Attivazione e disabilitazione della registrazione delle sessioni - AWS Systems Manager
Streaming dei dati delle sessioni tramite Amazon CloudWatch Logs (console)Registrazione dei dati delle sessioni mediante Amazon S3 (console)Registrazione dei dati della sessione tramite Amazon CloudWatch Logs (console)Disabilitazione della Session Manager registrazione in CloudWatch Logs e Amazon S3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attivazione e disabilitazione della registrazione delle sessioni

La registrazione delle sessioni registra le informazioni sulle sessioni correnti e completate nella console Systems Manager. È inoltre possibile registrare i dettagli sui comandi eseguiti durante le sessioni in. Account AWS La registrazione delle sessioni consente di effettuare le seguenti operazioni:

  • Creare e memorizzare i log delle sessioni a scopo di archiviazione.

  • Generare un report che mostra i dettagli di ogni connessione effettuata ai tuoi nodi gestiti tramite il Session Manager negli ultimi 30 giorni.

  • Genera notifiche per la registrazione della sessione nelle tue notifiche Account AWS, come le notifiche di Amazon Simple Notification Service (AmazonSNS).

  • Avvia automaticamente un'altra azione su una AWS risorsa come risultato di azioni eseguite durante una sessione, come l'esecuzione di una AWS Lambda funzione, l'avvio di una AWS CodePipeline pipeline o l'esecuzione di un documento. AWS Systems Manager Run Command

Importante

Prendere nota dei seguenti requisiti e limitazioni per Session Manager.

  • Session Manager registra i comandi immessi e il loro output durante una sessione a seconda delle preferenze di sessione. Per evitare che i dati sensibili, ad esempio le password, vengano visualizzati nei registri di sessione, è consigliabile utilizzare i seguenti comandi quando si immettono dati sensibili durante una sessione.

    Linux & macOS
    stty -echo; read passwd; stty echo;
    Windows 
    $Passwd = Read-Host -AsSecureString

  • Se utilizzi Windows Server 2012 o versione precedente, i dati nei log potrebbero non essere formattati in modo ottimale. Ti consigliamo di usare Windows Server 2012 R2 o versione successiva per ottimizzare il formato dei log.

  • Se utilizzi i nodi gestiti Linux o macOS, assicurati che sia installata l'utilità schermo. In caso contrario, i dati di registro potrebbero essere troncati. Su Amazon Linux 1, Amazon Linux 2, AL2 023 eUbuntu Server, la screen utility è installata per impostazione predefinita. Per installare lo schermo manualmente, a seconda della versione di Linux, esegui sudo yum install screen o sudo apt-get install screen.

  • La registrazione non è disponibile per Session Manager le sessioni che si connettono tramite port forwarding o. SSH Questo perché SSH crittografa tutti i dati della sessione e funge Session Manager solo da tunnel per le connessioni. SSH

Per ulteriori informazioni sulle autorizzazioni necessarie per utilizzare Amazon S3 o CloudWatch Amazon Logs per la registrazione dei dati della sessione, consulta. Creazione di un IAM ruolo con autorizzazioni per Amazon S3 Session Manager CloudWatch e Logs (console)

Per ulteriori informazioni sulle opzioni di controllo e registrazione per il Session Manager, consulta i seguenti argomenti.

Streaming dei dati delle sessioni tramite Amazon CloudWatch Logs (console)

Puoi inviare un flusso continuo di log dei dati di sessione ad Amazon CloudWatch Logs. I dettagli essenziali, come i comandi che un utente ha eseguito in una sessione, l'ID dell'utente che ha eseguito i comandi e i timestamp di quando i dati della sessione vengono trasmessi in streaming a CloudWatch Logs, vengono inclusi durante lo streaming dei dati della sessione. Durante lo streaming dei dati della sessione, i registri sono JSON formattati in modo da facilitare l'integrazione con le soluzioni di registrazione esistenti. I dati della sessione di streaming non sono supportati per i comandi interattivi.

Nota

Per trasmettere i dati di sessione da nodi gestiti Windows Server, è necessario disporre di PowerShell 5.1 o versione successiva installata. Per impostazione predefinita, Windows Server 2016 e versioni successive hanno installato la versione di PowerShell richiesta. Tuttavia, Windows Server 2012 e 2012 R2 non hanno la versione di PowerShell richiesta installata per impostazione predefinita. Se PowerShell non è stato ancora aggiornato nei nodi gestiti Windows Server 2012 o 2012 R2, è possibile farlo utilizzando Run Command. Per informazioni sull'aggiornamento di PowerShell utilizzando Run Command, consulta Aggiornamento tramite PowerShell Run Command.

Importante

Se hai configurato l'impostazione dei criteri di PowerShell trascrizione sui nodi Windows Server gestiti, non sarai in grado di trasmettere in streaming i dati della sessione.

Per eseguire lo streaming dei dati della sessione utilizzando Amazon CloudWatch Logs (console)

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Session Manager.

  3. Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).

  4. Seleziona la casella di controllo accanto a Abilita nella sezione CloudWatch Registrazione.

  5. Seleziona l' opzione Registri delle sessioni di stream.

  6. (Consigliato) Seleziona la casella di controllo accanto a Consenti solo gruppi di CloudWatch log crittografati. Se questa opzione è attivata, i dati di log vengono crittografati utilizzando la chiave di crittografia lato server specificata per il gruppo di log. Se non desideri crittografare i dati di registro inviati ai CloudWatch registri, deseleziona la casella di controllo. È inoltre necessario deselezionare la casella di controllo se la crittografia non è abilitata nel gruppo di registro.

  7. Per CloudWatch i log, per specificare il gruppo di log CloudWatch Logs esistente nel gruppo in cui Account AWS caricare i log delle sessioni, seleziona una delle seguenti opzioni:

    • Enter a bucket name in the text box (Immetti un nome di bucket nella casella di testo): immettere il nome di un gruppo di registro che è già stato creato nell'account per archiviare i dati di registro delle sessioni.

    • Choose a log group from the list (Scegli un gruppo di registro nell'elenco): selezionare un gruppo di registro che è già stato creato nel proprio account per archiviare i dati di registro delle sessioni.

  8. Seleziona Salva.

Registrazione dei dati delle sessioni mediante Amazon S3 (console)

Puoi scegliere di archiviare i dati di registro delle sessioni in un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta a scopi di debug e risoluzione dei problemi. L'opzione di default comporta l'invio dei registri a un bucket Amazon S3 crittografato. La crittografia viene eseguita utilizzando la chiave specificata per il bucket, una AWS KMS key chiave Amazon S3 Server-Side Encryption SSE () (-256). AES

Importante

Quando utilizzi bucket in stile hosting virtuale con Secure Sockets Layer (SSL), il certificato SSL wildcard corrisponde solo ai bucket che non contengono periodi. Per ovviare a questo problema, usa HTTP o scrivi la tua logica di verifica dei certificati. Consigliamo di non utilizzare punti (".") nei nomi dei bucket quando si utilizzano bucket in stile hosting virtuale.

Crittografia bucket Amazon S3

Per inviare i registri al tuo bucket Amazon S3 con la crittografia, nel bucket deve essere abilitata la crittografia. Per ulteriori informazioni sulla crittografia del bucket Amazon S3, consulta Crittografia di default di Amazon S3 per bucket S3.

Chiave gestita dal cliente

Se utilizzi una KMS chiave gestita personalmente per crittografare il tuo bucket, il profilo di istanza allegato alle IAM istanze deve disporre di autorizzazioni esplicite per leggere la chiave. Se usi un Chiave gestita da AWS, l'istanza non richiede questa autorizzazione esplicita. Per ulteriori informazioni su come fornire al profilo dell'istanza l'accesso a utilizzare la chiave, consulta Consenti agli utenti della chiave di utilizzare la chiave nella Guida per sviluppatori AWS Key Management Service .

Segui questa procedura per configurare il Session Manager per archiviare i registri delle sessioni in un bucket Amazon S3.

Nota

Puoi anche utilizzare il AWS CLI per specificare o modificare il bucket Amazon S3 a cui vengono inviati i dati della sessione. Per informazioni, consultare Aggiornamento delle preferenze Session Manager (riga di comando).

Per registrare i dati delle sessioni mediante Amazon S3 (console)

  1. Apri la AWS Systems Manager console all'indirizzo. https://console.aws.amazon.com/systems-manager/

  2. Nel riquadro di navigazione, scegli Session Manager.

  3. Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).

  4. Selezionare la casella di controllo accanto a Abilitazione sotto Registrazione S3.

  5. (Opzione consigliata) Selezionare la casella di controllo accanto a Consenti solo bucket S3 crittografati. Se questa opzione è attivata, i dati di registro vengono crittografati utilizzando la chiave di crittografia lato server specificata per il bucket. Se non si desidera crittografare i dati di registro inviati a Amazon S3, deselezionare la casella di controllo. Se la crittografia non è abilitata nel bucket S3, è necessario anche deselezionare la casella di controllo.

  6. Per S3 bucket name (Nome bucket S3), selezionare una delle opzioni seguenti:

    Nota

    Consigliamo di non utilizzare punti (".") nei nomi dei bucket quando si utilizzano bucket in stile hosting virtuale. Per ulteriori informazioni su come formattare i nomi dei bucket Amazon S3, consulta Restrizioni e limitazioni dei bucket nella Guida per gli utenti di Amazon Simple Storage Service.

    • Choose a bucket name from the list (Scegli un bucket nell'elenco): selezionare un bucket Amazon S3 che è già stato creato nel proprio account per archiviare i dati di registro delle sessioni.

    • Enter a bucket name in the text box (Immetti un nome di bucket nella casella di testo): immettere il nome del bucket Amazon S3 che è già stato creato nell'account per archiviare i dati di registro delle sessioni.

  7. (Facoltativo) Per S3 key prefix (Prefisso della chiave S3), immettere il nome di una cartella nuova o esistente per archiviare i log nel bucket selezionato.

  8. Seleziona Salva.

Per ulteriori informazioni su Simple Storage Service (Amazon S3) e i bucket Amazon S3, consulta Guida per l'utente di Amazon Simple Storage Service e Guida per l'utente di Amazon Simple Storage Service.

Registrazione dei dati della sessione tramite Amazon CloudWatch Logs (console)

Con Amazon CloudWatch Logs, puoi monitorare, archiviare e accedere a file di registro da diversi AWS servizi file. Puoi inviare i dati dei log di sessione a un gruppo di log CloudWatch Logs per scopi di debug e risoluzione dei problemi. L'opzione predefinita prevede che i dati di registro vengano inviati con crittografia utilizzando la KMS chiave dell'utente, ma è possibile inviare i dati al gruppo di log con o senza crittografia.

Segui questi passaggi AWS Systems Manager Session Manager per configurare l'invio dei dati del registro delle sessioni a un gruppo di CloudWatch log dei registri al termine delle sessioni.

Nota

È inoltre possibile utilizzare il AWS CLI per specificare o modificare il gruppo di log CloudWatch Logs a cui vengono inviati i dati della sessione. Per informazioni, consultare Aggiornamento delle preferenze Session Manager (riga di comando).

Per registrare i dati della sessione utilizzando Amazon CloudWatch Logs (console)

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Session Manager.

  3. Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).

  4. Seleziona la casella di controllo accanto a Abilita nella sezione CloudWatch Registrazione.

  5. Seleziona l'opzione Carica registro delle sessioni.

  6. (Consigliato) Seleziona la casella di controllo accanto a Consenti solo gruppi di CloudWatch log crittografati. Se questa opzione è attivata, i dati di log vengono crittografati utilizzando la chiave di crittografia lato server specificata per il gruppo di log. Se non desideri crittografare i dati di registro inviati ai CloudWatch registri, deseleziona la casella di controllo. È inoltre necessario deselezionare la casella di controllo se la crittografia non è abilitata nel gruppo di registro.

  7. Per CloudWatch i log, per specificare il gruppo di log CloudWatch Logs esistente nel gruppo in cui Account AWS caricare i log delle sessioni, seleziona una delle seguenti opzioni:

    • Choose a log group from the list (Scegli un gruppo di log nell'elenco): selezionare un gruppo di log che è già stato creato nel proprio account per archiviare i dati di log delle sessioni.

    • Enter a bucket name in the text box (Immetti un nome di bucket nella casella di testo): immettere il nome di un gruppo di log che è già stato creato nell'account per archiviare i dati di log delle sessioni.

  8. Seleziona Salva.

Per ulteriori informazioni sull'utilizzo dei CloudWatch log, consulta la Amazon CloudWatch Logs User Guide.

Disabilitazione della Session Manager registrazione in CloudWatch Logs e Amazon S3

È possibile utilizzare la console Systems Manager o AWS CLI disabilitare la registrazione delle sessioni nel proprio account.

Per disabilitare la registrazione delle sessioni (console)

  1. Aprire la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Session Manager.

  3. Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).

  4. Per disabilitare CloudWatch la registrazione, nella sezione CloudWatch Registrazione, deseleziona la casella di controllo Abilita.

  5. Per disabilitare la registrazione di S3, nella sezione Registrazione di S3, deseleziona la casella di controllo Abilita.

  6. Seleziona Salva.

Per disabilitare la registrazione delle sessioni ()AWS CLI

Per disabilitare la registrazione delle sessioni utilizzando il AWS CLI, seguire le istruzioni riportate in. Aggiornamento delle preferenze Session Manager (riga di comando)

Nel JSON file, assicurati che gli cloudWatchLogGroupName input s3BucketName e non contengano valori. Per esempio: 

"inputs": {
        "s3BucketName": "",
        ...
        "cloudWatchLogGroupName": "",
        ...
    }

In alternativa, potete rimuovere tutti gli cloudWatch* input S3* e dal JSON file per disabilitare la registrazione.