AWS Systems Manager Session Manager - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Systems Manager Session Manager

Session Manager è un servizio completamente gestito AWS Systems Manager che consente di gestire le Amazon Elastic Compute Cloud (Amazon EC2) istanze, Istanze locali, e macchine virtuali (VM) attraverso una shell basata su browser One-Click oppure attraverso la AWS Command Line Interface (AWS CLI). Session Manager offre una gestione delle istanze sicura e controllabile senza la necessità di aprire porte in entrata. gestire i bastion host, o gestisci le chiavi SSH. Session Manager consente inoltre di semplificare la conformità alle policy aziendali che richiedono l'accesso controllato alle istanze, pratiche di sicurezza rigorose, e log completamente controllabili con i dettagli di accesso all'istanza, pur fornendo agli utenti finali l'accesso multipiattaforma con un solo clic alle istanze gestite.

Quali sono i vantaggi di Session Manager per la mia azienda?

Session Manager offre questi vantaggi:

  • Controllo centralizzato degli accessi alle istanze tramite le policyIAM

    Gli amministratori dispongono di un'unica posizione da cui concedere e revocare l'accesso alle istanze. Utilizzando solo policy AWS Identity and Access Management (IAM), puoi controllare quali utenti singoli o gruppi della tua organizzazione possono utilizzare Session Manager e a quali istanze possono accedere.

  • Nessuna porta in entrata aperta e nessuna necessità di gestire bastion host o chiavi SSH

    Lasciare le porte SSH in entrata e le porte PowerShell remote aperte sulle istanze aumenta notevolmente il rischio che le entità che eseguono comandi non autorizzati o dannosi sulle istanze siano eseguite sulle istanze. Session Manager consente di migliorare l'assetto di sicurezza consentendo di chiudere queste porte in entrata, liberando l'utente dalla gestione di chiavi e certificati SSH, bastion host e jump box.

  • Accesso con un clic alle istanze dalla console e dall'interfaccia a riga di comando (CLI)

    Utilizzando la console AWS Systems Manager o Amazon EC2, puoi avviare una sessione con un solo clic. Utilizzando AWS CLI, puoi anche avviare una sessione che esegue un singolo comando o una sequenza di comandi. Poiché le autorizzazioni per le istanze vengono fornite tramite policy IAM anziché chiavi SSH o altri meccanismi, il tempo di connessione viene notevolmente ridotto.

  • Inoltro alla porta

    Reindirizzare qualsiasi porta all'interno dell'istanza remota a una porta locale su un client. Successivamente, connettersi alla porta locale e accedere all'applicazione server in esecuzione all'interno dell'istanza.

  • Supporto multipiattaforma per Windows e Linux

    Il Session Manager fornisce supporto per Windows e Linux da un unico strumento. Ad esempio, non è necessario utilizzare un client SSH per le istanze Linux e una connessione RDP per le istanze Windows Server.

  • Registrazione e controllo delle attività delle sessioni

    Per soddisfare i requisiti operativi o di sicurezza della tua organizzazione, potresti dover fornire un record delle connessioni effettuate alle istanze e dei comandi che sono stati eseguiti su di esse. Puoi anche ricevere notifiche quando un utente nella tua organizzazione inizia o termina un'attività della sessione.

    Le funzionalità di registrazione e controllo vengono fornite tramite l'integrazione con i seguenti servizi AWS:

    • AWS CloudTrail – AWS CloudTrail acquisisce informazioni sulle chiamate API del Session Manager effettuate nel tuo account AWS e le scrive nei file di log archiviati in un bucket S3 da te specificato. Per tutti i log CloudTrail dell'account viene utilizzato un solo bucket. Per ulteriori informazioni, vedi Registrazione di chiamate API AWS Systems Manager con AWS CloudTrail.

    • Amazon Simple Storage Service – Puoi decidere di archiviare i dati di log delle sessioni in un bucket S3 di tua scelta a scopi di audit. I dati di log possono essere inviati al tuo bucket S3 con o senza crittografia utilizzando la tua chiave AWS Key Management Service (AWS KMS). Per ulteriori informazioni, vedi Registrazione dei dati delle sessioni mediante Amazon S3 (console).

    • Amazon CloudWatch Logs – CloudWatch Logs ti consente di monitorare, archiviare e accedere ai file di log da diversi servizi AWS. Puoi inviare i dati di log delle sessioni a un gruppo di log CloudWatch Logs a scopi di controllo. I dati di log possono essere inviati al tuo gruppo di log con o senza crittografia AWS KMS utilizzando la tua chiave AWS KMS. Per ulteriori informazioni, vedi Registrazione dei dati delle sessioni mediante Amazon CloudWatch Logs (console).

    • Amazon EventBridge e Amazon Simple Notification Service – EventBridge ti consente di impostare regole per rilevare quando vengono apportate modifiche alle risorse AWS specificate. Puoi creare una regola per rilevare quando un utente della tua organizzazione avvia o arresta una sessione e quindi ricevere una notifica tramite Amazon SNS (ad esempio, un testo o un messaggio e-mail) sull'evento. Puoi anche configurare un evento CloudWatch per avviare altre risposte. Per ulteriori informazioni, vedi Monitoraggio dell'attività delle sessioni mediante Amazon EventBridge (console) .

    Nota

    La registrazione non è disponibile per le sessioni Session Manager che si connettono tramite port forwarding o SSH. Questo perché SSH crittografa tutti i dati di sessione e Session Manager funge solo da tunnel per le connessioni SSH.

Chi deve utilizzare Session Manager?

  • Qualsiasi cliente AWS che desideri migliorare la propria sicurezza e il livello di controllo, ridurre l'overhead operativo centralizzando il controllo accessi sulle istanze e ridurre l'accesso all'istanza in entrata.

  • Gli esperti di sicurezza delle informazioni che desiderano monitorare e tracciare l'accesso e le attività delle istanze e chiudere le porte in entrata sulle istanze o abilitare le connessioni alle istanze che non dispongono di un indirizzo IP pubblico.

  • Gli amministratori che desiderano concedere e revocare l'accesso da una singola postazione e fornire agli utenti una soluzione per le istanze Windows e Linux.

  • Gli utenti finali che desiderano connettersi a un'istanza con un solo clic dal browser o da AWS CLI senza dover fornire chiavi SSH.

Quali sono le caratteristiche principali del Session Manager?

  • Supporto per le istanze Windows Server e Linux

    Session Manager consente di stabilire connessioni protette alle istanze Amazon Elastic Compute Cloud (EC2), alle istanze in locale e alle macchine virtuali (VM). Per un elenco dei tipi di sistema operativo Windows e Linux supportati, consulta Configurazione di Session Manager.

    Nota

    Il supporto Session Manager per server locali è fornito solo per il piano istanze avanzate. Per informazioni, consulta Abilitazione del piano istanze avanzate.

  • Accesso alle funzionalità di Session Manager tramite console, CLI e SDK

    Puoi utilizzare il Session Manager nei modi seguenti:

    La console AWS Systems Manager include l'accesso a tutte le funzionalità di sia per gli amministratori che per gli utenti finali.Session Manager Tramite la console Systems Manager, puoi eseguire qualsiasi attività correlata alle tue sessioni.

    La console Amazon EC2 offre agli utenti finali la possibilità di connettersi alle istanze EC2 per le quali sono state concesse le autorizzazioni di sessione.

    AWS CLI include l'accesso alle funzionalità del Session Manager per gli utenti finali. Tramite AWS CLI, puoi avviare una sessione, visualizzare un elenco di sessioni e terminare definitivamente una sessione.

    Nota

    Per utilizzare AWS CLI per eseguire i comandi della sessione, devi utilizzare la versione 1.16.12 dell'interfaccia a riga di comando (CLI) o successiva e sul computer locale deve essere installato Session Manager plugin. Per informazioni, consulta (Facoltativo) Installazione del Session Manager plugin per AWS CLI.

    L'SDK Session Manager è composto da librerie e codice di esempio che consentono agli sviluppatori di creare applicazioni front-end, ad esempio shell personalizzate o portali self-service per gli utenti interni che utilizzano in modo nativo per connettersi alle istanze.Session Manager Gli sviluppatori e i partner possono integrare Session Manager nei propri strumenti lato client o nei propri flussi di lavoro di automazione utilizzando Session Manager APIs. Puoi anche creare soluzioni personalizzate.

  • IAM Controllo degli accessi

    Mediante le policy IAM, puoi controllare quali membri della tua organizzazione possono avviare sessioni alle istanze e a quali istanze possono accedere. Puoi anche fornire un accesso temporaneo alle tue istanze. Ad esempio, puoi assegnare a un tecnico reperibile (o a un gruppo di tecnici reperibili) l'accesso al server di produzione solo per la durata della loro rotazione.

  • Supporto delle funzionalità di registrazione e audit

    Il Session Manager fornisce le opzioni per il controllo e la registrazione delle cronologie delle sessioni nell'account AWS attraverso l'integrazione con diversi altri servizi AWS. Per ulteriori informazioni, vedi Audit e registrazione dell'attività delle sessioni.

  • Profili shell configurabili

    Session Manager fornisce le opzioni per configurare le preferenze all'interno delle sessioni. Questi profili personalizzabili consentono di definire preferenze quali preferenze della shell, variabili di ambiente, directory di lavoro ed esecuzione di più comandi all'avvio di una sessione.

  • Supporto per la crittografia dei dati della chiave del cliente

    Puoi configurare Session Manager per crittografare i log dei dati della sessione inviati a un bucket S3 o tramite streaming a un gruppo di log CloudWatch Logs. Puoi anche configurare Session Manager per crittografare ulteriormente i dati trasmessi tra computer client e istanze durante le sessioni. Per informazioni, consulta Audit e registrazione dell'attività delle sessioni e Configurare le preferenze delle sessioni.

  • AWS PrivateLink Supporto per le istanze senza indirizzi IP pubblici

    Puoi anche configurare endpoint VPC per Systems Manager utilizzando AWS PrivateLink per proteggere ulteriormente le sessioni. AWS PrivateLink limita tutto il traffico di rete tra le istanze gestite, Systems Manager e Amazon EC2, sulla rete Amazon. Per ulteriori informazioni, vedi (Facoltativo) Creare un endpoint di un Virtual Private Cloud.

  • Tunneling

    In una sessione, utilizza un documento SSM di tipo sessione per eseguire il tunneling del traffico, ad esempio http o un protocollo personalizzato, tra una porta locale su un computer client e una porta remota su un'istanza.

  • Comandi interattivi

    Crea un documento SSM di tipo sessione che utilizza una sessione per eseguire in modo interattivo un singolo comando, offrendo un modo per gestire ciò che gli utenti possono eseguire su un'istanza.

Che cos'è una sessione?

Una sessione è una connessione effettuata a un'istanza utilizzando Session Manager. Le sessioni si basano su un canale di comunicazione bidirezionale sicuro tra il client (l’utente) e l'istanza gestita da remoto che trasmette input e output per i comandi. Il traffico tra un client e un'istanza gestita viene crittografato utilizzando TLS 1.2 e le richieste di creazione della connessione vengono firmate utilizzando Sigv4. Questa comunicazione bidirezionale consente l'accesso interattivo bash e PowerShell alle istanze. È inoltre possibile utilizzare una chiave AWS Key Management Service (AWS KMS) per crittografare ulteriormente i dati oltre la crittografia TLS predefinita.

Ad esempio, supponi che John sia un tecnico reperibile del tuo reparto IT. Riceve una notifica di un problema che richiede di connettersi da remoto a un'istanza, ad esempio un errore che richiede la risoluzione del problema o una direttiva per modificare una semplice opzione di configurazione su un'istanza. Tramite console AWS Systems Manager, la console Amazon EC2 o l'AWS CLI, John avvia una sessione per collegarsi all'istanza, esegue sull'istanza i comandi necessari per completare l'attività, quindi termina la sessione.

Quando John invia il primo comando per avviare la sessione, il servizio Session Manager autentica il suo ID, verifica le autorizzazioni concesse da una policy IAM, controlla le impostazioni di configurazione (ad esempio verifica i limiti consentiti per le sessioni) e invia un messaggio a Agente SSM per aprire la connessione bidirezionale. Una volta stabilita la connessione e dopo aver digitato il comando successivo, l'output del comando da parte dell'Agente SSM viene caricato su questo canale di comunicazione e inviato nuovamente al computer locale di John.