Passaggio 8: (Facoltativo) Consentire e controllare le autorizzazioni per le SSH connessioni tramite Session Manager - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio 8: (Facoltativo) Consentire e controllare le autorizzazioni per le SSH connessioni tramite Session Manager

Puoi consentire agli utenti del tuo account Account AWS di utilizzare il comando AWS Command Line Interface (AWS CLI) per stabilire connessioni Secure Shell (SSH) ai nodi gestiti utilizzando AWS Systems Manager Session Manager. Gli utenti che si connettono utilizzando SSH possono anche copiare file tra i computer locali e i nodi gestiti utilizzando Secure Copy Protocol (SCP). Puoi usare questa funzionalità per connetterti ai nodi gestiti senza aprire porte in entrata o gestire host bastion.

Dopo aver consentito SSH le connessioni, puoi utilizzare le politiche AWS Identity and Access Management (IAM) per consentire o negare esplicitamente a utenti, gruppi o ruoli di effettuare SSH connessioni utilizzando Session Manager.

Nota

La registrazione non è disponibile per Session Manager sessioni che si connettono tramite port forwarding o. SSH Questo perché SSH crittografa tutti i dati della sessione e Session Manager funge solo da tunnel per le SSH connessioni.

Consentire SSH connessioni per Session Manager

Utilizza la procedura seguente per consentire il passaggio SSH delle connessioni Session Manager su un nodo gestito.

Per consentire SSH connessioni per Session Manager
  1. Sul nodo gestito a cui desideri consentire le SSH connessioni, procedi come segue:

  2. Sul computer locale da cui desideri connetterti a un nodo gestito utilizzandoSSH, procedi come segue:

    • Assicurati che la versione 1.1.23.0 o successiva di Session Manager il plugin è installato.

      Per informazioni sull'installazione di Session Manager plugin, vediInstalla il Session Manager plugin per AWS CLI.

    • Aggiorna il file di SSH configurazione per consentire l'esecuzione di un comando proxy che avvia un Session Manager sessione e trasferimento di tutti i dati tramite la connessione.

      Linux e macOS

      Suggerimento

      Il file SSH di configurazione si trova in genere in~/.ssh/config.

      Aggiungere quanto segue al file di configurazione sul computer locale.

      # SSH over Session Manager host i-* mi-* ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"

      Windows

      Suggerimento

      Il file SSH di configurazione si trova in genere inC:\Users\<username>\.ssh\config.

      Aggiungere quanto segue al file di configurazione sul computer locale.

      # SSH over Session Manager host i-* mi-* ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
    • Crea o verifica di disporre di un certificato Privacy Enhanced Mail (un PEM file), o almeno di una chiave pubblica, da utilizzare per stabilire connessioni ai nodi gestiti. Questa deve essere una chiave già associata al nodo gestito. Le autorizzazioni del file di chiavi private devono essere impostate in modo che tu sia l'unico a poterlo leggere. Puoi utilizzare il seguente comando per impostare le autorizzazioni del file di chiavi private in modo che tu sia l'unico a poterlo leggere.

      chmod 400 <my-key-pair>.pem

      Ad esempio, per un'istanza Amazon Elastic Compute Cloud (AmazonEC2), il file key pair creato o selezionato al momento della creazione dell'istanza. (Specifichi il percorso del certificato o della chiave come parte del comando per avviare una sessione. Per informazioni sull'avvio di una sessione utilizzandoSSH, vedereAvvio di una sessione (SSH).)

Controllo delle autorizzazioni degli utenti per le SSH connessioni tramite Session Manager

Dopo aver abilitato SSH le connessioni tramite Session Manager su un nodo gestito, è possibile utilizzare IAM le policy per consentire o negare a utenti, gruppi o ruoli la possibilità di stabilire SSH connessioni tramite Session Manager.

Per utilizzare una IAM politica per consentire SSH le connessioni Session Manager
  • Utilizzare una delle opzioni seguenti:

    • Opzione 1: apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

      Nel riquadro di navigazione, scegli Politiche, quindi aggiorna la politica di autorizzazione per l'utente o il ruolo tramite cui desideri consentire l'avvio SSH delle connessioni Session Manager.

      Ad esempio, aggiungere il seguente elemento alla policy di avvio rapido creata in Politiche Quickstart per gli utenti finali per Session Manager. Sostituisci ciascuno example resource placeholder con le tue informazioni.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": [ "arn:aws:ec2:region:account-id:instance/instance-id", "arn:aws:ssm:*:*:document/AWS-StartSSHSession" ] } ] }
    • Opzione 2: allega una politica in linea a una politica utente utilizzando il AWS Management Console, il AWS CLI, o il AWS API.

      Utilizzando il metodo di vostra scelta, allegate la dichiarazione di politica di cui all'Opzione 1 alla politica per un AWS utente, gruppo o ruolo.

      Per informazioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'IAMutente.

Utilizzare una IAM politica per negare le connessioni tramite SSH Session Manager
  • Utilizzare una delle opzioni seguenti:

    • Opzione 1: apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/. Nel riquadro di navigazione, scegli Politiche, quindi aggiorna la politica di autorizzazione per l'utente o il ruolo da bloccare dall'avvio Session Manager sessioni.

      Ad esempio, aggiungere il seguente elemento alla policy di avvio rapido creata in Politiche Quickstart per gli utenti finali per Session Manager.

      { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ssm:StartSession", "Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession" } ] }
    • Opzione 2: allega una politica in linea a una politica utente utilizzando il AWS Management Console, il AWS CLI, o il AWS API.

      Utilizzando il metodo di vostra scelta, allegate la dichiarazione di politica di cui all'Opzione 1 alla politica per un AWS utente, gruppo o ruolo.

      Per informazioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'IAMutente.