Attività della sessione di registrazione - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attività della sessione di registrazione

Oltre a fornire informazioni sulle sessioni correnti e completate nella console Systems Manager, ilSession Managerfornisce le opzioni per la registrazione dell'attività di sessione nel Account AWS . Ciò ti permette di fare quanto segue:

  • Creare e memorizzare i log delle sessioni a scopo di archiviazione.

  • Generare un report che mostra i dettagli di ogni connessione effettuata alle tue istanze tramite il Session Manager negli ultimi 30 giorni.

  • Generare notifiche relative all'attività delle sessioni nel tuo Account AWS Ad esempio, notifiche Amazon Simple Notification Service (Amazon SNS).

  • Avviare automaticamente un'altra operazione su una risorsa AWS come risultato dell'attività della sessione, ad esempio l'esecuzione di una funzione AWS Lambda, l'avvio di una pipeline AWS CodePipeline o l'esecuzione di un documento AWS Systems Manager Run Command.

Importante

Prendere nota dei seguenti requisiti e limitazioni perSession Manager:

  • Session Managerregistra i comandi immessi e il loro output durante una sessione a seconda delle preferenze di sessione. Per evitare che i dati sensibili, ad esempio le password, vengano visualizzati nei registri di sessione, è consigliabile utilizzare i seguenti comandi quando si immettono dati sensibili durante una sessione.

    Linux & macOS
    stty -echo; read passwd; stty echo;
    Windows
    $Passwd = Read-Host -AsSecureString
  • Se utilizzi Windows Server 2012 o versione precedente, i dati nei log potrebbero non essere formattati in modo ottimale. Ti consigliamo di usare Windows Server 2012 R2 o versione successiva per ottimizzare il formato dei log.

  • Se usi Linux omacOSAccertarsi che sia installata l'utilità dello schermo. In caso contrario, i dati di log potrebbero essere troncati. Su Amazon Linux, Amazon Linux 2 e Ubuntu Server, l'utilità dello schermo è installata per impostazione predefinita. Per installare manualmente lo schermo, a seconda della versione di Linux, esegui osudo yum install screenosudo apt-get install screen.

  • La registrazione non è disponibile perSession Managersessioni che si connettono tramite port forwarding o SSH. Questo perché SSH crittografa tutti i dati di sessione eSession Managerserve solo come tunnel per le connessioni SSH.

Per ulteriori informazioni sulle autorizzazioni necessarie per utilizzare Amazon S3 o Amazon CloudWatch Logs per la registrazione dei dati delle sessioni, consulta laCreazione di un profilo dell'istanza con autorizzazioni perSession Managere Amazon S3 e CloudWatch Logs (console).

Per ulteriori informazioni sulle opzioni di registrazione per il, consulta i seguenti argomenti.Session Manager.

Streaming dei dati delle sessioni utilizzando Amazon CloudWatch Logs (console)

Puoi inviare un flusso continuo di log dei dati delle sessioni a Amazon CloudWatch Logs. I dettagli essenziali, ad esempio i comandi eseguiti da un utente in una sessione, l'ID dell'utente che ha eseguito i comandi e i timestamp per quando i dati della sessione vengono trasmessi a CloudWatch Logs, sono inclusi durante lo streaming dei dati della sessione. Durante lo streaming dei dati di sessione, i registri sono formattati in JSON per consentire l'integrazione con le soluzioni di registrazione esistenti. I dati della sessione di streaming non sono supportati per i comandi interattivi.

Nota

Per trasmettere i dati di sessione daWindows Server, è necessario disporre di PowerShell 5.1 o versione successiva. Per impostazione predefinita,Windows Server2016 e versioni successive hanno installato la versione di PowerShell richiesta. Tuttavia,Windows Server2012 e 2012 R2 non hanno la versione di PowerShell richiesta installata per impostazione predefinita. Se non hai ancora aggiornato PowerShell nellaWindows Serveristanze 2012 o 2012 R2, è possibile farlo utilizzandoRun Command. Per informazioni sull'aggiornamento di PowerShell tramiteRun Command, consultaAggiornare PowerShell utilizzandoRun Command.

Importante

Se disponi del pluginTrascrizione PowerShellimpostazione dei criteri configurata nelWindows Server, non sarà possibile eseguire lo streaming dei dati delle sessioni.

Per eseguire lo streaming dei dati di sessione utilizzando Amazon CloudWatch Logs (console)

  1. Aprire la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegliere Session Manager.

  3. Scegliere la scheda Preferences (Preferenze), quindi selezionare Edit (Modifica).

  4. Selezionare la casella di controllo accanto aAbilitazione diUNDERRegistrazione CloudWatch.

  5. SelezionaLog delle sessioniopzione.

  6. (Scelta consigliata) Selezionare la casella di controllo accanto aConsenti solo gruppi di log CloudWatch crittografati. Con questa opzione attivata, i dati di log vengono crittografati mediante la chiave di crittografia lato server specificata per il gruppo di log. Se non si desidera crittografare i dati di log inviati a LogCloudWatch Logs, deselezionare la casella di controllo. È inoltre necessario deselezionare la casella di controllo se la crittografia non è consentita nel gruppo di log.

  7. PerCloudWatch LogsPer specificare il gruppo di log CloudWatch Logs nel tuo Account AWS Per caricare i log delle sessioni su, seleziona una delle opzioni seguenti:

    • Enter a the text box (Immetti il nome di un gruppo di log nella casella di testo che è già stato creato nell'account per archiviare i dati di log delle sessioni.

    • Sfoglia i gruppi di log: Choose a log group che è già stato creato nel proprio account per archiviare i dati di log delle sessioni.

  8. Scegliere Save (Salva).

Registrazione dei dati delle sessioni mediante Amazon S3 (console)

Puoi decidere di archiviare i dati di log delle sessioni in un bucket Amazon Simple Storage Service (Amazon S3) a scopi di debug e risoluzione dei problemi. L'opzione di default prevede l'invio dei log a un bucket Amazon S3 crittografato. La crittografia viene eseguita utilizzando la chiave specificata per il bucket, sia unAWS KMS keyo una chiave Server Side Encryption (SSE) (AES-256).

Importante

Quando si utilizzano bucket in stile hosting virtuale con Secure Sockets Layer (SSL), il certificato jolly SSL confronta solo i bucket che non contengono punti. Per risolvere questo problema, utilizzare HTTP o scrivere una logica di verifica del certificato personalizzata. Consigliamo di non utilizzare punti («.») nei nomi dei bucket quando si utilizzano bucket in stile hosting virtuale.

Crittografia del Amazon S3

Per inviare i log al tuo bucket Amazon S3 con la crittografia, nel bucket deve essere consentita la crittografia. Per ulteriori informazioni sulla crittografia del bucket Amazon S3, consultaCrittografia predefinita di Amazon S3 per bucket S3.

Chiave gestita dal cliente

Se utilizzi una chiave di KMS da te gestita per crittografare il tuo bucket, il profilo dell'istanza IAM collegato alle tue istanze deve disporre di autorizzazioni esplicite per leggere la chiave. Se utilizzi un pluginAWS, l'istanza non richiede questa autorizzazione esplicita. Per ulteriori informazioni su come fornire al profilo dell'istanza l'accesso per utilizzare la chiave, consultaConsente agli utenti della chiave di utilizzare la chiavenellaAWS Key Management ServiceGuida per gli sviluppatori.

Segui queste fasi per configurareSession ManagerPer archiviare i log delle sessioni in un bucket Amazon S3.

Nota

È possibile utilizzare ancheAWS CLIPer specificare o modificare il bucket Amazon S3 a cui inviare i dati delle sessioni. Per informazioni, consulta Aggiornamento delle preferenze Session Manager (riga di comando).

Per registrare i dati delle sessioni mediante Amazon S3 (console)

  1. Aprire la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegliere Session Manager.

  3. Scegliere la scheda Preferences (Preferenze), quindi selezionare Edit (Modifica).

  4. Selezionare la casella di controllo accanto aAbilitazione diUNDERRegistrazione S3.

  5. (Scelta consigliata) Selezionare la casella di controllo accanto aConsenti solo bucket S3 crittografati. Con questa opzione attivata, i dati di log vengono crittografati mediante la chiave di crittografia lato server specificata per il bucket. Se non desideri crittografare i dati di log inviati ad Amazon S3, deselezionare la casella di controllo. È inoltre necessario deselezionare la casella di controllo se la crittografia non è consentita nel bucket S3.

  6. Per S3 bucket name (Nome bucket S3), selezionare una delle opzioni seguenti:

    Nota

    Consigliamo di non utilizzare punti («.») nei nomi dei bucket quando si utilizzano bucket in stile hosting virtuale. Per ulteriori informazioni sulle convenzioni di denominazione dei bucket Amazon S3, consultaRestrizioni e limitazioni dei bucketnellaGuida agli sviluppatori di Amazon Simple Storage Service.

    • Selezionare un nome di bucket dall'elenco: Choose un bucket Amazon S3 che è già stato creato nel proprio account per archiviare i dati di log delle sessioni.

    • Immetti il nome di un bucket nella casella di testo: Enter a bucket name name of Amazon S3 che è già stato creato nel tuo account per archiviare i dati di log delle sessioni.

  7. (Facoltativo) Per S3 key prefix (Prefisso della chiave S3), immettere il nome di una cartella nuova o esistente per archiviare i log nel bucket selezionato.

  8. Scegliere Save (Salva).

Per ulteriori informazioni sull'utilizzo dei bucket Amazon S3 e Amazon S3, consulta la sezioneGuida alle operazioni di base di Amazon Simple Storage Servicee laGuida per l'utente di Amazon Simple Storage Service.

Registrazione dei dati delle sessioni mediante Amazon CloudWatch Logs (console)

Con Amazon CloudWatch Logs, puoi monitorare, archiviare e accedere ai file di log da diversiAWSServizi . Puoi inviare i dati di log delle sessioni a un gruppo di log CloudWatch Logs a scopi di debug e risoluzione dei problemi. L'opzione di default prevede l'invio dei dati di log con la crittografia utilizzando la chiave KMS, ma puoi inviare i dati al gruppo di log con o senza crittografia.

Segui queste fasi per configurareAWS Systems Manager Session ManagerPer inviare i dati di log delle sessioni a un gruppo di log CloudWatch Logs alla fine delle sessioni.

Nota

È possibile utilizzare ancheAWS CLIPer specificare o modificare il gruppo di log CloudWatch Logs a cui inviare i dati delle sessioni. Per informazioni, consulta Aggiornamento delle preferenze Session Manager (riga di comando).

Per registrare i dati delle sessioni tramite Amazon CloudWatch Logs (console)

  1. Aprire la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegliere Session Manager.

  3. Scegliere la scheda Preferences (Preferenze), quindi selezionare Edit (Modifica).

  4. Selezionare la casella di controllo accanto aAbilitazione diUNDERRegistrazione CloudWatch.

  5. SelezionaCarica log delle sessioniopzione.

  6. (Scelta consigliata) Selezionare la casella di controllo accanto aConsenti solo gruppi di log CloudWatch crittografati. Con questa opzione attivata, i dati di log vengono crittografati mediante la chiave di crittografia lato server specificata per il gruppo di log. Se non si desidera crittografare i dati di log inviati a LogCloudWatch Logs, deselezionare la casella di controllo. È inoltre necessario deselezionare la casella di controllo se la crittografia non è consentita nel gruppo di log.

  7. PerCloudWatch LogsPer specificare il gruppo di log CloudWatch Logs nel tuo Account AWS Per caricare i log delle sessioni su, seleziona una delle opzioni seguenti:

    • Selezionare un gruppo di log dall'elenco: Choose a log group che è già stato creato nel proprio account per archiviare i dati di log delle sessioni.

    • Immetti il nome di un gruppo di log nella casella di testo: Enter il nome di un gruppo di log che è già stato creato nel proprio account per archiviare i dati di log delle sessioni.

  8. Scegliere Save (Salva).

Per ulteriori informazioni sull'utilizzo di Logs CloudWatch Logs, consulta laGuida per l'Amazon CloudWatch Logs.