befindet AWS-Region.
## Nach dem Starten einer Sitzung wird ein leerer Bildschirm angezeigt
**Problem**: Sie starten eine Sitzung und Session Manager zeigt einen leeren Bildschirm an.
+ **Lösung A**: Dieses Problem kann auftreten, wenn das Root-Volume des verwalteten Knotens voll ist. Aufgrund von mangelndem Speicherplatz funktioniert SSM Agent auf dem Knoten nicht mehr. Um dieses Problem zu lösen, verwenden Sie Amazon, CloudWatch um Metriken und Protokolle von den Betriebssystemen zu sammeln. Weitere Informationen finden Sie unter [Erfassung von Metriken, Protokollen und Traces mit dem CloudWatch Agenten](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) im * CloudWatch Amazon-Benutzerhandbuch*.
+ **Lösung B**: Möglicherweise wird ein leerer Bildschirm angezeigt, wenn Sie über einen Link auf die Konsole zugegriffen haben, der ein nicht übereinstimmendes Endpunkt- und Regionspaar enthält. Beispielsweise ist in der folgenden Konsolen-URL `us-west-2` der angegebene Endpunkt, aber `us-west-1` die angegebene AWS-Region.
```
https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
```
+ **Lösung C**: Der verwaltete Knoten stellt über VPC-Endpunkte eine Verbindung zu Systems Manager her, und Ihre Session Manager Einstellungen schreiben die Sitzungsausgabe in einen Amazon S3 S3-Bucket oder eine Amazon CloudWatch Logs-Protokollgruppe, aber ein `s3` Gateway-Endpunkt oder `logs` Schnittstellenendpunkt ist in der VPC nicht vorhanden. Ein `s3`-Endpunkt im Format **`com.amazonaws.region.s3`** ist erforderlich, wenn Ihre verwalteten Knoten eine Verbindung zu Systems Manager mithilfe von VPC-Endpunkten herstellen und Ihre Session Manager-Einstellungen die Sitzungsausgabe in einen Amazon-S3-Bucket schreiben. Alternativ **`com.amazonaws.region.logs`**ist ein `logs` Endpunkt in diesem Format erforderlich, wenn Ihre verwalteten Knoten über VPC-Endpunkte eine Verbindung zu Systems Manager herstellen und Ihre Session Manager Einstellungen die Sitzungsausgabe in eine CloudWatch Logs-Protokollgruppe schreiben. Weitere Informationen finden Sie unter [Erstellen von VPC-Endpunkten für Systems Manager](setup-create-vpc.md#create-vpc-endpoints).
+ **Lösung D**: Die Protokollgruppe oder der Amazon S3-Bucket, die/den Sie in Ihren Sitzungseinstellungen angegeben haben, wurde gelöscht. Aktualisieren Sie Ihre Sitzungseinstellungen mit einer gültigen Protokollgruppe oder einem gültigen S3-Bucket, um dieses Problem zu beheben.
+ **Lösung E**: Die Protokollgruppe oder der Amazon S3-Bucket, die/den Sie in Ihren Sitzungseinstellungen angegeben haben, ist nicht verschlüsselt, aber Sie haben die `cloudWatchEncryptionEnabled`- oder `s3EncryptionEnabled`-Eingabe auf `true` eingestellt. Um dieses Problem zu beheben, aktualisieren Sie Ihre Sitzungseinstellungen mit einer Protokollgruppe oder einem Amazon S3-Bucket, die/der verschlüsselt ist, oder stellen Sie die `cloudWatchEncryptionEnabled`- oder `s3EncryptionEnabled`-Eingabe auf `false` ein. Dieses Szenario gilt nur für Kunden, die Sitzungseinstellungen mithilfe von Befehlszeilentools erstellen.
## Verwalteter Knoten reagiert während langer Sitzungen nicht mehr
**Problem**: Ihr verwalteter Knoten reagiert nicht oder stürzt während einer langen Sitzung ab.
**Lösung**: Verringern Sie die SSM Agent-Protokollaufbewahrungsdauer für Session Manager.
**So verringern Sie die SSM Agent-Protokollaufbewahrungsdauer für Sitzungen**
1. Suchen Sie `amazon-ssm-agent.json.template` im `/etc/amazon/ssm/`-Verzeichnis für Linux oder `C:\Program Files\Amazon\SSM` für Windows.
1. Kopieren Sie den Inhalt von `amazon-ssm-agent.json.template` in eine neue Datei im selben Verzeichnis namens `amazon-ssm-agent.json`.
1. Verringern Sie den Standardwert des `SessionLogsRetentionDurationHours`-Werts in der `SSM`-Eigenschaft und speichern Sie die Datei.
1. Starten Sie die SSM Agent neu.
## Beim Aufrufen des Vorgangs ist ein Fehler aufgetreten (InvalidDocument) StartSession
**Problem**: Sie erhalten den folgenden Fehler, wenn Sie eine Sitzung mit dem AWS CLI starten.
```
An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.
```
**Lösung**: Das SSM-Dokument, das Sie für den `--document-name`-Parameter angegeben haben, ist kein *Sitzungsdokument*. Gehen Sie wie folgt vor, um eine Liste von Sitzungsdokumenten in der AWS-Managementkonsole anzuzeigen.
**So rufen Sie eine Liste von Sitzungsdokumenten auf**
1. Öffnen Sie die AWS Systems Manager Konsole unter [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Wählen Sie im Navigationsbereich die Option **Dokumente** aus.
1. Wählen Sie in der Liste **Kategorien** die Option **Sitzungsdokumente** aus.