AWS Systems Manager Session Manager - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Systems Manager Session Manager

Session Managerest une entreprise entièrement géréeAWS Systems Managerqui vous permet de gérer vos instances Amazon Elastic Compute Cloud (Amazon EC2), instances sur site et machines virtuelles (VM) via un shell navigateur interactif à un clic ou via l'AWS Command Line Interface(AWS CLI).Session Managerfournit une gestion des instances sécurisée et vérifiable, sans qu'il soit nécessaire d'ouvrir les ports entrants, de maintenir les hôtes bastions ou de gérer les clés SSH.Session ManagerVous permet également de respecter les stratégies d'entreprise qui nécessitent un accès contrôlé aux instances, des pratiques de sécurité strictes et des journaux entièrement vérifiables avec des détails d'accès aux instances, tout en accordant aux utilisateurs finaux un accès multiplateforme simple à vos instances gérées.

Comment mon organisation peut-elle tirer parti de Session Manager ?

Session Manager offre les avantages suivants :

  • Contrôle centralisé des accès aux instances à l'aide de stratégies IAM

    Les administrateurs disposent d'un point central pour accorder et révoquer les accès aux instances. Utilisation uniquementAWS Identity and Access Management(IAM), vous pouvez contrôler quels utilisateurs ou groupes au sein de votre organisation peuvent utiliserSession Manageret les instances auxquelles ils peuvent accéder.

  • Aucun port entrant ouvert et aucune nécessité d'ouvrir des hôtes bastion ou des clés SSH

    En laissant les ports SSH et les ports PowerShell distants ouverts sur vos instances, vous augmentez considérablement le risque que des entités y exécutent des commandes malveillantes ou non autorisées. Session Manager vous aide à renforcer votre niveau de sécurité en vous permettant de fermer ces ports entrants, et d'éviter ainsi de gérer les clés SSH et les certificats, les hôtes bastion ainsi que les zones de reroutage.

  • Accès en un clic aux instances depuis la console et l'interface de ligne de commande

    Utilisation de l’AWS Systems Managerou la console Amazon EC2, vous pouvez démarrer une session d'un simple clic. A l'aide de l'AWS CLI, vous pouvez également démarrer une session qui exécute une seule commande ou une séquence de commandes. Étant donné que les autorisations d'accès aux instances sont fournies via des stratégies IAM et non des clés SSH ou autres mécanismes, le temps de connexion est considérablement réduit.

  • Réacheminement de port

    Redirigez n'importe quel port de votre instance distante vers un port local sur un client. Après cela, connectez-vous au port local et accédez à l'application serveur qui s'exécute sur l'instance.

  • Prise en charge multiplateforme de Windows, Linux et macOS

    Session Managerprend en charge Windows, Linux etmacOSà partir d'un simple outil. Par exemple, vous n'avez pas besoin d'utiliser un client SSH pour Linux etmacOSou une connexion RDP pourWindows Serverinstances.

  • Activité de session de journalisation et d'audit

    Pour satisfaire aux exigences opérationnelles ou de sécurité de votre organisation, vous pouvez avoir besoin de fournir un enregistrement des différentes connexions à vos instances et des commandes qui y ont été exécutées. Vous pouvez également recevoir des notifications lorsqu'un utilisateur de votre organisation démarre ou termine une activité de session.

    Des fonctionnalités de journalisation et d'audit sont fournies, intégrées aux éléments suivants :AWSServices :

    • AWS CloudTrail–AWS CloudTrailcapture des informations surSession Managerappels d'API effectués dans votre Compte AWS et l'écrit dans les fichiers journaux qui sont stockés dans un compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Un seul compartiment est utilisé pour tous les journaux CloudTrail de votre compte. Pour de plus amples informations, veuillez consulter Journalisation des appels d'API AWS Systems Manager avec AWS CloudTrail.

    • Amazon Simple Storage Service— Vous pouvez choisir de stocker les données des journaux de session dans un compartiment Amazon S3 de votre choix à des fins de débogage et de dépannage. Les données de journaux peuvent être envoyées à votre compartiment Amazon S3 avec ou sans chiffrement à l'aide de votreAWS KMS key. Pour de plus amples informations, veuillez consulter Journalisation des données de session avec Amazon S3 (console).

    • Amazon CloudWatch Logs— CloudWatch Logs vous permet de surveiller, de stocker et de consulter les fichiers journaux de différentsAWSServices . Vous pouvez envoyer des données de journaux de session à un groupe de journaux Logs CloudWatch à des fins de débogage et de dépannage. Les données de journaux peuvent être envoyées à votre groupe de journaux avec ou sansAWS KMSchiffrement à l'aide de votre clé KMS. Pour de plus amples informations, veuillez consulter Journalisation des données de session à l'aide de Amazon CloudWatch Logs (console).

    • Amazon EventBridgeandAmazon Simple Notification Service— EventBridge vous permet de détecter à quel moment les changements ont lieu pourAWSque vous spécifiez. Vous pouvez créer une règle pour détecter le démarrage ou l'arrêt d'une session par un utilisateur de votre organisation, puis recevoir une notification via Amazon SNS (par exemple, un SMS ou un e-mail) à propos de l'événement. Vous pouvez également configurer un événement CloudWatch pour lancer d'autres réponses. Pour de plus amples informations, veuillez consulter Surveillance de l'activité de la session avec Amazon EventBridge (console) .

    Note

    La journalisation n'est pas disponible pourSession Managerqui se connectent via le transfert de port ou SSH. Cela est dû au fait que SSH crypte toutes les données de session, etSession Managersert uniquement de tunnel pour les connexions SSH.

À qui est destiné Session Manager ?

  • À tout client AWS qui souhaite améliorer son niveau de sécurité et d'audit, réduire ses coûts opérationnels en centralisant le contrôle d'accès aux instances et réduire l'accès aux instances entrantes.

  • Les experts en sécurité de l'information qui souhaitent surveiller et suivre l'accès aux instances et leur activité, fermer les ports entrants sur les instances ou autoriser les connexions à des instances sans adresse IP publique.

  • Les administrateurs qui veulent accorder et révoquer des accès à partir d'un point central, et fournir aux utilisateurs une solution unique pour Linux,macOS, etWindows Serverinstances.

  • Les utilisateurs qui souhaitent se connecter à une instance en un seul clic depuis le navigateur ouAWS CLIsans avoir à fournir des clés SSH.

Quelles sont les principales fonctionnalités Session Manager ?

  • Prise en charge deWindows Server, Linux etmacOSInstances

    Session Managervous permet d'établir des connexions sécurisées à vos instances Amazon Elastic Compute Cloud (EC2), instances sur site et machines virtuelles (VM). Pour obtenir une liste des types de systèmes d'exploitation pris en charge, consultezConfiguration d Session Manager.

    Note

    La prise en charge de Session Manager pour les serveurs sur site est assurée pour le niveau des instances avancées uniquement. Pour plus d'informations, consultez Activation du niveau d'instances avancées.

  • Accès à la console, à l'interface de ligne de commande et au kit SDKSession ManagerCapacités

    Vous pouvez utiliser les Session Manager de l'une des façons suivantes :

    LeAWS Systems Managerconsoleinclut l'accès à tous lesSession ManagerFonctions pour les administrateurs et les utilisateurs finaux. Vous pouvez effectuer n'importe quelle tâche liée à vos sessions via la console Systems Manager.

    La console Amazon EC2 permet aux utilisateurs finaux de se connecter aux instances EC2 pour lesquelles des autorisations de session leur ont été accordées.

    L'AWS CLI inclut l'accès aux fonctionnalités Session Manager pour les utilisateurs finaux. Vous pouvez démarrer une session, afficher la liste des sessions et mettre fin définitivement à une session à l'aide de l'AWS CLI.

    Note

    Pour utiliser le pluginAWS CLIPour exécuter des commandes de session, vous devez utiliser la version 1.16.12 de l'interface de ligne de commande (ou une version ultérieure), et vous devez avoir installé l'Session Managersur votre machine locale. Pour plus d'informations, consultez (Facultatif) Installer l’Session Managerpour le plug-inAWS CLI.

    LeSession ManagerKIT DE DÉVELOPPEMENT LOGICIELse compose de bibliothèques et d'exemples de code qui permettent aux développeurs d'applications de créer des applications frontales, telles que des shells personnalisés ou des portails en libre-service pour les utilisateurs internes qui utilisent de façon nativeSession Managerpour se connecter aux instances. Les développeurs et les partenaires peuvent intégrer Session Manager à leurs outils côté client ou à leurs flux de travail d'automatisation à l'aide des API Session Manager. Vous pouvez même développer des solutions personnalisées.

  • Contrôle d'accès IAM

    L'utilisation des stratégies IAM vous permet de contrôler quels membres de votre organisation peuvent démarrer des sessions sur les instances et à quelles instances ils peuvent accéder. Vous pouvez également fournir un accès temporaire à vos instances. Par exemple, vous pouvez accorder à un ingénieur de garde (ou à un groupe d'ingénieurs de garde) l'accès aux serveurs de production uniquement pendant la durée de leur service.

  • Prise en charge de la capacité de journalisation et d'audit

    Session Manageroffre des fonctionnalités d'historique de session de journalisation et d'audit dans votre Compte AWS grâce à l'intégration d'un certain nombre d'autresAWSServices . Pour de plus amples informations, veuillez consulter Audit d'activité de session et Journalisation de l'activité.

  • Profils de shell configurables

    Session Managervous propose des options pour configurer les préférences au sein des sessions. Ces profils personnalisables vous permettent de définir des préférences telles que les préférences de shell, les variables d'environnement, les répertoires de travail et l'exécution de plusieurs commandes au démarrage d'une session.

  • Prise en charge du chiffrement des données clés des clients

    Vous pouvez configurerSession ManagerPour chiffrer les journaux des données de session que vous envoyez à un compartiment Amazon Simple Storage Service (Amazon S3) ou diffusez à un groupe de journaux CloudWatch Logs. Vous pouvez également configurer Session Manager pour chiffrer davantage les données transmises entre les ordinateurs clients et vos instances pendant vos sessions. Pour plus d'informations, consultezJournalisation de l'activitéandConfigurer les préférences de session.

  • AWS PrivateLink Prise en charge des instances sans adresse IP publique

    Vous pouvez également configurer des points de terminaison VPC pour Systems Manager à l'aide de AWS PrivateLink pour sécuriser davantage vos sessions. AWS PrivateLink limite l'ensemble du trafic réseau entre vos instances gérées, Systems Manager et Amazon EC2 au réseau Amazon. Pour de plus amples informations, veuillez consulter(Facultatif) Créer un point de terminaison de VPC.

  • Tunnelisation

    Dans une session, utilisez un type de sessionAWS Systems Manager(SSM) pour tunneliser le trafic, tel que http ou un protocole personnalisé, entre un port local sur un ordinateur client et un port distant sur une instance.

  • Commandes interactives

    Créez un document SSM de type session qui utilise une session pour exécuter de manière interactive une seule commande, ce qui vous permet de gérer les opérations pouvant être effectuées par les utilisateurs sur une instance.

Qu'est-ce qu'une session ?

Une session est une connexion établie à une instance en utilisantSession Manager. Les sessions sont basées sur un canal de communication bidirectionnel sécurisé entre le client (vous) et l'instance gérée à distance qui diffuse les entrées et les sorties pour les commandes. Le trafic entre un client et une instance gérée est chiffré à l'aide de TLS 1.2, et les demandes de création de la connexion sont chiffrées à l'aide de Sigv4. Cette communication bidirectionnelle permet un accès interactif bash et PowerShell aux instances. Vous pouvez également utiliser unAWS Key Management Service(AWS KMS) pour chiffrer davantage les données au-delà du chiffrement TLS par défaut.

Supposons par exemple que John est un ingénieur de garde dans votre service informatique. Il reçoit la notification d'un problème qui lui exige de se connecter à distance à une instance. Il peut s'agir par exemple d'une panne qui nécessite d'être réparée, ou d'une directive pour modifier une option de configuration simple sur une instance. Utilisation de l’AWS Systems Manager, la console Amazon EC2 ou le manuelAWS CLIJohn démarre une session qui le connecte à l'instance, exécute les commandes nécessaires sur l'instance afin de réaliser la tâche, puis met fin à la session.

Lorsque John envoie la première commande pour démarrer la session, le service Session Manager authentifie son ID, vérifie les autorisations qui lui ont été accordées par une stratégie IAM, vérifie les paramètres de configuration (par exemple, les limites autorisées pour les sessions), et envoie un message à l'SSM Agent pour ouvrir la connexion bidirectionnelle. Une fois la connexion établie et après que John ait saisi la commande suivante, le résultat de la commande de l'SSM Agent est chargé vers ce canal de communication et renvoyé vers son ordinateur local.