AWS Systems Manager Session Manager

Session Manager è uno AWS Systems Manager strumento completamente gestito. Con Session Manager, puoi gestire istanze Amazon Elastic Compute Cloud (Amazon EC2), dispositivi edge, server locali e macchine virtuali (). VMs Puoi utilizzare una shell interattiva basata su browser con un solo clic o il (). AWS Command Line Interface AWS CLISession Manager fornisce una gestione sicura dei nodi senza la necessità di aprire le porte in entrata, mantenere gli host bastion o gestire le chiavi SSH. Session Manager consente inoltre di rispettare le politiche aziendali che richiedono l'accesso controllato ai nodi gestiti, pratiche di sicurezza rigorose e log con i dettagli di accesso ai nodi, fornendo al contempo agli utenti finali un semplice accesso multipiattaforma con un clic ai nodi gestiti. Per iniziare con Session Manager, aprire la console Systems Manager. Nel riquadro di navigazione, scegli Session Manager.

Come può Session Manager avvantaggiare la mia organizzazione?

Session Manager offre questi vantaggi:

• Controllo degli accessi centralizzato ai nodi che utilizzano policy IAM

  Gli amministratori dispongono di un'unica posizione da cui concedere e revocare l'accesso ai nodi gestiti. Utilizzando solo le policy AWS Identity and Access Management (IAM), puoi controllare quali singoli utenti o gruppi dell'organizzazione possono utilizzare Session Manager e a quali nodi gestiti possono accedere.

• Nessuna porta in entrata aperta e nessuna necessità di gestire bastion host o chiavi SSH

  Uscire dalle porte SSH in entrata e dal telecomando PowerShell le porte aperte sui nodi gestiti aumentano notevolmente il rischio che le entità eseguano comandi non autorizzati o dannosi sui nodi gestiti. Session Manager ti aiuta a migliorare il tuo livello di sicurezza consentendoti di chiudere queste porte in entrata, liberandoti dalla gestione di chiavi e certificati SSH, host bastion e jumbox.

• Accesso con un clic ai nodi gestiti dalla console e dall'interfaccia a riga di comando (CLI)

  Utilizzando la AWS Systems Manager console o la EC2 console Amazon, puoi avviare una sessione con un solo clic. Utilizzando AWS CLI, puoi anche avviare una sessione che esegue un singolo comando o una sequenza di comandi. Poiché le autorizzazioni ai nodi gestiti vengono fornite tramite le policy IAM anziché le chiavi SSH o altri meccanismi, il tempo di connessione viene notevolmente ridotto.

• Connect sia alle EC2 istanze Amazon che ai nodi non EC2 gestiti in ambienti ibridi e multicloud

  Puoi connetterti sia a istanze Amazon Elastic Compute Cloud (Amazon EC2) che a non EC2 nodi nel tuo ambiente ibrido e multicloud.

  Per connettersi a non nodi utilizzando EC2 Session Manager, devi prima attivare il livello Advanced-Instances. Viene addebitato un costo per l'utilizzo del livello dei parametri avanzati. Tuttavia, non sono previsti costi aggiuntivi per la connessione alle istanze tramite EC2 Session ManagerPer informazioni, consulta Configurazione dei livelli di istanza.

• Inoltro alla porta

  Reindirizzare qualsiasi porta all'interno del nodo gestito a una porta locale su un client. Successivamente, connettersi alla porta locale e accedere all'applicazione server in esecuzione all'interno del nodo.

• Supporto multipiattaforma per Windows, Linuxe macOS

  Session Manager fornisce supporto per Windows, Linuxe macOS da un unico strumento. Ad esempio, non è necessario utilizzare un client SSH per Linux e macOS nodi gestiti o una connessione RDP per Windows Server nodi gestiti.

• Attività di registrazione delle sessioni

  Per soddisfare i requisiti operativi o di sicurezza della tua organizzazione, potresti dover fornire un registro delle connessioni effettuate ai nodi gestiti e dei comandi che sono stati eseguiti su di essi. È possibile anche ricevere notifiche quando un utente nella tua organizzazione inizia o termina un'attività della sessione.

  Le funzionalità di registrazione vengono fornite tramite l'integrazione con i seguenti Servizi AWS:

  • AWS CloudTrail— AWS CloudTrail acquisisce informazioni su Session Manager Le chiamate API vengono effettuate nel tuo Account AWS e le scrivono in file di log archiviati in un bucket Amazon Simple Storage Service (Amazon S3) da te specificato. Un bucket viene utilizzato per tutti i CloudTrail log del tuo account. Per ulteriori informazioni, consulta Registrazione delle chiamate AWS Systems Manager API con AWS CloudTrail.

  • Amazon Simple Storage Service: è possibile decidere di archiviare i dati di log delle sessioni in un bucket Amazon S3 di tua scelta a scopi di debug e risoluzione dei problemi. I dati di log possono essere inviati al tuo bucket Amazon S3 con o senza crittografia utilizzando la tua chiave AWS KMS key. Per ulteriori informazioni, consulta Registrazione dei dati delle sessioni mediante Amazon S3 (console).

  • Amazon CloudWatch Logs — CloudWatch Logs ti consente di monitorare, archiviare e accedere a file di registro da vari file. Servizi AWS Puoi inviare i dati dei log di sessione a un gruppo di log CloudWatch Logs per scopi di debug e risoluzione dei problemi. I dati di registro possono essere inviati al gruppo di log con o senza AWS KMS crittografia utilizzando la chiave KMS. Per ulteriori informazioni, consulta Registrazione dei dati della sessione tramite Amazon CloudWatch Logs (console).

  • Amazon EventBridge e Amazon Simple Notification Service: ti EventBridge consente di configurare regole per rilevare quando vengono apportate modifiche alle AWS risorse specificate. È possibile creare una regola per rilevare quando un utente della tua organizzazione avvia o arresta una sessione e quindi ricevere una notifica tramite Amazon SNS (ad esempio, un testo o un messaggio e-mail) sull'evento. Puoi anche configurare un CloudWatch evento per avviare altre risposte. Per ulteriori informazioni, consulta Monitoraggio dell'attività della sessione tramite Amazon EventBridge (console).

  Nota

  La registrazione non è disponibile per Session Manager sessioni che si connettono tramite port forwarding o SSH. Questo perché SSH crittografa tutti i dati della sessione e Session Manager funge solo da tunnel per le connessioni SSH.

Chi dovrebbe usare Session Manager?

• Qualsiasi AWS cliente che desideri migliorare il proprio livello di sicurezza, ridurre il sovraccarico operativo centralizzando il controllo degli accessi sui nodi gestiti e ridurre l'accesso ai nodi in entrata.

• Gli esperti di sicurezza delle informazioni che desiderano monitorare e tracciare l'accesso e le attività dei nodi e chiudere le porte in entrata sui nodi gestiti o permettere le connessioni ai nodi gestiti che non dispongono di un indirizzo IP pubblico.

• Amministratori che desiderano concedere e revocare l'accesso da un'unica posizione e che desiderano fornire agli utenti un'unica soluzione per Linux, macOSe Windows Server nodi gestiti.

• Utenti che desiderano connettersi a un nodo gestito con un solo clic dal browser o AWS CLI senza dover fornire chiavi SSH.

Quali sono le caratteristiche principali di Session Manager?

• Support per Windows Server, Linux e macOS nodi gestiti

  Session Manager ti consente di stabilire connessioni sicure alle tue istanze Amazon Elastic Compute Cloud (EC2), ai dispositivi edge, ai server locali e alle macchine virtuali (). VMs Per un elenco dei tipi di sistema operativo dell'istanza supportati, consulta Configurazione Session Manager.

  Nota

  Session Manager il supporto per le macchine locali è fornito solo per il livello di istanze avanzate. Per informazioni, consultare Attivazione del piano istanze avanzate.

• Accesso da console, CLI e SDK a Session Manager funzionalità

  Puoi lavorare con Session Manager nei seguenti modi:

  La AWS Systems Manager console include l'accesso a tutte le Session Manager funzionalità sia per gli amministratori che per gli utenti finali. Tramite la console Systems Manager, è possibile eseguire qualsiasi processo correlato alle tue sessioni.

  La EC2 console Amazon offre agli utenti finali la possibilità di connettersi alle EC2 istanze per le quali sono state concesse le autorizzazioni di sessione.

  AWS CLIInclude l'accesso a Session Manager funzionalità per gli utenti finali. È possibile avviare una sessione, visualizzare un elenco di sessioni e terminare definitivamente una sessione utilizzando AWS CLI.

  Nota

  Per utilizzare i comandi AWS CLI to run session, è necessario utilizzare la versione 1.16.12 della CLI (o successiva) ed è necessario aver installato Session Manager plug-in sul computer locale. Per informazioni, consultare Installa il Session Manager plugin per AWS CLI. Per visualizzare il plugin su GitHub, consulta session-manager-plugin.

• Controllo degli accessi IAM

  Mediante le policy IAM, è possibile controllare quali membri della tua organizzazione possono avviare sessioni ai nodi gestiti e a quali nodi possono accedere. È possibile anche fornire un accesso temporaneo ai tuoi nodi gestiti. Ad esempio, è possibile assegnare a un tecnico reperibile (o a un gruppo di tecnici reperibili) l'accesso al server di produzione solo per la durata della loro rotazione.

• Supporto per la registrazione

  Session Manager forniscono opzioni per la registrazione della cronologia delle sessioni Account AWS tramite l'integrazione con molti altri. Servizi AWS Per ulteriori informazioni, consulta Attività di registrazione delle sessioni e Abilitazione e disabilitazione della registrazione di sessione.

• Profili della shell configurabili

  Session Manager fornisce opzioni per configurare le preferenze all'interno delle sessioni. Questi profili personalizzabili permettono di definire preferenze quali le preferenze della shell, le variabili di ambiente, le directory di lavoro ed eseguire più comandi all'avvio di una sessione.

• Supporto per la crittografia dei dati della chiave del cliente

  È possibile configurare Session Manager per crittografare i log dei dati di sessione inviati a un bucket Amazon Simple Storage Service (Amazon S3) o lo stream a un gruppo di log Logs. CloudWatch Puoi anche configurare Session Manager per crittografare ulteriormente i dati trasmessi tra le macchine client e i nodi gestiti durante le sessioni. Per informazioni, consulta Abilitazione e disabilitazione della registrazione di sessione e Configurare le preferenze delle sessioni.

• AWS PrivateLink supporto per nodi gestiti senza indirizzi IP pubblici

  Puoi anche configurare VPC Endpoints for Systems Manager utilizzando AWS PrivateLink per proteggere ulteriormente le tue sessioni. AWS PrivateLink limita tutto il traffico di rete tra i nodi gestiti, Systems Manager e Amazon EC2 alla rete Amazon. Per ulteriori informazioni, consulta Migliorare la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager.

• Tunneling

  In una sessione, utilizzate un documento di tipo sessione AWS Systems Manager (SSM) per effettuare il tunneling del traffico, ad esempio http o un protocollo personalizzato, tra una porta locale su un computer client e una porta remota su un nodo gestito.

• Comandi interattivi

  Crea un documento SSM di tipo sessione che utilizza una sessione per eseguire in modo interattivo un singolo comando, offrendo un modo per gestire ciò che gli utenti possono eseguire su un nodo gestito.

Che cos'è una sessione?

Una sessione è una connessione effettuata a un nodo gestito utilizzando Session Manager. Le sessioni si basano su un canale di comunicazione bidirezionale sicuro tra il client (tu) e il nodo gestito in remoto che trasmette gli input e gli output per i comandi. Il traffico tra un client e un nodo gestito viene crittografato utilizzando TLS 1.2 e le richieste per creare la connessione sono firmate utilizzando Sigv4. Questa comunicazione bidirezionale consente bash interattivi e l'accesso ai nodi gestiti. PowerShell È possibile utilizzare anche una chiave AWS Key Management Service (AWS KMS) per crittografare ulteriormente i dati oltre la crittografia TLS predefinita.

Ad esempio, supponi che John sia un tecnico reperibile del tuo reparto IT. Riceve una notifica di un problema che richiede di connettersi da remoto a un nodo gestito, ad esempio un errore che richiede la risoluzione del problema o una direttiva per modificare una semplice opzione di configurazione su un nodo gestito. Utilizzando la AWS Systems Manager console, la EC2 console Amazon o il AWS CLI, John avvia una sessione collegandolo al nodo gestito, esegue i comandi sul nodo necessari per completare l'attività e quindi termina la sessione.

Quando John invia il primo comando per avviare la sessione, Session Manager il servizio autentica il suo ID, verifica le autorizzazioni concesse da una policy IAM, controlla le impostazioni di configurazione (come la verifica dei limiti consentiti per le sessioni) e invia un messaggio a SSM Agent per aprire la connessione bidirezionale. Dopo aver stabilito la connessione e dopo aver digitato il comando successivo, il comando emesso da SSM Agent viene caricato su questo canale di comunicazione e rispedito al suo computer locale.

Argomenti

• Configurazione Session Manager

• Lavorare con Session Manager

• Attività di registrazione delle sessioni

• Abilitazione e disabilitazione della registrazione di sessione

• Schema documento di sessione

• Risoluzione dei problemi Session Manager