Streaming dei dati delle sessioni tramite Amazon CloudWatch Logs (console)Registrazione dei dati delle sessioni mediante Amazon S3 (console)Registrazione dei dati della sessione tramite Amazon CloudWatch Logs (console)Disabilitazione della registrazione Session Manager delle attività in CloudWatch Logs e Amazon S3

Abilitazione e disabilitazione della registrazione delle attività di sessione

Oltre a fornire informazioni sulle sessioni correnti e completate nella console Systems Manager, Session Manager offre le opzioni per il controllo e la registrazione dell'attività delle sessioni nel tuo account Account AWS. Ciò ti permette di fare quanto segue:

Creare e memorizzare i log delle sessioni a scopo di archiviazione.
Generare un report che mostra i dettagli di ogni connessione effettuata ai tuoi nodi gestiti tramite il Session Manager negli ultimi 30 giorni.
Genera notifiche sull'attività della sessione nelle tue notifiche Account AWS, come le notifiche di Amazon Simple Notification Service (Amazon SNS).
Avvia automaticamente un'altra azione su una AWS risorsa come risultato dell'attività della sessione, ad esempio l'esecuzione di una AWS Lambda funzione, l'avvio di una AWS CodePipeline pipeline o l'esecuzione di un documento. AWS Systems Manager Run Command

Importante

Prendere nota dei seguenti requisiti e limitazioni per Session Manager.

Session Manager registra i comandi immessi e il loro output durante una sessione a seconda delle preferenze di sessione. Per evitare che i dati sensibili, ad esempio le password, vengano visualizzati nei registri di sessione, è consigliabile utilizzare i seguenti comandi quando si immettono dati sensibili durante una sessione.
Linux & macOS
```
stty -echo; read passwd; stty echo;
```
Windows
```
$Passwd = Read-Host -AsSecureString
```
Se utilizzi Windows Server 2012 o versione precedente, i dati nei log potrebbero non essere formattati in modo ottimale. Ti consigliamo di usare Windows Server 2012 R2 o versione successiva per ottimizzare il formato dei log.
Se utilizzi i nodi gestiti Linux o macOS, assicurati che sia installata l'utilità schermo. In caso contrario, i dati di registro potrebbero essere troncati. Su Amazon Linux 1, Amazon Linux 2, AL2023 eUbuntu Server, la screen utility è installata per impostazione predefinita. Per installare lo schermo manualmente, a seconda della versione di Linux, esegui sudo yum install screen o sudo apt-get install screen.
La registrazione non è disponibile per sessioni Session Manager che si connettono tramite port forwarding o SSH. Questo perché SSH crittografa tutti i dati di sessione e Session Manager serve solo come tunnel per le connessioni SSH.

Per ulteriori informazioni sulle autorizzazioni necessarie per utilizzare Amazon S3 o CloudWatch Amazon Logs per la registrazione dei dati della sessione, consulta. Creazione di un ruolo IAM con autorizzazioni per Session Manager e Amazon S3 e CloudWatch Logs (console)

Per ulteriori informazioni sulle opzioni di controllo e registrazione per il Session Manager, consulta i seguenti argomenti.

Argomenti

Streaming dei dati delle sessioni tramite Amazon CloudWatch Logs (console)
Registrazione dei dati delle sessioni mediante Amazon S3 (console)
Registrazione dei dati della sessione tramite Amazon CloudWatch Logs (console)
Disabilitazione della registrazione Session Manager delle attività in CloudWatch Logs e Amazon S3

Streaming dei dati delle sessioni tramite Amazon CloudWatch Logs (console)

Puoi inviare un flusso continuo di log dei dati di sessione ad Amazon CloudWatch Logs. I dettagli essenziali, come i comandi che un utente ha eseguito in una sessione, l'ID dell'utente che ha eseguito i comandi e i timestamp di quando i dati della sessione vengono trasmessi in streaming a CloudWatch Logs, vengono inclusi durante lo streaming dei dati della sessione. Durante lo streaming dei dati di sessione, i registri sono formattati in JSON per consentire l'integrazione con le soluzioni di registrazione esistenti. I dati della sessione di streaming non sono supportati per i comandi interattivi.

Nota

Per trasmettere i dati di sessione da nodi gestiti Windows Server, è necessario disporre di PowerShell 5.1 o versione successiva installata. Per impostazione predefinita, Windows Server 2016 e versioni successive hanno installato la versione di PowerShell richiesta. Tuttavia, Windows Server 2012 e 2012 R2 non hanno la versione di PowerShell richiesta installata per impostazione predefinita. Se PowerShell non è stato ancora aggiornato nei nodi gestiti Windows Server 2012 o 2012 R2, è possibile farlo utilizzando Run Command. Per informazioni sull'aggiornamento di PowerShell utilizzando Run Command, consulta Aggiornamento tramite PowerShell Run Command.

Importante

Se hai configurato l'impostazione dei criteri di PowerShell trascrizione sui nodi Windows Server gestiti, non sarai in grado di trasmettere in streaming i dati della sessione.

Per eseguire lo streaming dei dati della sessione utilizzando Amazon CloudWatch Logs (console)

Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.
Nel riquadro di navigazione, scegli Session Manager.
Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).
Seleziona la casella di controllo accanto a Abilita nella sezione CloudWatch Registrazione.
Seleziona l' opzione Registri delle sessioni di stream.
(Consigliato) Seleziona la casella di controllo accanto a Consenti solo gruppi di CloudWatch log crittografati. Se questa opzione è attivata, i dati di log vengono crittografati utilizzando la chiave di crittografia lato server specificata per il gruppo di log. Se non desideri crittografare i dati di registro inviati ai CloudWatch registri, deseleziona la casella di controllo. È inoltre necessario deselezionare la casella di controllo se la crittografia non è abilitata nel gruppo di registro.
Per CloudWatch i log, per specificare il gruppo di log CloudWatch Logs esistente nel gruppo in cui Account AWS caricare i log delle sessioni, seleziona una delle seguenti opzioni:
- Enter a bucket name in the text box (Immetti un nome di bucket nella casella di testo): immettere il nome di un gruppo di registro che è già stato creato nell'account per archiviare i dati di registro delle sessioni.
- Choose a log group from the list (Scegli un gruppo di registro nell'elenco): selezionare un gruppo di registro che è già stato creato nel proprio account per archiviare i dati di registro delle sessioni.
Selezionare Salva.

Registrazione dei dati delle sessioni mediante Amazon S3 (console)

Puoi scegliere di archiviare i dati di registro delle sessioni in un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta a scopi di debug e risoluzione dei problemi. L'opzione di default comporta l'invio dei registri a un bucket Amazon S3 crittografato. La crittografia viene eseguita utilizzando la chiave specificata per il bucket, una AWS KMS key chiave Amazon S3 Server-Side Encryption (SSE) (AES-256).

Importante

Quando si utilizzano bucket in stile hosting virtuale con Secure Sockets Layer (SSL), il certificato jolly SSL confronta solo i bucket che non contengono punti. Per risolvere questo problema, utilizzare HTTP o scrivere una logica di verifica del certificato personalizzata. Consigliamo di non utilizzare punti (".") nei nomi dei bucket quando si utilizzano bucket in stile hosting virtuale.

Crittografia bucket Amazon S3

Per inviare i registri al tuo bucket Amazon S3 con la crittografia, nel bucket deve essere abilitata la crittografia. Per ulteriori informazioni sulla crittografia del bucket Amazon S3, consulta Crittografia di default di Amazon S3 per bucket S3.

Chiave gestita dal cliente

Se utilizzi una chiave KMS da te gestita per crittografare il tuo bucket, il profilo dell'istanza IAM collegato alle tue istanze deve disporre di autorizzazioni esplicite per leggere la chiave. Se utilizzi una Chiave gestita da AWS, l'istanza non richiede questa autorizzazione esplicita. Per ulteriori informazioni su come fornire al profilo dell'istanza l'accesso a utilizzare la chiave, consulta Consenti agli utenti della chiave di utilizzare la chiave nella Guida per sviluppatori AWS Key Management Service .

Segui questa procedura per configurare il Session Manager per archiviare i registri delle sessioni in un bucket Amazon S3.

Nota

Puoi anche utilizzare il AWS CLI per specificare o modificare il bucket Amazon S3 a cui vengono inviati i dati della sessione. Per informazioni, consulta Aggiornamento delle preferenze Session Manager (riga di comando).

Per registrare i dati delle sessioni mediante Amazon S3 (console)

Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.
Nel riquadro di navigazione, scegli Session Manager.
Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).
Selezionare la casella di controllo accanto a Abilitazione sotto Registrazione S3.
(Opzione consigliata) Selezionare la casella di controllo accanto a Consenti solo bucket S3 crittografati. Se questa opzione è attivata, i dati di registro vengono crittografati utilizzando la chiave di crittografia lato server specificata per il bucket. Se non si desidera crittografare i dati di registro inviati a Amazon S3, deselezionare la casella di controllo. Se la crittografia non è abilitata nel bucket S3, è necessario anche deselezionare la casella di controllo.
Per S3 bucket name (Nome bucket S3), selezionare una delle opzioni seguenti:

Nota
Consigliamo di non utilizzare punti (".") nei nomi dei bucket quando si utilizzano bucket in stile hosting virtuale. Per ulteriori informazioni su come formattare i nomi dei bucket Amazon S3, consulta Restrizioni e limitazioni dei bucket nella Guida per gli utenti di Amazon Simple Storage Service.
- Choose a bucket name from the list (Scegli un bucket nell'elenco): selezionare un bucket Amazon S3 che è già stato creato nel proprio account per archiviare i dati di registro delle sessioni.
- Enter a bucket name in the text box (Immetti un nome di bucket nella casella di testo): immettere il nome del bucket Amazon S3 che è già stato creato nell'account per archiviare i dati di registro delle sessioni.
(Facoltativo) Per S3 key prefix (Prefisso della chiave S3), immettere il nome di una cartella nuova o esistente per archiviare i log nel bucket selezionato.
Selezionare Salva.

Per ulteriori informazioni su Simple Storage Service (Amazon S3) e i bucket Amazon S3, consulta Guida per l'utente di Amazon Simple Storage Service e Guida per l'utente di Amazon Simple Storage Service.

Registrazione dei dati della sessione tramite Amazon CloudWatch Logs (console)

Con Amazon CloudWatch Logs, puoi monitorare, archiviare e accedere a file di registro da diversi Servizi AWS file. Puoi inviare i dati dei log di sessione a un gruppo di log CloudWatch Logs per scopi di debug e risoluzione dei problemi. L'opzione di default comporta l'invio dei dati di registro con la crittografia utilizzando la chiave , ma puoi trasmettere i dati al gruppo di registro con o senza crittografia.

Segui questi passaggi per configurare AWS Systems Manager Session Manager l'invio dei dati del registro di sessione a un gruppo di log di CloudWatch Logs al termine delle sessioni.

Nota

È inoltre possibile utilizzare il AWS CLI per specificare o modificare il gruppo di log CloudWatch Logs a cui vengono inviati i dati della sessione. Per informazioni, consulta Aggiornamento delle preferenze Session Manager (riga di comando).

Per registrare i dati della sessione utilizzando Amazon CloudWatch Logs (console)

Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.
Nel riquadro di navigazione, scegli Session Manager.
Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).
Seleziona la casella di controllo accanto a Abilita nella sezione CloudWatch Registrazione.
Seleziona l'opzione Carica registro delle sessioni.
(Consigliato) Seleziona la casella di controllo accanto a Consenti solo gruppi di CloudWatch log crittografati. Se questa opzione è attivata, i dati di log vengono crittografati utilizzando la chiave di crittografia lato server specificata per il gruppo di log. Se non desideri crittografare i dati di registro inviati ai CloudWatch registri, deseleziona la casella di controllo. È inoltre necessario deselezionare la casella di controllo se la crittografia non è abilitata nel gruppo di registro.
Per CloudWatch i log, per specificare il gruppo di log CloudWatch Logs esistente nel gruppo in cui Account AWS caricare i log delle sessioni, seleziona una delle seguenti opzioni:
- Choose a log group from the list (Scegli un gruppo di log nell'elenco): selezionare un gruppo di log che è già stato creato nel proprio account per archiviare i dati di log delle sessioni.
- Enter a bucket name in the text box (Immetti un nome di bucket nella casella di testo): immettere il nome di un gruppo di log che è già stato creato nell'account per archiviare i dati di log delle sessioni.
Selezionare Salva.

Per ulteriori informazioni sull'utilizzo dei CloudWatch log, consulta la Amazon CloudWatch Logs User Guide.

Disabilitazione della registrazione Session Manager delle attività in CloudWatch Logs e Amazon S3

È possibile utilizzare la console Systems Manager o AWS CLI disabilitare la registrazione delle attività di sessione nel proprio account.

Per disabilitare la registrazione delle attività di sessione (console)

Aprire la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.
Nel riquadro di navigazione, scegli Session Manager.
Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).
Per disabilitare CloudWatch la registrazione, nella sezione CloudWatch Registrazione, deseleziona la casella di controllo Abilita.
Per disabilitare la registrazione di S3, nella sezione Registrazione di S3, deseleziona la casella di controllo Abilita.
Selezionare Salva.

Per disabilitare la registrazione delle attività di sessione (AWS CLI)

Per disabilitare la registrazione delle attività di sessione utilizzando il AWS CLI, segui le istruzioni riportate in. Aggiornamento delle preferenze Session Manager (riga di comando)

Nel file JSON, assicurati che gli input s3BucketName e cloudWatchLogGroupName non contengano valori. Per esempio:


"inputs": {
        "s3BucketName": "",
        ...
        "cloudWatchLogGroupName": "",
        ...
    }

In alternativa, puoi rimuovere tutti gli input S3* e cloudWatch* dal file JSON per disabilitare la registrazione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Verifica dell'attività delle sessioni

Schema documento di sessione