AWS Administrador de sistemas Session Manager - AWS Administrador de sistemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Administrador de sistemas Session Manager

Session Manager es una solución completamente administrada AWS Administrador de sistemas capacidad que le permite administrar sus Amazon Elastic Compute Cloud (Amazon EC2) de instancias, instancias on-premises, y máquinas virtuales (VM) a través de un shell basado en navegador interactivo con un solo clic o a través de la AWS Command Line Interface (AWS CLI). Session Manager proporciona administración de instancias segura y auditable sin necesidad de abrir los puertos de entrada, mantener hosts bastión, o administrar claves SSH. Session Manager también facilita la conformidad con las políticas corporativas que requieren acceso controlado a instancias , Prácticas de seguridad estrictas de , y logs auditables por completo con detalles de acceso a instancias a la vez que ofrece a los usuarios finales un acceso multiplataforma sencillo con un solo clic a las instancias administradas.

¿Cómo puede Session Manager beneficiar a mi organización?

Session Manager ofrece las ventajas siguientes:

  • Control de acceso centralizado a las instancias mediante políticas deIAM

    Los administradores disponen de un solo lugar para conceder y denegar el acceso a las instancias. Al usar solo políticas de AWS Identity and Access Management (IAM), puede controlar qué usuarios individuales o grupos de su organización pueden utilizar Session Manager y a qué instancias pueden acceder.

  • Sin puertos de entrada abiertos y sin necesidad de administrar hosts bastión o claves SSH

    Dejar los puertos SSH de entrada y los puertos PowerShell remotos abiertos en las instancias aumenta considerablemente el riesgo de que las entidades ejecuten comandos no autorizados o malintencionados en las instancias. Session Manager le ayuda a mejorar su seguridad al permitirle cerrar estos puertos de entrada, lo que le evita tener que administrar claves y certificados SSH, hosts bastión y cuadros de saltos.

  • Acceso con un solo clic a las instancias desde la consola y la CLI

    Al usar la consola de AWS Administrador de sistemas o de Amazon EC2, podrá iniciar una sesión con un solo clic. Con la AWS CLI, también puede iniciar una sesión que ejecute un único comando o una secuencia de comandos. Dado que los permisos para instancias se proporcionan a través de políticas de IAM en lugar de claves SSH u otros mecanismos, el tiempo de conexión se reduce significativamente.

  • Enrutamiento de puertos

    Redirija cualquier puerto dentro de la instancia remota a un puerto local de un cliente. Después, conéctese al puerto local y obtenga acceso a la aplicación de servidor que se está ejecutando dentro de la instancia.

  • Compatibilidad multiplataforma para Windows y Linux

    Session Manager proporciona compatibilidad con Windows y Linux a partir de una sola herramienta. Por ejemplo, no es necesario utilizar un cliente SSH para las instancias de Linux ni una conexión de RDP para las instancias de Windows Server.

  • Actividad de sesiones de auditoría y registro

    Para cumplir los requisitos de seguridad y operativos de su organización, es posible que tenga que proporcionar un registro de las conexiones realizadas en las instancias y los comandos que se ejecutaron en ellas. También puede recibir notificaciones cuando un usuario de su organización comienza o finaliza la actividad de sesiones.

    Las capacidades de registro y auditoría se proporcionan a través de la integración con los siguientes servicios de AWS:

    • AWS CloudTrail: AWS CloudTrail recopila información acerca de las llamadas a la API de Session Manager realizadas en su cuenta de AWS y las escribe en archivos de registro que se almacenan en un bucket de S3 que especifique. Un bucket se usa para todos los registros de CloudTrail de su cuenta. Para obtener más información, consulte Registro de llamadas a la API de AWS Administrador de sistemas con AWS CloudTrail.

    • Amazon Simple Storage Service: puede decidir almacenar datos de registro de sesión en el bucket de S3 que prefiera con fines de auditoría. Los datos de registro se pueden enviar a un bucket de S3 con o sin cifrado mediante la clave de AWS Key Management Service (AWS KMS). Para obtener más información, consulte Registro de los datos de la sesión mediante Amazon S3 (consola).

    • Amazon CloudWatch Logs: CloudWatch Logs permite monitorizar, almacenar y acceder a los archivos de registro de diversos servicios de AWS. Puede enviar datos de registro de sesiones a un grupo de registros de CloudWatch Logs con fines de auditoría. Los datos de registro se pueden enviar a un grupo de registros con o sin cifrado de AWS KMSmediante la clave AWS KMS. Para obtener más información, consulte Registro de los datos de la sesión mediante Amazon CloudWatch Logs (consola).

    • Amazon EventBridge y Amazon Simple Notification Service: EventBridge le permite configurar reglas para detectar cuándo se producen cambios en los recursos de AWS que especifique. Puede crear una regla para detectar cuándo un usuario de su organización inicia o detiene una sesión y, a continuación, recibir una notificación a través de Amazon SNS (por ejemplo, un mensaje de texto o de correo electrónico) sobre el evento. También puede configurar un evento de CloudWatch para iniciar otras respuestas. Para obtener más información, consulte Monitorización de la actividad de la sesión con Amazon EventBridge (consola) .

    nota

    El registro no está disponible para sesiones de Session Manager que se conectan a través del reenvío de puertos o SSH. Esto se debe a que SSH cifra todos los datos de sesión y Session Manager solo presta servicio como túnel para conexiones SSH.

¿Quién debe utilizar Session Manager?

  • Cualquier cliente de AWS que quiera mejorar su posición de seguridad y auditoría, reducir los costos operativos mediante la centralización del control de accesos de las instancias y reducir el acceso de entrada de las instancias.

  • Los expertos en seguridad de la información que quieran monitorizar y realizar un seguimiento de la actividad y el acceso de las instancias y cerrar los puertos de entrada en las instancias o permitir las conexiones a instancias sin una dirección IP pública.

  • Los administradores que deseen otorgar y revocar el acceso desde un único lugar y que quieran proporcionar una solución a los usuarios para las instancias de Windows y Linux.

  • Los usuarios finales que desean conectarse a una instancia con un solo clic desde el navegador o AWS CLI sin tener que proporcionar claves SSH.

¿Cuáles son las características principales de Session Manager?

  • Compatibilidad con instancias de Windows Server y Linux

    Session Manager le permite establecer conexiones seguras con sus instancias Amazon Elastic Compute Cloud (EC2), instancias locales y máquinas virtuales (VM). Para ver una lista de los tipos de sistemas operativos Windows y Linux admitidos, consulte Configuración de Session Manager.

    nota

    La compatibilidad de Session Manager con servidores locales se proporciona solo para la capa de instancias avanzadas. Para obtener información, consulte Habilitación de la capa de instancias avanzadas.

  • Acceso de la consola, la CLI y el SDK a las capacidades deSession Manager

    Puede trabajar con Session Manager de las siguientes formas:

    La consola de AWS Administrador de sistemas incluye acceso a todas las capacidades de tanto para administradores como para usuarios finales.Session Manager Puede llevar a cabo cualquier tarea relacionada con las sesiones por medio de la consola de Administrador de sistemas.

    La consola de Amazon EC2 ofrece a los usuarios finales la capacidad de conectarse a las instancias EC2 para las que se les han concedido permisos de sesión.

    La AWS CLI incluye acceso a las funcionalidades de Session Manager para usuarios finales. Puede comenzar una sesión, ver una lista de sesiones y terminar una sesión de forma permanente a través de la AWS CLI.

    nota

    Para utilizar la AWS CLI para ejecutar comandos de sesiones, debe utilizar la versión 1.16.12 (o posterior) de la CLI y debe tener instalado el Session Manager plugin en el equipo local. Para obtener más información, consulte (Opcional) Instalación del Session Manager plugin para la AWS CLI.

    El SDK de Session Manager se compone de bibliotecas y código de muestra que permite a los desarrolladores de aplicaciones crear aplicaciones front-end, como, por ejemplo, shells personalizados o portales de autoservicio para los usuarios internos que utilizan de forma nativa para conectarse a instancias.Session Manager Los desarrolladores y socios pueden integrar Session Manager en sus herramientas del lado del cliente o flujos de trabajo de Automation mediante Session Manager APIs. Incluso puede crear soluciones personalizadas.

  • IAM control de acceso

    Mediante el uso de las políticas de IAM, puede controlar que los miembros de su organización puedan iniciar sesiones a instancias y a qué instancias pueden acceder. También puede proporcionar acceso temporal a las instancias. Por ejemplo, es posible que desee ofrecer a un ingeniero de guardia (o un grupo de ingenieros de guardia) el acceso a servidores de producción solo para la duración de su turno.

  • Compatibilidad con la capacidad de registro y la auditoría

    Session Manager proporciona opciones para los historiales de las sesiones de auditoría y de registro en su cuenta de AWSa través de la integración con una serie de otros servicios de AWS. Para obtener más información, consulte Auditoría y registro de la actividad de las sesiones.

  • Perfiles de shell configurables

    Session Manager le ofrece opciones para configurar las preferencias dentro de las sesiones. Estos perfiles personalizables le permiten definir preferencias como las preferencias del shell, las variables de entorno, los directorios de trabajo y la ejecución de varios comandos cuando se inicia una sesión.

  • Compatibilidad con el cifrado de datos clave del cliente

    Puede configurar Session Manager para cifrar los registros de datos de sesión que envía a un bucket deS3 o transmite a un grupo de registros de CloudWatch Logs. También puede configurar Session Manager para cifrar aún más los datos transmitidos entre equipos del cliente y sus instancias durante sus sesiones. Para obtener información, consulte Auditoría y registro de la actividad de las sesiones y Configurar las preferencias de sesión.

  • AWS PrivateLink Compatibilidad de con instancias sin direcciones IP públicas

    También puede configurar puntos de enlace de la VPC para Administrador de sistemas mediante AWS PrivateLink con el fin de proteger aún más las sesiones. AWS PrivateLink limita todo el tráfico de red entre las instancias administradas, Administrador de sistemas y Amazon EC2 a la red de Amazon. Para obtener más información, consulte (Opcional) Crear un punto de enlace de nube privada virtual.

  • Tunelización

    En una sesión, utilice un documento SSM de tipo sesión para tunelizar el tráfico, como http o un protocolo personalizado, entre un puerto local en un equipo cliente y un puerto remoto en una instancia.

  • Comandos interactivos

    Cree un documento SSM de tipo sesión que utilice una sesión para ejecutar de forma interactiva un único comando, lo que le ofrece una forma de administrar lo que los usuarios pueden hacer en una instancia.

¿Qué es una sesión?

Una sesión es una conexión realizada a una instancia mediante Session Manager. Las sesiones se basan en un canal de comunicación bidireccional seguro entre el cliente (usted) y la instancia administrada remota que transmite entradas y salidas para comandos. El tráfico entre un cliente y una instancia administrada se cifra mediante TLS 1.2 y las solicitudes para crear la conexión se firman mediante Sigv4. Esta comunicación bidireccional permite el acceso interactivo de bash y PowerShell a las instancias. También puede utilizar una clave de AWS Key Management Service (AWS KMS) para cifrar datos más allá del cifrado TLS predeterminado.

Por ejemplo, digamos que John es un ingeniero de guardia en su departamento de TI. Este recibe la notificación de un problema que le exige conectarse remotamente a una instancia, como, por ejemplo, un error que requiere la solución de problemas o una directiva para cambiar una opción de configuración sencilla en una instancia. Mediante la consola de AWS Administrador de sistemas, la consola de Amazon EC2 o la AWS CLI, John inicia una sesión que se conecta a la instancia, ejecuta comandos en la instancia necesarios para completar la tarea y, a continuación, termina la sesión.

Cuando John envía ese primer comando para iniciar la sesión, el servicio Session Manager autentica su ID, verifica los permisos concedidos por una política de IAM, comprueba las opciones de configuración (como la verificación de los límites permitidos para las sesiones) y envía un mensaje a Agente de SSM para abrir la conexión bidireccional. Una vez establecida la conexión y después de que John escribe el siguiente comando, la salida del comando de Agente de SSM se carga en este canal de comunicación y se envía a su máquina local.