Étape 8 : (Facultatif) Autoriser les connexions SSH viaSession Manager - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 8 : (Facultatif) Autoriser les connexions SSH viaSession Manager

Vous pouvez autoriser les utilisateurs dans votre Compte AWS pour utiliserAWS Command Line Interface(AWS CLI) pour établir des connexions Secure Shell (SSH) avec les instances à l'aide deAWS Systems Manager Session Manager. Les utilisateurs qui se connectent à l'aide de SSH peuvent également copier des fichiers entre leurs ordinateurs locaux et les instances gérées à l'aide de SCP (Secure Copy Protocol). Vous pouvez utiliser cette fonctionnalité pour vous connecter aux instances sans ouvrir des ports entrants ou gérer des hôtes bastion. Vous pouvez également choisir de désactiver explicitement les connexions SSH avec vos instances viaSession Manager.

Note

La journalisation n'est pas disponible pourSession Managerqui se connectent via le transfert de port ou SSH. Cela est dû au fait que SSH crypte toutes les données de session, etSession Managersert uniquement de tunnel pour les connexions SSH.

Pour autoriser les connexions SSH viaSession Manager

  1. Sur l'instance gérée vers lequel vous souhaitez autoriser les connexions SSH, procédez comme suit :

  2. Sur l'ordinateur local à partir duquel vous souhaitez vous connecter à une instance gérée à l'aide de SSH, procédez comme suit :

    • Assurez-vous que la version 1.1.23.0 ou une version ultérieure du plug-in Session Manager est installée.

      Pour plus d'informations sur l'installation du plug-in Session Manager, consultez (Facultatif) Installer l’Session Managerpour le plug-inAWS CLI.

    • Mettez à jour le fichier de configuration SSH pour permettre l'exécution d'une commande de proxy qui démarre unSession Manageret transférer toutes les données via la connexion.

      Linux et macOS

      Linux

      Astuce

      Le fichier de configuration SSH est généralement situé dans ~/.ssh/config.

      Ajoutez le fichier de configuration suivant sur l'ordinateur local.

      # SSH over Session Manager host i-* mi-* ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"

      Windows

      Astuce

      Le fichier de configuration SSH est généralement situé dans C:\Users\username\.ssh\config.

      Ajoutez le fichier de configuration suivant sur l'ordinateur local.

      # SSH over Session Manager host i-* mi-* ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
    • Créez ou vérifiez que vous disposez d'un certificat Privacy Enhanced Mail (un fichier PEM) ou au minimum d'une clé publique, à utiliser lors de l'établissement de connexions avec les instances gérées. Il doit s'agir d'une clé déjà associée à l'instance. Par exemple, pour une instance Amazon Elastic Compute Cloud (Amazon EC2), le fichier de key pair que vous avez créé ou sélectionné lors de la création de l'instance. (Vous spécifiez le chemin d'accès au certificat ou à la clé dans la commande de démarrage de session. Pour de plus amples informations sur le démarrage d'une session avec SSH, veuillez consulter la pageDémarrage d'une session (SSH).)

Stratégies IAM pour autoriser les connexions SSH viaSession Manager

  • Option 1 : Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/. Dans le panneau de navigation, choisissez Policies (Stratégies), puis mettez à jour la stratégie d'autorisations permettant à l'utilisateur ou au rôle de votre choix de démarrer les connexions SSH via Session Manager. Par exemple, préparez-vous à modifier la stratégie de démarrage rapide de l'utilisateur que vous avez créée dans Démarrage rapide - Stratégies d'utilisateur final pour Session Manager. Ajoutez l'élément suivant à la stratégie.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": [ "arn:aws:ec2:region:987654321098:instance/i-02573cafcfEXAMPLE", "arn:aws:ssm:*:*:document/AWS-StartSSHSession" ] } ] }

    Option 2 : Attachez une stratégie en ligne à une stratégie utilisateur à l'aide de l'outilAWS Management Console, leAWS CLI, ou leAWSAPI.

    A l'aide de la méthode de votre choix, attachez l'énoncé de stratégie de l'option 1 à la stratégie pour unAWSutilisateur, groupe ou rôle.

    Pour plus d'informations, consultezAjout et suppression d'autorisations basées sur l'identité IAMdans leIAM User Guide.

Stratégies IAM pour désactiver les connexions SSH viaSession Manager

  • Option 1 : Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/. Dans le panneau de navigation, choisissez Policies (Stratégies), puis mettez à jour la stratégie d'autorisations pour l'utilisateur ou le rôle afin de bloquer le démarrage des sessions Session Manager. Par exemple, préparez-vous à modifier la stratégie de démarrage rapide de l'utilisateur que vous avez créée dans Démarrage rapide - Stratégies d'utilisateur final pour Session Manager. Ajoutez l'élément suivant à la stratégie ou remplacez toutes les autorisations qui autorisent un utilisateur à démarrer une session.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ssm:StartSession", "Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession" } ] }

    Option 2 : Attachez une stratégie en ligne à une stratégie utilisateur à l'aide de l'outilAWS Management Console, leAWS CLI, ou leAWSAPI.

    A l'aide de la méthode de votre choix, attachez l'énoncé de stratégie de l'option 1 à la stratégie pour unAWSutilisateur, groupe ou rôle.

    Pour plus d'informations, consultezAjout et suppression d'autorisations basées sur l'identité IAMdans leIAM User Guide.