Streaming de los datos de la sesión con los Registros de Amazon CloudWatch (consola)Registro de los datos de la sesión con Amazon S3 (consola)Registro de los datos de la sesión con los Registros de Amazon CloudWatch (consola)Inhabilitación del registro de actividad de Session Manager en Registros de CloudWatch y Amazon S3

Habilitar y deshabilitar el registro de actividad de la sesión

Además de proporcionar información acerca de las sesiones actuales y las completadas en la consola de Systems Manager, Session Manager le proporciona opciones para el registro de la actividad de las sesiones en su Cuenta de AWS. Esto permite realizar las siguientes tareas:

Crear y almacenar los registros de sesión para fines de archivado.
Generar un informe que muestre los detalles de cada conexión realizada en los nodos administrados mediante Session Manager en los últimos 30 días.
Genere notificaciones de la actividad de la sesión en su Cuenta de AWS, como las notificaciones de Amazon Simple Notification Service (Amazon SNS).
Iniciar otra acción automáticamente en un recurso de AWS como resultado de la actividad de la sesión, como, por ejemplo, la ejecución de una función de AWS Lambda, el inicio de una canalización de AWS CodePipeline o la ejecución de un documento de AWS Systems ManagerRun Command.

importante

Tome nota de los siguientes requisitos y limitaciones de Session Manager:

Session Manager registra los comandos que usted ingresa y sus resultados durante una sesión, en función de sus preferencias de sesión. Para evitar que la información confidencial, como las contraseñas, se vean en los registros de sesión, recomendamos utilizar los siguientes comandos al ingresar información confidencial durante una sesión.
Linux & macOS
```
stty -echo; read passwd; stty echo;
```
Windows
```
$Passwd = Read-Host -AsSecureString
```
Si utiliza Windows Server 2012 o versiones anteriores, los datos de sus registros podrían no tener el formato óptimo. Recomendamos que utilice Windows Server 2012 R2 y posterior para contar con formatos de registro óptimo.
Si utiliza nodos administrados de Linux o macOS, asegúrese de que la utilidad de pantalla esté instalada. Si no lo está, los datos de registro podrían truncarse. En Amazon Linux 1, Amazon Linux 2, AL2023 y Ubuntu Server, la utilidad de pantalla se instala de forma predeterminada. Para instalar la pantalla de forma manual, en función de la versión de Linux que utilice, ejecute sudo yum install screen o sudo apt-get install screen.
El registro no está disponible para las sesiones de Session Manager que se conectan a través del reenvío de puertos o de SSH. Esto se debe a que SSH cifra todos los datos de la sesión y Session Manager solo sirve como túnel para las conexiones de SSH.

Para obtener más información acerca de los permisos necesarios para utilizar Amazon S3 o los Registros de Amazon CloudWatch para registrar los datos de la sesión, consulte Creación de un rol de IAM con permisos para Session Manager, Amazon S3 y los Registros de CloudWatch (consola).

Consulte los siguientes temas para obtener más información acerca de las opciones de registro de Session Manager.

Temas

Streaming de los datos de la sesión con los Registros de Amazon CloudWatch (consola)
Registro de los datos de la sesión con Amazon S3 (consola)
Registro de los datos de la sesión con los Registros de Amazon CloudWatch (consola)
Inhabilitación del registro de actividad de Session Manager en Registros de CloudWatch y Amazon S3

Streaming de los datos de la sesión con los Registros de Amazon CloudWatch (consola)

Puede enviar un flujo continuo de registros de datos de sesión a los Registros de Amazon CloudWatch. Los detalles esenciales, como los comandos que un usuario ha ejecutado en una sesión, el ID del usuario que ejecutó los comandos y las marcas de tiempo para el momento en que los datos de sesión se transmiten a los Registros de CloudWatch, se incluyen cuando se efectúa el streaming de los datos de la sesión. Con el streaming de los datos de la sesión, los registros tienen formato JSON para ayudarlo a integrarse a sus soluciones de registro existentes. El streaming de los datos de la sesión no es compatible con los comandos interactivos.

nota

Para transmitir los datos de la sesión desde los nodos administrados de Windows Server, debe tener instalado PowerShell 5.1 o una versión posterior. De forma predeterminada, Windows Server 2016 y las versiones posteriores tienen instalada la versión requerida de PowerShell. Sin embargo, Windows Server 2012 y 2012 R2 no tienen instalada de forma predeterminada la versión requerida de PowerShell. Si aún no ha actualizado PowerShell en los nodos administrados de Windows Server 2012 o 2012 R2, puede hacerlo mediante Run Command. Para obtener información sobre cómo actualizar PowerShell con Run Command, consulte Actualización de PowerShell con Run Command.

importante

Si tiene la configuración de política PowerShell Transcription (Transcripción de PowerShell) establecida en los nodos administrados de Windows Server, no podrá transmitir los datos de la sesión.

Para transmitir los datos de la sesión con los Registros de Amazon CloudWatch (consola)

Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.
En el panel de navegación, elija Session Manager.
Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).
En CloudWatch logging (Registro de CloudWatch), seleccione la casilla de verificación ubicada junto a Enable (Habilitar).
Elija la opción de Stream session logs (Transmitir registros de sesiones).
(Recomendado) Seleccione la casilla de verificación situada junto a Allow only encrypted CloudWatch log groups (Permitir solo los grupos de registros cifrados de CloudWatch). Con esta opción activada, los datos de registro se cifran con la clave de cifrado del lado del servidor especificado para el grupo de registros. Si no desea cifrar los datos de registro que se envían a los Registros de CloudWatch, desactive la casilla de verificación. También debe desactivar la casilla de verificación si no se permite el cifrado en el grupo de registros.
En CloudWatch logs (Registros de CloudWatch), para especificar el grupo de registros de los Registros de CloudWatch existente en su Cuenta de AWS en el que se cargarán los registros de la sesión, seleccione una de las siguientes opciones:
- Ingrese el nombre de un grupo de registros en el cuadro de texto que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.
- Browse log groups (Buscar grupos de registros): seleccione un grupo de registros que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.
Seleccione Guardar.

Registro de los datos de la sesión con Amazon S3 (consola)

Puede elegir almacenar los datos de registro de las sesiones en un bucket de Amazon Simple Storage Service (Amazon S3) especificado con fines de depuración y solución de problemas. La opción predeterminada es para los registros que se van a enviar a un bucket cifrado de Amazon S3. El cifrado se realiza con la clave especificada para el bucket, ya sea una AWS KMS key o una clave de cifrado del lado del servidor (SSE) de Amazon S3 (AES-256).

importante

Si utiliza buckets de estilo de alojamiento virtual con Capa de conexión segura (SSL), el certificado comodín de SSL solo se asociará con los buckets que no contengan puntos. Para solucionar esto, use HTTP o escriba su propia lógica de verificación de certificado. Cuando use buckets de tipo de alojamiento virtual, le recomendamos no utilizar puntos (“.”) en los nombres de los buckets.

Cifrado de buckets de Amazon S3

Para poder enviar los registros a su bucket de Amazon S3 con cifrado, el cifrado debe estar permitido en el bucket. Para obtener más información acerca del cifrado de buckets de Amazon S3, consulte Cifrado predeterminado de Amazon S3 para los buckets de S3.

Clave administrada por el cliente

Si utiliza una clave de KMS que administra usted mismo para cifrar el bucket, el perfil de instancias de IAM adjunto a sus instancias debe tener permisos explícitos para leer la clave. Si utiliza una Clave administrada de AWS, la instancia no requiere este permiso explícito. Para obtener más información acerca de cómo proporcionar al perfil de instancias acceso para utilizar la clave, consulte Permiso del uso de la clave a los usuarios en la Guía para desarrolladores de AWS Key Management Service.

Siga estos pasos para configurar Session Manager para que almacene los registros de las sesiones en un bucket de Amazon S3.

nota

También puede utilizar la AWS CLI para especificar o cambiar el bucket de Amazon S3 al que se enviarán los datos de la sesión. Para obtener más información, consulte Actualizar preferencias de Session Manager (línea de comandos).

Para registrar los datos de la sesión con Amazon S3 (consola)

Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.
En el panel de navegación, elija Session Manager.
Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).
Marque la casilla de verificación situada junto a Enable (Habilitar) en S3 logging (Registro de S3).
(Recomendado) Seleccione la casilla de verificación situada junto a Allow only encrypted S3 buckets (Permitir solo buckets cifrados de S3). Con esta opción activada, los datos de registro se cifran con la clave de cifrado del lado del servidor especificada para el bucket. Si no desea cifrar los datos de registro que se envían a Amazon S3, desactive la casilla de verificación. También debe desactivar la casilla de verificación si no se permite el cifrado en el bucket de S3.
En S3 bucket name (Nombre del bucket de S3), realice alguna de las siguientes operaciones:

nota
Cuando use buckets de tipo de alojamiento virtual, le recomendamos no utilizar puntos (“.”) en los nombres de los buckets. Para obtener más información acerca de las convenciones de nomenclatura de buckets de Amazon S3, consulte Restricciones y limitaciones de los buckets en la Guía del usuario de Amazon Simple Storage Service.
- Choose a bucket name from the list (Elegir un nombre de bucket de la lista): seleccione un bucket de Amazon S3 que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.
- Enter a bucket name in the text box (Ingresar el nombre de un bucket en el cuadro de texto): escriba el nombre de un bucket de Amazon S3 que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.
(Opcional) En S3 key prefix (Prefijo de clave de S3), escriba el nombre de una carpeta nueva o existente para almacenar registros en el bucket seleccionado.
Seleccione Guardar.

Para obtener más información acerca de cómo se trabaja con Amazon S3 y buckets de Amazon S3, consulte la Guía del usuario de Amazon Simple Storage Service y la Guía del usuario de Amazon Simple Storage Service.

Registro de los datos de la sesión con los Registros de Amazon CloudWatch (consola)

Con Registros de Amazon CloudWatch, puede acceder a los archivos de registros de diversos Servicios de AWS, supervisarlos y almacenarlos. Puede enviar los datos de registro de las sesiones a un grupo de registros de los Registros de CloudWatch con fines de depuración y solución de problemas. La opción predeterminada es enviar los datos de registro con cifrado mediante su clave de KMS, pero puede enviar los datos a su grupo de registros con o sin cifrado.

Siga estos pasos para configurar AWS Systems Manager Session Manager para que envíe los datos de registro de las sesiones a un grupo de registros de los Registros de CloudWatch al final de sus sesiones.

nota

También puede utilizar la AWS CLI para especificar o cambiar el grupo de registros de los Registros de CloudWatch al que se enviarán los datos de la sesión. Para obtener más información, consulte Actualizar preferencias de Session Manager (línea de comandos).

Para registrar los datos de la sesión con los Registros de Amazon CloudWatch (consola)

Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.
En el panel de navegación, elija Session Manager.
Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).
En CloudWatch logging (Registro de CloudWatch), seleccione la casilla de verificación ubicada junto a Enable (Habilitar).
Elija la opción Upload session logs (Cargar registros de sesiones).
(Recomendado) Seleccione la casilla de verificación situada junto a Allow only encrypted CloudWatch log groups (Permitir solo los grupos de registros cifrados de CloudWatch). Con esta opción activada, los datos de registro se cifran con la clave de cifrado del lado del servidor especificado para el grupo de registros. Si no desea cifrar los datos de registro que se envían a los Registros de CloudWatch, desactive la casilla de verificación. También debe desactivar la casilla de verificación si no se permite el cifrado en el grupo de registros.
En CloudWatch logs (Registros de CloudWatch), para especificar el grupo de registros de CloudWatch Logs existente en su Cuenta de AWS en el que se cargarán los registros de la sesión, seleccione una de las siguientes opciones:
- Choose a log group from the list (Elegir un grupo de recursos de la lista): seleccione un grupo de registros que ya se ha creado en su cuenta para almacenar datos de registros de sesiones.
- Enter a log group name in the text box (Escribir un nombre del grupo de registros en el cuadro de texto): escriba el nombre de un grupo de registros que ya se haya creado en su cuenta para almacenar los datos de registro de la sesión.
Seleccione Guardar.

Para obtener más información acerca del uso de los Registros de CloudWatch, consulte la Guía del usuario de los Registros de Amazon CloudWatch.

Inhabilitación del registro de actividad de Session Manager en Registros de CloudWatch y Amazon S3

Puede utilizar la consola de Systems Manager o la AWS CLI para inhabilitar el registro de la actividad de la sesión en la cuenta.

Para deshabilitar el registro de actividad de la sesión (consola)

Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.
En el panel de navegación, elija Session Manager.
Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).
Para deshabilitar el registro de CloudWatch, en la sección Registro de CloudWatch, desactive la casilla Habilitar.
Para deshabilitar el registro de S3, en la sección Registro de S3, desactive la casilla Habilitar.
Seleccione Guardar.

Para deshabilitar el registro de actividad de la sesión (AWS CLI)

Para deshabilitar el registro de actividad de la sesión mediante la AWS CLI, siga las instrucciones en Actualizar preferencias de Session Manager (línea de comandos).

En el archivo JSON, asegúrese de que las entradas de s3BucketName y cloudWatchLogGroupName no contengan valores. Por ejemplo:


"inputs": {
        "s3BucketName": "",
        ...
        "cloudWatchLogGroupName": "",
        ...
    }

Como alternativa, puede eliminar todas las entradas S3* y cloudWatch* del archivo JSON para deshabilitar el registro.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Auditoría de la actividad de sesiones

Esquema del documento de Session