Registro de la actividad de la sesión - AWS Systems Manager

Registro de la actividad de la sesión

Además de proporcionar información acerca de las sesiones actuales y las completadas en la consola de Systems Manager, Session Manager le proporciona opciones para el registro de la actividad de las sesiones en su Cuenta de AWS. Esto permite realizar las siguientes tareas:

  • Crear y almacenar los registros de sesión para fines de archivado.

  • Generar un informe que muestre los detalles de cada conexión realizada en los nodos administrados mediante Session Manager en los últimos 30 días.

  • Genere notificaciones de la actividad de la sesión en su Cuenta de AWS, como las notificaciones de Amazon Simple Notification Service (Amazon SNS).

  • Iniciar otra acción automáticamente en un recurso de AWS como resultado de la actividad de la sesión, como, por ejemplo, la ejecución de una función de AWS Lambda, el inicio de una canalización de AWS CodePipeline o la ejecución de un documento de AWS Systems ManagerRun Command.

importante

Tome nota de los siguientes requisitos y limitaciones de Session Manager:

  • Session Manager registra los comandos que usted ingresa y sus resultados durante una sesión, en función de sus preferencias de sesión. Para evitar que la información confidencial, como las contraseñas, se vean en los registros de sesión, recomendamos utilizar los siguientes comandos al ingresar información confidencial durante una sesión.

    Linux & macOS
    stty -echo; read passwd; stty echo;
    Windows
    $Passwd = Read-Host -AsSecureString
  • Si utiliza Windows Server 2012 o versiones anteriores, los datos de sus registros podrían no tener el formato óptimo. Le recomendamos que utilice Windows Server 2012 R2 y posterior para contar con formatos de registro óptimo.

  • Si utiliza nodos administrados de Linux o macOS, asegúrese de que la utilidad de pantalla esté instalada. Si no lo está, los datos de registro podrían truncarse. En Amazon Linux, Amazon Linux 2 y Ubuntu Server, la utilidad de pantalla se instala de forma predeterminada. Para instalar la utilidad de pantalla de forma manual, en función de la versión de Linux que utilice, ejecute sudo yum install screen o sudo apt-get install screen.

  • El registro no está disponible para las sesiones de Session Manager que se conectan a través del reenvío de puertos o de SSH. Esto se debe a que SSH cifra todos los datos de la sesión y Session Manager solo sirve como túnel para las conexiones de SSH.

Para obtener más información acerca de los permisos necesarios para utilizar Amazon S3 o Amazon CloudWatch Logs para registrar los datos de la sesión, consulte Creación de un rol de IAM con permisos para Session Manager, Amazon S3 y CloudWatch Logs (consola).

Consulte los siguientes temas para obtener más información acerca de las opciones de registro de Session Manager.

Streaming de los datos de la sesión con Amazon CloudWatch Logs (consola)

Puede enviar un flujo continuo de registros de datos de sesión a Amazon CloudWatch Logs. Los detalles esenciales, como los comandos que un usuario ha ejecutado en una sesión, el ID del usuario que ejecutó los comandos y las marcas de tiempo para el momento en que los datos de sesión se transmiten a CloudWatch Logs, se incluyen cuando se efectúa el streaming de los datos de la sesión. Con el streaming de los datos de la sesión, los registros tienen formato JSON para ayudarlo a integrarse a sus soluciones de registro existentes. El streaming de los datos de la sesión no es compatible con los comandos interactivos.

nota

Para transmitir los datos de la sesión desde los nodos administrados de Windows Server, debe tener instalado PowerShell 5.1 o una versión posterior. De forma predeterminada, Windows Server 2016 y las versiones posteriores tienen instalada la versión requerida de PowerShell. Sin embargo, Windows Server 2012 y 2012 R2 no tienen instalada de forma predeterminada la versión requerida de PowerShell. Si aún no ha actualizado PowerShell en los nodos administrados de Windows Server 2012 o 2012 R2, puede hacerlo mediante Run Command. Para obtener más información acerca de cómo actualizar PowerShell con Run Command, consulte Actualización de PowerShell con Run Command.

importante

Si tiene la configuración de política PowerShell Transcription (Transcripción de PowerShell) establecida en los nodos administrados de Windows Server, no podrá transmitir los datos de la sesión.

Para transmitir los datos de la sesión con Amazon CloudWatch Logs (consola)
  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Session Manager.

  3. Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).

  4. En CloudWatch logging (Registro de CloudWatch), seleccione la casilla de verificación ubicada junto a Enable (Habilitar).

  5. Elija la opción de Stream session logs (Transmitir registros de sesiones).

  6. (Recomendado) Seleccione la casilla de verificación situada junto a Allow only encrypted CloudWatch log groups (Permitir solo los grupos de registros cifrados de CloudWatch). Con esta opción activada, los datos de registro se cifran con la clave de cifrado del lado del servidor especificado para el grupo de registros. Si no desea cifrar los datos de registro que se envían a CloudWatch Logs, desactive la casilla de verificación. También debe desactivar la casilla de verificación si no se permite el cifrado en el grupo de registros.

  7. En CloudWatch logs (Registros de CloudWatch), para especificar el grupo de registros de CloudWatch Logs existente en su Cuenta de AWS en el que se cargarán los registros de la sesión, seleccione una de las siguientes opciones:

    • Ingrese el nombre de un grupo de registros en el cuadro de texto que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.

    • Browse log groups (Buscar grupos de registros): seleccione un grupo de registros que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.

  8. Seleccione Save.

Registro de los datos de la sesión con Amazon S3 (consola)

Puede elegir almacenar los datos de registro de las sesiones en un bucket de Amazon Simple Storage Service (Amazon S3) especificado con fines de depuración y solución de problemas. La opción predeterminada es para los registros que se van a enviar a un bucket cifrado de Amazon S3. El cifrado se realiza con la clave especificada para el bucket, ya sea una AWS KMS key o una clave de cifrado del lado del servidor (SSE) de Amazon S3 (AES-256).

importante

Si utiliza buckets de estilo de alojamiento virtual con Capa de conexión segura (SSL), el certificado comodín de SSL solo se asociará con los buckets que no contengan puntos. Para solucionar esto, use HTTP o escriba su propia lógica de verificación de certificado. Cuando use buckets de tipo de alojamiento virtual, le recomendamos no utilizar puntos (“.”) en los nombres de los buckets.

Cifrado de buckets de Amazon S3

Para poder enviar los registros a su bucket de Amazon S3 con cifrado, el cifrado debe estar permitido en el bucket. Para obtener más información acerca del cifrado de buckets de Amazon S3, consulte Cifrado predeterminado de Amazon S3 para los buckets de S3.

Clave administrada por el cliente

Si utiliza una clave de KMS que administra usted mismo para cifrar el bucket, el perfil de instancias de IAM adjunto a sus instancias debe tener permisos explícitos para leer la clave. Si utiliza una Clave administrada por AWS, la instancia no requiere este permiso explícito. Para obtener más información acerca de cómo proporcionar al perfil de instancias acceso para utilizar la clave, consulte Permiso del uso de la clave a los usuarios en la Guía para desarrolladores de AWS Key Management Service.

Siga estos pasos para configurar Session Manager para que almacene los registros de las sesiones en un bucket de Amazon S3.

nota

También puede utilizar la AWS CLI para especificar o cambiar el bucket de Amazon S3 al que se enviarán los datos de la sesión. Para obtener información, consulte Actualizar preferencias de Session Manager (línea de comandos).

Para registrar los datos de la sesión con Amazon S3 (consola)
  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Session Manager.

  3. Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).

  4. Marque la casilla de verificación situada junto a Enable (Habilitar) en S3 logging (Registro de S3).

  5. (Recomendado) Seleccione la casilla de verificación situada junto a Allow only encrypted S3 buckets (Permitir solo buckets cifrados de S3). Con esta opción activada, los datos de registro se cifran con la clave de cifrado del lado del servidor especificada para el bucket. Si no desea cifrar los datos de registro que se envían a Amazon S3, desactive la casilla de verificación. También debe desactivar la casilla de verificación si no se permite el cifrado en el bucket de S3.

  6. En S3 bucket name (Nombre del bucket de S3), realice alguna de las siguientes operaciones:

    nota

    Cuando use buckets de tipo de alojamiento virtual, le recomendamos no utilizar puntos (“.”) en los nombres de los buckets. Para obtener más información acerca de las convenciones de nomenclatura de buckets de Amazon S3, consulte Bucket Restrictions and Limitations (Restricciones y limitaciones de los buckets) en la Guía del usuario de Amazon Simple Storage Service.

    • Choose a bucket name from the list (Elegir un nombre de bucket de la lista): seleccione un bucket de Amazon S3 que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.

    • Enter a bucket name in the text box (Ingresar el nombre de un bucket en el cuadro de texto): escriba el nombre de un bucket de Amazon S3 que ya se haya creado en su cuenta para almacenar los datos de registro de las sesiones.

  7. (Opcional) En S3 key prefix (Prefijo de clave de S3), escriba el nombre de una carpeta nueva o existente para almacenar registros en el bucket seleccionado.

  8. Seleccione Save.

Para obtener más información acerca de cómo se trabaja con Amazon S3 y buckets de Amazon S3, consulte la Amazon Simple Storage Service User Guide (Guía del usuario de Amazon Simple Storage Service) y la Amazon Simple Storage Service User Guide (Guía del usuario de Amazon Simple Storage Service).

Registro de los datos de la sesión con Amazon CloudWatch Logs (consola)

Con Registros de Amazon CloudWatch, puede acceder a los archivos de registros de diversos Servicios de AWS, supervisarlos y almacenarlos. Puede enviar los datos de registro de las sesiones a un grupo de registros de CloudWatch Logs con fines de depuración y solución de problemas. La opción predeterminada es enviar los datos de registro con cifrado mediante su clave de KMS, pero puede enviar los datos a su grupo de registros con o sin cifrado.

Siga estos pasos para configurar AWS Systems Manager Session Manager para que envíe los datos de registro de las sesiones a un grupo de registros de CloudWatch Logs al final de sus sesiones.

nota

También puede utilizar la AWS CLI para especificar o cambiar el grupo de registros de CloudWatch Logs al que se enviarán los datos de la sesión. Para obtener información, consulte Actualizar preferencias de Session Manager (línea de comandos).

Para registrar los datos de la sesión con Amazon CloudWatch Logs (consola)
  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Session Manager.

  3. Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).

  4. En CloudWatch logging (Registro de CloudWatch), seleccione la casilla de verificación ubicada junto a Enable (Habilitar).

  5. Elija la opción Upload session logs (Cargar registros de sesiones).

  6. (Recomendado) Seleccione la casilla de verificación situada junto a Allow only encrypted CloudWatch log groups (Permitir solo los grupos de registros cifrados de CloudWatch). Con esta opción activada, los datos de registro se cifran con la clave de cifrado del lado del servidor especificado para el grupo de registros. Si no desea cifrar los datos de registro que se envían a CloudWatch Logs, desactive la casilla de verificación. También debe desactivar la casilla de verificación si no se permite el cifrado en el grupo de registros.

  7. En CloudWatch logs (Registros de CloudWatch), para especificar el grupo de registros de CloudWatch Logs existente en su Cuenta de AWS en el que se cargarán los registros de la sesión, seleccione una de las siguientes opciones:

    • Choose a log group from the list (Elegir un grupo de recursos de la lista): seleccione un grupo de registros que ya se ha creado en su cuenta para almacenar datos de registros de sesiones.

    • Enter a log group name in the text box (Escribir un nombre del grupo de registros en el cuadro de texto): escriba el nombre de un grupo de registros que ya se haya creado en su cuenta para almacenar los datos de registro de la sesión.

  8. Seleccione Save.

Para obtener más información acerca del uso de CloudWatch Logs, consulte la Guía del usuario de Amazon CloudWatch Logs.