AWS Systems Manager Session Manager

Session Managerest une AWS Systems Manager fonctionnalité entièrement gérée. Avec Session Manager, vous pouvez gérer vos instances Amazon Elastic Compute Cloud (Amazon EC2), appareils de périphérie, serveurs sur site et machines virtuelles. Vous pouvez utiliser soit un shell interactif basé sur un navigateur en un clic, soit le AWS Command Line Interface ().AWS CLISession Managerfournit une gestion des nœuds sécurisée et vérifiable sans qu'il soit nécessaire d'ouvrir les ports entrants, de gérer les hôtes Bastion ou de gérer les clés SSH. Session Managervous permet également de vous conformer aux politiques d'entreprise qui exigent un accès contrôlé aux nœuds gérés, des pratiques de sécurité strictes et des journaux entièrement vérifiables avec les détails d'accès aux nœuds, tout en fournissant aux utilisateurs finaux un accès multiplateforme en un clic à vos nœuds gérés. Pour vos premiers pas dans Session Manager, ouvrez Systems Manager console. Dans le panneau de navigation, sélectionnez Session Manager.

Comment mon organisation peut-elle tirer parti de Session Manager ?

Session Manager offre les avantages suivants :

• Contrôle centralisé des accès aux nœuds gérés à l'aide de politiques IAM

  Les administrateurs disposent d'un point central pour accorder et révoquer les accès aux nœuds gérés. En utilisant uniquement des politiques AWS Identity and Access Management (IAM), vous pouvez contrôler quels utilisateurs ou groupes individuels de votre organisation peuvent utiliser Session Manager et à quels nœuds gérés ils peuvent accéder.

• Aucun port entrant ouvert et aucune nécessité d'ouvrir des hôtes bastion ou des clés SSH

  En laissant les ports SSH et les ports PowerShell distants ouverts sur vos nœuds gérés, vous augmentez considérablement le risque que des entités y exécutent des commandes malveillantes ou non autorisées. Session Manager vous aide à renforcer votre niveau de sécurité en vous permettant de fermer ces ports entrants, et d'éviter ainsi de gérer les clés SSH et les certificats, les hôtes bastion ainsi que les zones de reroutage.

• Accès en un clic aux nœuds gérés depuis la console et la CLI

  À l'aide de la AWS Systems Manager console ou de la console Amazon EC2, vous pouvez démarrer une session en un seul clic. À l'aide du AWS CLI, vous pouvez également démarrer une session qui exécute une seule commande ou une séquence de commandes. Étant donné que les autorisations d'accès aux nœuds gérés sont fournies via des politiques IAM et non des clés SSH ou autres mécanismes, le temps de connexion est considérablement réduit.

• Connexion à la fois aux instances Amazon EC2 et aux nœuds gérés non EC2 dans des environnements hybrides et multicloud

  Vous pouvez vous connecter à la fois aux instances Amazon Elastic Compute Cloud (Amazon EC2) et aux nœuds non EC2 de votre environnement hybride et multicloud.

  Pour vous connecter à des nœuds non EC2 à l'aide de Session Manager, activez d'abord le niveau d'instances avancées. L'utilisation du niveau d'instance avancé est payante. Cependant, il n'existe aucun frais supplémentaires pour la connexion aux instances EC2 à l'aide de Session Manager. Pour plus d'informations, consultez Configuration des niveaux d'instance.

• Réacheminement de port

  Redirigez n'importe quel port de votre nœud géré distant vers un port local sur un client. Après cela, connectez-vous au port local et accédez à l'application serveur qui s'exécute sur le nœud.

• Prise en charge multiplateforme de Windows, Linux et macOS

  Session Manager prend en charge Windows, Linux et macOS à partir d'un simple outil. Par exemple, vous n'avez pas besoin d'utiliser un client SSH pour les nœuds gérés Linux et macOS, ni une connexion RDP pour les nœuds gérés Windows Server.

• Activité de session de journalisation et d'audit

  Pour satisfaire aux exigences opérationnelles ou de sécurité de votre organisation, vous pouvez avoir besoin de fournir un enregistrement des différentes connexions à vos nœuds gérés et des commandes qui y ont été exécutées. Vous pouvez également recevoir des notifications lorsqu'un utilisateur de votre organisation démarre ou termine une activité de session.

  Des fonctionnalités de journalisation et d'audit sont fournies, intégrées aux AWS services suivants :

  • AWS CloudTrail— AWS CloudTrail capture les informations relatives aux appels d'Session ManagerAPI effectués dans votre compte Compte AWS et les écrit dans des fichiers journaux qui sont stockés dans un bucket Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Un compartiment est utilisé pour tous les CloudTrail journaux de votre compte. Pour plus d’informations, consultez Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail.

  • Amazon Simple Storage Service : vous pouvez choisir de stocker les données des journaux de session dans le compartiment Amazon S3 de votre choix à des fins de débogage et de résolution des problèmes. Les données des journaux peuvent être envoyées à votre compartiment Amazon S3 avec ou sans chiffrement à l'aide de votre AWS KMS key. Pour plus d’informations, consultez Journalisation des données de session avec Amazon S3 (console).

  • Amazon CloudWatch Logs — CloudWatch Logs vous permet de surveiller, de stocker et d'accéder à des fichiers journaux provenant de différents sites AWS services. Vous pouvez envoyer les données du journal de session à un groupe de CloudWatch journaux de journaux à des fins de débogage et de résolution des problèmes. Les données de journal peuvent être envoyées à votre groupe de journaux avec ou sans AWS KMS chiffrement à l'aide de votre clé KMS. Pour plus d’informations, consultez Enregistrement des données de session à l'aide d'Amazon CloudWatch Logs (console).

  • Amazon EventBridge et Amazon Simple Notification Service : vous EventBridge permettent de définir des règles pour détecter les modifications apportées aux AWS ressources que vous spécifiez. Vous pouvez créer une règle pour détecter le démarrage ou l'arrêt d'une session par un utilisateur de votre organisation, puis recevoir une notification via Amazon SNS (par exemple, un SMS ou un e-mail) à propos de l'événement. Vous pouvez également configurer un CloudWatch événement pour lancer d'autres réponses. Pour plus d’informations, consultez Surveillance de l'activité des sessions à l'aide d'Amazon EventBridge (console).

  Note

  La journalisation n'est pas disponible pour les sessions Session Manager qui se connectent via le réacheminement de port ou SSH. Cela est dû au fait que SSH chiffre toutes les données de session et que Session Manager sert uniquement de tunnel pour les connexions SSH.

À qui est destiné Session Manager ?

• Tout AWS client qui souhaite améliorer sa sécurité et sa posture d'audit, réduire les frais opérationnels en centralisant le contrôle d'accès sur les nœuds gérés et réduire l'accès aux nœuds entrants.

• Les experts en sécurité de l'information qui souhaitent surveiller et suivre l'accès aux nœuds et leur activité, fermer les ports entrants sur les nœuds gérés ou autoriser les connexions à des nœuds gérés sans adresse IP publique.

• Administrateurs qui souhaitent accorder et révoquer des accès à partir d'un point central, et fournir aux utilisateurs une solution unique pour les nœuds gérés Linux, macOS et Windows Server.

• Les utilisateurs qui souhaitent se connecter à un nœud géré en un seul clic depuis le navigateur ou AWS CLI sans avoir à fournir de clés SSH.

Quelles sont les principales fonctionnalités Session Manager ?

• Prise en charge de nœuds gérés Windows Server, Linux et macOS

  Session Manager vous permet d'établir des connexions sécurisées à vos instances Amazon Elastic Compute Cloud (EC2), appareils de périphérie, serveurs sur site et machines virtuelles. Pour obtenir une liste des types de systèmes d'exploitation pris en charge, consultez Configuration de Session Manager.

  Note

  La prise en charge de Session Manager pour les machines sur site est assurée pour le niveau d'instances avancées uniquement. Pour plus d'informations, consultez Activation du niveau d'instances avancées.

• Accès aux fonctionnalités de Session Manager via la console, l'interface de ligne de commande et le kit SDK

  Vous pouvez utiliser les Session Manager de l'une des façons suivantes :

  La console AWS Systems Manager inclut l'accès à toutes les fonctionnalités de Session Manager pour les administrateurs et les utilisateurs finaux. Vous pouvez effectuer n'importe quelle tâche liée à vos sessions via la console Systems Manager.

  La console Amazon EC2 permet aux utilisateurs finaux de se connecter aux instances EC2 pour lesquelles des autorisations de session leur ont été accordées.

  L'AWS CLI inclut l'accès aux fonctionnalités Session Manager pour les utilisateurs finaux. Vous pouvez démarrer une session, consulter la liste des sessions et y mettre fin définitivement en utilisant le AWS CLI.

  Note

  Pour utiliser les commandes AWS CLI d'exécution de session, vous devez utiliser la version 1.16.12 de la CLI (ou ultérieure) et vous devez avoir installé le Session Manager plug-in sur votre machine locale. Pour plus d’informations, veuillez consulter Installez le Session Manager plugin pour AWS CLI. Pour voir le plugin activéGitHub, consultez session-manager-plugin.

• Contrôle d'accès IAM

  Les politiques IAM vous permettent de contrôler quels membres de votre organisation peuvent démarrer des sessions sur les nœuds gérés et à quels nœuds ils peuvent accéder. Vous pouvez également fournir un accès temporaire à vos nœuds gérés. Par exemple, vous pouvez accorder à un ingénieur de garde (ou à un groupe d'ingénieurs de garde) l'accès aux serveurs de production uniquement pendant la durée de leur rotation.

• Prise en charge de la capacité de journalisation et d'audit

  Session Managervous fournir des options pour auditer et enregistrer l'historique de vos sessions Compte AWS grâce à l'intégration à un certain nombre d'autres AWS services. Pour plus d'informations, consultez Auditer l'activité de session et Activation et désactivation de la journalisation des activités de session.

• Profils de shell configurables

  Session Manager vous propose des options de configuration des préférences de session. Ces profils personnalisables vous permettent de définir des préférences telles que les préférences du shell, les variables d'environnement, les répertoires de travail et l'exécution de plusieurs commandes au démarrage d'une session.

• Prise en charge du chiffrement des données clés des clients

  Vous pouvez configurer Session Manager pour chiffrer les journaux de données de session que vous envoyez à un bucket Amazon Simple Storage Service (Amazon S3) ou que vous diffusez vers CloudWatch un groupe de journaux de journaux. Vous pouvez également configurer Session Manager pour chiffrer davantage les données transmises entre les ordinateurs clients et vos nœuds gérés pendant vos sessions. Pour obtenir des informations, consultez Activation et désactivation de la journalisation des activités de session et Configurer les préférences de session.

• AWS PrivateLink prise en charge des nœuds gérés sans adresses IP publiques

  Vous pouvez également configurer des points de terminaison VPC pour Systems Manager afin de AWS PrivateLink sécuriser davantage vos sessions. AWS PrivateLink limite tout le trafic réseau entre vos nœuds gérés, Systems Manager et Amazon EC2 vers le réseau Amazon. Pour plus d'informations, consultez Améliorer la sécurité des instances EC2 en utilisant des points de terminaison VPC pour Systems Manager.

• Tunnelisation

  Dans une session, utilisez un document de type session AWS Systems Manager (SSM) pour canaliser le trafic, tel que le protocole HTTP ou un protocole personnalisé, entre un port local sur un ordinateur client et un port distant sur un nœud géré.

• Commandes interactives

  Créez un document SSM de type session qui utilise une session pour exécuter de manière interactive une seule commande, ce qui vous permet de gérer les opérations pouvant être effectuées par les utilisateurs sur un nœud géré.

Qu'est-ce qu'une session ?

Une session est une connexion établie à un nœud géré en utilisant Session Manager. Les sessions sont basées sur un canal de communication bidirectionnel sécurisé entre le client (vous) et l'instance gérée à un nœud géré qui diffuse les entrées et les sorties pour les commandes. Le trafic entre un client et un nœud géré est chiffré via TLS 1.2, et les demandes de création de la connexion sont signées via Sigv4. Cette communication bidirectionnelle permet le bash interactif et PowerShell l'accès aux nœuds gérés. Vous pouvez également utiliser une clé AWS Key Management Service (AWS KMS) pour renforcer le chiffrement des données au-delà du chiffrement TLS par défaut.

Supposons par exemple que John est un ingénieur de garde dans votre service informatique. Il reçoit la notification d'un problème qui lui exige de se connecter à distance à un nœud géré. Il peut s'agir par exemple d'une panne qui nécessite d'être réparée, ou d'une directive pour modifier une option de configuration simple sur un nœud. À l'aide de la AWS Systems Manager console, de la console Amazon EC2 ou de la AWS CLI, John démarre une session le connectant au nœud géré, exécute des commandes sur le nœud nécessaire pour effectuer la tâche, puis met fin à la session.

Lorsque John envoie la première commande pour démarrer la session, le service Session Manager authentifie son ID, vérifie les autorisations qui lui ont été accordées par une politique IAM, vérifie les paramètres de configuration (par exemple, les limites autorisées pour les sessions), et envoie un message à l'SSM Agent pour ouvrir la connexion bidirectionnelle. Une fois la connexion établie et après que John ait saisi la commande suivante, le résultat de la commande de l'SSM Agent est chargé vers ce canal de communication et renvoyé vers son ordinateur local.

Rubriques

• Configuration de Session Manager
• Utilisation des Session Manager
• Auditer l'activité de session
• Activation et désactivation de la journalisation des activités de session
• Schéma de document de session
• Résolution des problèmes de Session Manager