Fase 3: controllo dell'accesso utente della sessione alle istanze - AWS Systems Manager

Fase 3: controllo dell'accesso utente della sessione alle istanze

Il AWS Systems Manager di Session Manager consente di concedere e revocare l'accesso degli utenti alle istanze in modo centralizzato. Utilizzando le policy AWS Identity and Access Management (IAM), puoi controllare a quali istanze possono connettersi utenti o gruppi specifici e quali operazioni API di Session Manager possono eseguire sulle istanze a cui hanno accesso.

Informazioni sui formati ARN degli ID di sessione

Le policy IAM per l'accesso a Session Manager utilizzano variabili per i nomi utente come parte degli ID di sessione. Gli ID di sessione, a loro volta, vengono utilizzati negli Amazon Resource Name (ARN) di sessione per controllare gli accessi. Gli ARN di sessione hanno il formato seguente:

arn:aws:ssm:region-id:account-id:session/session-id

Ad esempio:

arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE

Puoi utilizzare due policy IAM di default fornite da AWS, una per gli utenti finali e una per gli amministratori, per concedere le autorizzazioni per le attività di Session Manager. In alternativa, puoi creare policy IAM personalizzate adatte ai tuoi specifici requisiti di autorizzazione.

Per ulteriori informazioni sull'utilizzo delle variabili nelle policy IAM, consulta Elementi delle policy IAM: variabili.

Per informazioni su come creare policy e collegarle a utenti o gruppi IAM, consulta Creazione di policy IAM e Aggiunta e rimozione di policy IAM nella Guida per l’utente IAM.