Habilitar y deshabilitar el registro de actividad de la sesión - AWS Systems Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar y deshabilitar el registro de actividad de la sesión

Además de proporcionar información acerca de las sesiones actuales y las completadas en la consola de Systems Manager, Session Manager le proporciona opciones para el registro de la actividad de las sesiones en su Cuenta de AWS. Esto permite realizar las siguientes tareas:

  • Crear y almacenar los registros de sesión para fines de archivado.

  • Generar un informe que muestre los detalles de cada conexión realizada en los nodos administrados mediante Session Manager en los últimos 30 días.

  • Genere notificaciones de la actividad de la sesión en su Cuenta de AWS, como las notificaciones de Amazon Simple Notification Service (Amazon SNS).

  • Iniciar otra acción automáticamente en un recurso de AWS como resultado de la actividad de la sesión, como, por ejemplo, la ejecución de una función de AWS Lambda, el inicio de una canalización de AWS CodePipeline o la ejecución de un documento de AWS Systems ManagerRun Command.

importante

Tome nota de los siguientes requisitos y limitaciones de Session Manager:

  • Session Manager registra los comandos que usted ingresa y sus resultados durante una sesión, en función de sus preferencias de sesión. Para evitar que la información confidencial, como las contraseñas, se vean en los registros de sesión, recomendamos utilizar los siguientes comandos al ingresar información confidencial durante una sesión.

    Linux & macOS
    stty -echo; read passwd; stty echo;
    Windows
    $Passwd = Read-Host -AsSecureString
  • Si utiliza Windows Server 2012 o versiones anteriores, los datos de sus registros podrían no tener el formato óptimo. Recomendamos que utilice Windows Server 2012 R2 y posterior para contar con formatos de registro óptimo.

  • Si utiliza nodos administrados de Linux o macOS, asegúrese de que la utilidad de pantalla esté instalada. Si no lo está, los datos de registro podrían truncarse. En Amazon Linux, Amazon Linux 2, AL2023 yUbuntu Server, la utilidad de pantalla está instalada de forma predeterminada. Para instalar la pantalla de forma manual, en función de la versión de Linux que utilice, ejecute sudo yum install screen o sudo apt-get install screen.

  • El registro no está disponible para las sesiones de Session Manager que se conectan a través del reenvío de puertos o de SSH. Esto se debe a que SSH cifra todos los datos de la sesión y Session Manager solo sirve como túnel para las conexiones de SSH.

Para obtener más información sobre los permisos necesarios para utilizar Amazon S3 o Amazon CloudWatch Logs para registrar los datos de la sesión, consulteCreación de un rol de IAM con permisos para Session Manager, Amazon S3 y CloudWatch Logs (consola).

Consulte los siguientes temas para obtener más información acerca de las opciones de registro de Session Manager.

Transmisión de datos de sesión mediante Amazon CloudWatch Logs (consola)

Puedes enviar un flujo continuo de registros de datos de sesión a Amazon CloudWatch Logs. Al transmitir los datos de la sesión, se incluyen detalles esenciales, como los comandos que un usuario ha ejecutado en una sesión, el ID del usuario que ejecutó los comandos y las marcas horarias de los datos de la sesión que se transmiten a CloudWatch Logs. Con el streaming de los datos de la sesión, los registros tienen formato JSON para ayudarlo a integrarse a sus soluciones de registro existentes. El streaming de los datos de la sesión no es compatible con los comandos interactivos.

nota

Para transmitir los datos de la sesión desde los nodos administrados de Windows Server, debe tener instalado PowerShell 5.1 o una versión posterior. De forma predeterminada, Windows Server 2016 y las versiones posteriores tienen instalada la versión requerida de PowerShell. Sin embargo, Windows Server 2012 y 2012 R2 no tienen instalada de forma predeterminada la versión requerida de PowerShell. Si aún no ha actualizado PowerShell en los nodos administrados de Windows Server 2012 o 2012 R2, puede hacerlo mediante Run Command. Para obtener información sobre cómo actualizar PowerShell con Run Command, consulte Actualización PowerShell mediante Run Command.

importante

Si tienes configurada la política de PowerShell transcripción en los nodos Windows Server gestionados, no podrás transmitir los datos de la sesión.

Para transmitir los datos de la sesión mediante Amazon CloudWatch Logs (consola)
  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Session Manager.

  3. Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).

  4. Selecciona la casilla de verificación situada junto a Activar durante el CloudWatch registro.

  5. Elija la opción de Stream session logs (Transmitir registros de sesiones).

  6. (Recomendado) Seleccione la casilla de verificación situada junto a Permitir solo grupos de CloudWatch registros cifrados. Con esta opción activada, los datos de registro se cifran con la clave de cifrado del lado del servidor especificado para el grupo de registros. Si no desea cifrar los datos de registro que se envían a CloudWatch Logs, desactive la casilla de verificación. También debe desactivar la casilla de verificación si no se permite el cifrado en el grupo de registros.

  7. En el caso de CloudWatch los registros, para especificar el grupo de CloudWatch registros existente en el Cuenta de AWS que desea cargar los registros de sesión, seleccione una de las siguientes opciones:

    • Ingrese el nombre de un grupo de registros en el cuadro de texto que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.

    • Browse log groups (Buscar grupos de registros): seleccione un grupo de registros que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.

  8. Seleccione Guardar.

Registro de los datos de la sesión con Amazon S3 (consola)

Puede elegir almacenar los datos de registro de las sesiones en un bucket de Amazon Simple Storage Service (Amazon S3) especificado con fines de depuración y solución de problemas. La opción predeterminada es para los registros que se van a enviar a un bucket cifrado de Amazon S3. El cifrado se realiza con la clave especificada para el bucket, ya sea una AWS KMS key o una clave de cifrado del lado del servidor (SSE) de Amazon S3 (AES-256).

importante

Si utiliza buckets de estilo de alojamiento virtual con Capa de conexión segura (SSL), el certificado comodín de SSL solo se asociará con los buckets que no contengan puntos. Para solucionar esto, use HTTP o escriba su propia lógica de verificación de certificado. Cuando use buckets de tipo de alojamiento virtual, le recomendamos no utilizar puntos (“.”) en los nombres de los buckets.

Cifrado de buckets de Amazon S3

Para poder enviar los registros a su bucket de Amazon S3 con cifrado, el cifrado debe estar permitido en el bucket. Para obtener más información acerca del cifrado de buckets de Amazon S3, consulte Cifrado predeterminado de Amazon S3 para los buckets de S3.

Clave administrada por el cliente

Si utiliza una clave de KMS que administra usted mismo para cifrar el bucket, el perfil de instancias de IAM adjunto a sus instancias debe tener permisos explícitos para leer la clave. Si utiliza una Clave administrada de AWS, la instancia no requiere este permiso explícito. Para obtener más información acerca de cómo proporcionar al perfil de instancias acceso para utilizar la clave, consulte Permiso del uso de la clave a los usuarios en la Guía para desarrolladores de AWS Key Management Service.

Siga estos pasos para configurar Session Manager para que almacene los registros de las sesiones en un bucket de Amazon S3.

nota

También puede utilizar la AWS CLI para especificar o cambiar el bucket de Amazon S3 al que se enviarán los datos de la sesión. Para obtener más información, consulte Actualizar preferencias de Session Manager (línea de comandos).

Para registrar los datos de la sesión con Amazon S3 (consola)
  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Session Manager.

  3. Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).

  4. Marque la casilla de verificación situada junto a Enable (Habilitar) en S3 logging (Registro de S3).

  5. (Recomendado) Seleccione la casilla de verificación situada junto a Allow only encrypted S3 buckets (Permitir solo buckets cifrados de S3). Con esta opción activada, los datos de registro se cifran con la clave de cifrado del lado del servidor especificada para el bucket. Si no desea cifrar los datos de registro que se envían a Amazon S3, desactive la casilla de verificación. También debe desactivar la casilla de verificación si no se permite el cifrado en el bucket de S3.

  6. En S3 bucket name (Nombre del bucket de S3), realice alguna de las siguientes operaciones:

    nota

    Cuando use buckets de tipo de alojamiento virtual, le recomendamos no utilizar puntos (“.”) en los nombres de los buckets. Para obtener más información acerca de las convenciones de nomenclatura de buckets de Amazon S3, consulte Bucket Restrictions and Limitations (Restricciones y limitaciones de los buckets) en la Guía del usuario de Amazon Simple Storage Service.

    • Choose a bucket name from the list (Elegir un nombre de bucket de la lista): seleccione un bucket de Amazon S3 que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.

    • Enter a bucket name in the text box (Ingresar el nombre de un bucket en el cuadro de texto): escriba el nombre de un bucket de Amazon S3 que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.

  7. (Opcional) En S3 key prefix (Prefijo de clave de S3), escriba el nombre de una carpeta nueva o existente para almacenar registros en el bucket seleccionado.

  8. Seleccione Guardar.

Para obtener más información acerca de cómo se trabaja con Amazon S3 y buckets de Amazon S3, consulte la Amazon Simple Storage Service User Guide (Guía del usuario de Amazon Simple Storage Service) y la Amazon Simple Storage Service User Guide (Guía del usuario de Amazon Simple Storage Service).

Registro de datos de sesión mediante Amazon CloudWatch Logs (consola)

Con Amazon CloudWatch Logs, puede monitorear, almacenar y acceder a los archivos de registro de variosServicios de AWS. Puede enviar los datos del registro de la sesión a un grupo de CloudWatch registros para fines de depuración y solución de problemas. La opción predeterminada es enviar los datos de registro con cifrado mediante su clave de KMS, pero puede enviar los datos a su grupo de registros con o sin cifrado.

Siga estos pasos AWS Systems Manager Session Manager para configurar el envío de los datos de registro de sesión a un grupo de CloudWatch registros de registros al final de las sesiones.

nota

También puede usar el AWS CLI para especificar o cambiar el grupo de CloudWatch registros al que se envían los datos de la sesión. Para obtener más información, consulte Actualizar preferencias de Session Manager (línea de comandos).

Para registrar los datos de la sesión mediante Amazon CloudWatch Logs (consola)
  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Session Manager.

  3. Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).

  4. Selecciona la casilla de verificación situada junto a Activar durante el CloudWatch registro.

  5. Elija la opción Upload session logs (Cargar registros de sesiones).

  6. (Recomendado) Seleccione la casilla de verificación situada junto a Permitir solo grupos de CloudWatch registros cifrados. Con esta opción activada, los datos de registro se cifran con la clave de cifrado del lado del servidor especificado para el grupo de registros. Si no desea cifrar los datos de registro que se envían a CloudWatch Logs, desactive la casilla de verificación. También debe desactivar la casilla de verificación si no se permite el cifrado en el grupo de registros.

  7. En el caso de CloudWatch los registros, para especificar el grupo de CloudWatch registros existente en el Cuenta de AWS que desea cargar los registros de sesión, seleccione una de las siguientes opciones:

    • Choose a log group from the list (Elegir un grupo de recursos de la lista): seleccione un grupo de registros que ya se ha creado en su cuenta para almacenar datos de registros de sesiones.

    • Enter a log group name in the text box (Escribir un nombre del grupo de registros en el cuadro de texto): escriba el nombre de un grupo de registros que ya se haya creado en su cuenta para almacenar los datos de registro de la sesión.

  8. Seleccione Guardar.

Para obtener más información sobre cómo trabajar con CloudWatch registros, consulte la Guía del usuario de Amazon CloudWatch Logs.

Inhabilitar el registro de Session Manager actividades en CloudWatch Logs y Amazon S3

Puede utilizar la consola de Systems Manager o la AWS CLI para inhabilitar el registro de la actividad de la sesión en la cuenta.

Para deshabilitar el registro de actividad de la sesión (consola)
  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Session Manager.

  3. Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).

  4. Para deshabilitar el CloudWatch registro, en la sección de CloudWatch registro, desactive la casilla Habilitar.

  5. Para deshabilitar el registro de S3, en la sección Registro de S3, desactive la casilla Habilitar.

  6. Seleccione Guardar.

Para deshabilitar el registro de actividad de la sesión (AWS CLI)

Para deshabilitar el registro de actividad de la sesión mediante la AWS CLI, siga las instrucciones en Actualizar preferencias de Session Manager (línea de comandos).

En el archivo JSON, asegúrese de que las entradas de s3BucketName y cloudWatchLogGroupName no contengan valores. Por ejemplo:

"inputs": { "s3BucketName": "", ... "cloudWatchLogGroupName": "", ... }

Como alternativa, puede eliminar todas las entradas S3* y cloudWatch* del archivo JSON para deshabilitar el registro.