Passaggio 8: (Facoltativo) Consenti e controlla le autorizzazioni per le connessioni SSH tramite Session Manager

Puoi consentire agli utenti del tuo account Account AWS di utilizzare il AWS Command Line Interface (AWS CLI) per stabilire connessioni Secure Shell (SSH) ai nodi gestiti utilizzando AWS Systems Manager Session Manager. Gli utenti che si connettono tramite SSH possono anche copiare file tra le loro macchine locali e i nodi gestiti utilizzando Secure Copy Protocol (SCP). È possibile usare questa funzionalità per connetterti ai nodi gestiti senza aprire porte in entrata o gestire host bastion.

Dopo aver consentito le connessioni SSH, puoi utilizzare le policy AWS Identity and Access Management (IAM) per consentire o negare esplicitamente a utenti, gruppi o ruoli di effettuare connessioni SSH utilizzando Session Manager.

Nota

La registrazione non è disponibile per Session Manager sessioni che si connettono tramite port forwarding o SSH. Questo perché SSH crittografa tutti i dati della sessione e Session Manager funge solo da tunnel per le connessioni SSH.

Consentire connessioni SSH per Session Manager

Usa i seguenti passaggi per consentire le connessioni SSH tramite Session Manager su un nodo gestito.

Per consentire connessioni SSH per Session Manager

1. Nel nodo gestito per cui si desidera permettere le connessioni SSH, procedere nel modo seguente:

   • Accertarsi che SSH sia in esecuzione sul nodo gestito. (È possibile chiudere le porte in entrata sul nodo.)

   • Assicurati che SSM Agent la versione 2.3.672.0 o successiva è installata sul nodo gestito.

     Per informazioni sull'installazione o l'aggiornamento SSM Agent su un nodo gestito, consulta i seguenti argomenti:

     • Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per Windows Server.

     • Installazione e disinstallazione manuale SSM Agent su EC2 istanze per Linux

     • Installazione e disinstallazione manuale SSM Agent su EC2 istanze per macOS

     • Come installare SSM Agent su nodi Windows ibridi

     • Come installare SSM Agent su nodi Linux ibridi

     Nota

     Per utilizzare Session Manager con server locali, dispositivi periferici e macchine virtuali (VMs) attivati come nodi gestiti, devi utilizzare il livello delle istanze avanzate. Per ulteriori informazioni sulle istanze avanzate, consulta Configurazione dei livelli di istanza.

2. Sul computer locale da cui si desidera connettersi a un nodo gestito tramite SSH, procedi nel modo seguente:

   • Assicurati che la versione 1.1.23.0 o successiva di Session Manager il plugin è installato.

     Per informazioni sull'installazione di Session Manager plugin, vediInstallazione del plugin Session Manager per la AWS CLI.

   • Aggiorna il file di configurazione SSH per consentire l'esecuzione di un comando proxy che avvia un Session Manager sessione e trasferimento di tutti i dati tramite la connessione.

     Linux e macOS

     Suggerimento

     Il file di configurazione SSH si trova in genere nel percorso ~/.ssh/config.

     Aggiungere quanto segue al file di configurazione sul computer locale.

     # SSH over Session Manager
     Host i-* mi-*
         ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"
         User ec2-user

     Windows

     Suggerimento

     Il file di configurazione SSH si trova in genere nel percorso C:\Users\<username>\.ssh\config.

     Aggiungere quanto segue al file di configurazione sul computer locale.

     # SSH over Session Manager
     Host i-* mi-*
         ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"

   • Creare o verificare di disporre di un certificato Privacy Enhanced Mail Certificate (un file PEM) o almeno una chiave pubblica, da utilizzare quando si stabiliscono connessioni a nodi gestiti. Questa deve essere una chiave già associata al nodo gestito. Le autorizzazioni del file di chiavi private devono essere impostate in modo che tu sia l'unico a poterlo leggere. È possibile utilizzare il seguente comando per impostare le autorizzazioni del file di chiavi private in modo che tu sia l'unico a poterlo leggere.

     chmod 400 <my-key-pair>.pem

     Ad esempio, per un'istanza Amazon Elastic Compute Cloud (Amazon EC2), il file key pair creato o selezionato al momento della creazione dell'istanza. (Specificare il percorso al certificato o alla chiave come parte del comando per avviare una sessione. Per informazioni sull'avvio di una sessione tramite SSH, consultare ) Avvio di una sessione (SSH).)

Controllo delle autorizzazioni degli utenti per le connessioni SSH tramite Session Manager

Dopo aver abilitato le connessioni SSH tramite Session Manager su un nodo gestito, puoi utilizzare le policy IAM per consentire o negare a utenti, gruppi o ruoli la possibilità di effettuare connessioni SSH tramite Session Manager.

Utilizzare una policy IAM per consentire le connessioni SSH tramite Session Manager

• Utilizzare una delle opzioni seguenti:

  • Opzione 1: apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

    Nel riquadro di navigazione, scegli Politiche, quindi aggiorna la politica di autorizzazione per l'utente o il ruolo tramite cui desideri consentire l'avvio di connessioni SSH Session Manager.

    Ad esempio, aggiungere il seguente elemento alla policy di avvio rapido creata in Policy di avvio rapido per utenti finali per Session Manager. Sostituisci ogni example resource placeholder con le tue informazioni.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "ssm:StartSession",
                "Resource": [
                    "arn:aws:ec2:region:account-id:instance/instance-id",
                    "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
                ]
            }
        ]
    }

  • Opzione 2: collega una politica in linea a una politica utente utilizzando l' AWS Management Console, l'o l' AWS CLI API. AWS

    Utilizzando il metodo che preferisci, allega la dichiarazione sulla politica dell'Opzione 1 alla politica per un AWS utente, gruppo o ruolo.

    Per informazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM nella Guida per l'utente di IAM.

Per utilizzare una policy IAM per negare le connessioni SSH tramite Session Manager

• Utilizzare una delle opzioni seguenti:

  • Opzione 1: apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/ Nel riquadro di navigazione, scegli Politiche, quindi aggiorna la politica di autorizzazione per l'utente o il ruolo da bloccare Session Manager sessioni.

    Ad esempio, aggiungere il seguente elemento alla policy di avvio rapido creata in Policy di avvio rapido per utenti finali per Session Manager.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "VisualEditor1",
                "Effect": "Deny",
                "Action": "ssm:StartSession",
                "Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
            }
        ]
    }

  • Opzione 2: collega una politica in linea a una politica utente utilizzando l' AWS Management Console AWS CLI, la o l' AWS API.

    Utilizzando il metodo che preferisci, allega la dichiarazione sulla politica dell'Opzione 1 alla politica per un AWS utente, gruppo o ruolo.

    Per informazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM nella Guida per l'utente di IAM.