AWS Systems Manager Session Manager - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Systems Manager Session Manager

Session Managerè un plugin completamente gestitoAWS Systems ManagerQuesta funzionalità consente di gestire le istanze Amazon Elastic Compute Cloud (Amazon EC2), le istanze in locale e le macchine virtuali (VM) tramite una shell interattiva basata su browser di tipo one-click o tramite laAWS Command Line Interface(AWS CLI).Session Managerfornisce una gestione delle istanze sicura e verificabile senza la necessità di aprire porte in entrata, gestire i bastion host o le chiavi SSH.Session Managerconsente inoltre di rispettare le policy aziendali che richiedono accesso controllato alle istanze, procedure di sicurezza rigorose e log completamente verificabili con dettagli sull'accesso alle istanze, fornendo agli utenti finali un semplice accesso multipiattaforma alle istanze gestite.

Quali sono i vantaggi di Session Manager per la mia azienda?

Session Manager offre questi vantaggi:

  • Controllo degli accessi centralizzato alle istanze che utilizzano policy IAM

    Gli amministratori dispongono di un'unica posizione da cui concedere e revocare l'accesso alle istanze. Utilizzo soloAWS Identity and Access Management(IAM), puoi controllare quali utenti singoli o gruppi della tua organizzazione possono utilizzareSession Managere a quali istanze possono accedere.

  • Nessuna porta in entrata aperta e nessuna necessità di gestire bastion host o chiavi SSH

    Lasciando le porte PowerShell remote o SSH in entrata aperte sulle istanze aumenta notevolmente il rischio che le entità eseguano comandi non autorizzati o dannosi sulle istanze. Il Session Manager ti aiuta a migliorare il tuo assetto di sicurezza consentendoti di chiudere le porte in entrata e liberandoti quindi dalla gestione di certificati e chiavi SSH, bastion host e jumpbox.

  • Accesso con un clic alle istanze dalla console e dall'interfaccia a riga di comando (CLI)

    Utilizzo diAWS Systems ManagerPuoi avviare una sessione con un solo clic. Utilizzando AWS CLI, puoi anche avviare una sessione che esegue un singolo comando o una sequenza di comandi. Poiché le autorizzazioni alle istanze vengono fornite tramite le policy IAM anziché le chiavi SSH o altri meccanismi, il tempo di connessione viene notevolmente ridotto.

  • Inoltro alla porta

    Reindirizzare qualsiasi porta all'interno dell'istanza remota a una porta locale su un client. Successivamente, connettersi alla porta locale e accedere all'applicazione server in esecuzione all'interno dell'istanza.

  • Supporto multipiattaforma per Windows, Linux e macOS

    Session Managerfornisce supporto per Windows, Linux emacOSDa un unico strumento. Ad esempio, non è necessario utilizzare un client SSH per Linux emacOSo una connessione RDP perWindows Serveristanze.

  • Registrazione e controllo delle attività delle sessioni

    Per soddisfare i requisiti operativi o di sicurezza della tua organizzazione, potresti dover fornire un record delle connessioni effettuate alle istanze e dei comandi che sono stati eseguiti su di esse. Puoi anche ricevere notifiche quando un utente nella tua organizzazione inizia o termina un'attività della sessione.

    Le funzionalità di registrazione e controllo vengono fornite tramite l'integrazione con i seguentiAWSServizi:

    • AWS CloudTrail–AWS CloudTrailacquisisce informazioni suSession Managerchiamate API effettuate nel tuo Account AWS e lo scrive nei file di log archiviati in un bucket Amazon Simple Storage Service (Amazon S3) che hai specificato. Per tutti i log CloudTrail del tuo account viene utilizzato un solo bucket. Per ulteriori informazioni, consulta Registrazione delle chiamate API AWS Systems Manager con AWS CloudTrail.

    • Amazon Simple Storage Service— Puoi decidere di archiviare i dati di log delle sessioni in un bucket Amazon S3 di tua scelta a scopi di debug e risoluzione dei problemi. I dati di log possono essere inviati al tuo bucket Amazon S3 con o senza crittografia utilizzando il tuoAWS KMS key. Per ulteriori informazioni, consulta Registrazione dei dati delle sessioni mediante Amazon S3 (console).

    • Amazon CloudWatch Logs— CloudWatch Logs ti consente di monitorare, archiviare e accedere ai file di log da diversiAWSServizi . Puoi inviare i dati di log delle sessioni a un gruppo di log CloudWatch Logs a scopi di debug e risoluzione dei problemi. I dati di log possono essere inviati al tuo gruppo di log con o senzaAWS KMSutilizzando la chiave del servizio di gestione delle chiavi. Per ulteriori informazioni, consulta Registrazione dei dati delle sessioni mediante Amazon CloudWatch Logs (console).

    • Amazon EventBridgeeAmazon Simple Notification Service— EventBridge ti consente di impostare regole per rilevare quando vengono apportate modifiche aAWSle risorse specificate. Puoi creare una regola per rilevare quando un utente della tua organizzazione avvia o arresta una sessione e quindi ricevere una notifica tramite Amazon SNS (ad esempio, un testo o un messaggio e-mail) sull'evento. Puoi anche configurare un evento CloudWatch per avviare altre risposte. Per ulteriori informazioni, consulta Monitoraggio dell'attività delle sessioni mediante Amazon EventBridge (console) .

    Nota

    La registrazione non è disponibile perSession Managersessioni che si connettono tramite port forwarding o SSH. Questo perché SSH crittografa tutti i dati di sessione eSession Managerserve solo come tunnel per le connessioni SSH.

Chi deve utilizzare Session Manager?

  • Qualsiasi cliente AWS che desideri migliorare la propria sicurezza e il livello di controllo, ridurre l'overhead operativo centralizzando il controllo accessi sulle istanze e ridurre l'accesso all'istanza in entrata.

  • Gli esperti di sicurezza delle informazioni che desiderano monitorare e monitorare l'accesso e l'attività delle istanze e chiudere le porte in entrata sulle istanze o consentire connessioni a istanze che non dispongono di un indirizzo IP pubblico.

  • Gli amministratori che desiderano concedere e revocare l'accesso da una singola postazione e fornire agli utenti una soluzione per Linux,macOS, eWindows Serveristanze.

  • Gli utenti che desiderano connettersi a un'istanza con un solo clic dal browser o dall'AWS CLIsenza dover fornire chiavi SSH.

Quali sono le caratteristiche principali del Session Manager?

  • Supporto perWindows Server, Linux emacOSIstanze

    Session Managerconsente di stabilire connessioni protette alle istanze Amazon Elastic Compute Cloud (EC2), alle istanze in locale e alle macchine virtuali (VM). Per un elenco dei tipi di sistema operativo supportati, consultaConfigurazione di Session Manager.

    Nota

    Il supporto Session Manager per server locali è fornito solo per il piano istanze avanzate. Per informazioni, consulta Attivazione del piano istanze avanzate.

  • Accesso alla console, alla riga di comando (CLI) e SDK aSession ManagerFunzionalità

    Puoi utilizzare Session Manager nei modi seguenti:

    LaAWS Systems Managerconsoleinclude l'accesso a tutti iSession Managerper amministratori e utenti finali. Tramite la console di Systems Manager, puoi eseguire qualsiasi attività correlata alle sessioni.

    La console Amazon EC2 consente agli utenti finali di connettersi alle istanze EC2 per le quali sono state concesse autorizzazioni di sessione.

    AWS CLI include l'accesso alle funzionalità del Session Manager per gli utenti finali. Tramite AWS CLI, puoi avviare una sessione, visualizzare un elenco di sessioni e terminare definitivamente una sessione.

    Nota

    Per utilizzare il pluginAWS CLIPer eseguire i comandi della sessione, devi utilizzare la versione 1.16.12 dell'interfaccia a riga di comando (CLI) o successiva e devi aver installato ilSession ManagerPlugin sul computer locale. Per informazioni, consulta (Facoltativo) Installazione dell'Session ManagerPer il pluginAWS CLI.

    LaSession ManagerSDKÈ composto da librerie e codice di esempio che consentono agli sviluppatori di creare applicazioni front-end, ad esempio shell personalizzate o portali self-service per gli utenti interni che utilizzano in modo nativo il.Session Managerper connettersi alle istanze. Gli sviluppatori e i partner possono integrare il Session Manager nei propri strumenti lato client o nei propri flussi di lavoro di automazione tramite le API del Session Manager. Puoi anche creare soluzioni personalizzate.

  • Controllo degli accessi IAM

    Mediante le policy IAM, puoi controllare quali membri della tua organizzazione possono avviare sessioni alle istanze e a quali istanze possono accedere. Puoi anche fornire un accesso temporaneo alle tue istanze. Ad esempio, puoi assegnare a un tecnico reperibile (o a un gruppo di tecnici reperibili) l'accesso al server di produzione solo per la durata della loro rotazione.

  • Supporto delle funzionalità di registrazione e audit

    Session ManagerIl fornisce le opzioni per il controllo e la registrazione delle cronologie delle sessioni nel tuo Account AWS attraverso l'integrazione con una serie di altriAWSServizi . Per ulteriori informazioni, consulta Controllo dell'attività della sessione e Attività della sessione di registrazione.

  • Profili shell configurabili

    Session Managerfornisce opzioni per configurare le preferenze all'interno delle sessioni. Questi profili personalizzabili consentono di definire preferenze quali le preferenze della shell, le variabili di ambiente, le directory di lavoro ed eseguire più comandi all'avvio di una sessione.

  • Supporto per la crittografia dei dati della chiave del cliente

    È possibile configurareSession ManagerPer crittografare i log dei dati della sessione inviati a un bucket Amazon Simple Storage Service (Amazon S3) o tramite streaming a un gruppo di log CloudWatch Logs. Puoi anche configurare Session Manager per crittografare ulteriormente i dati trasmessi tra computer client e istanze durante le sessioni. Per informazioni, consulta .Attività della sessione di registrazioneeConfigurare le preferenze delle sessioni.

  • AWS PrivateLink Supporto per istanze senza indirizzi IP pubblici

    È anche possibile configurare endpoint VPC per Systems Manager utilizzando AWS PrivateLink per proteggere ulteriormente le sessioni. AWS PrivateLink limita tutto il traffico di rete tra istanze gestite, Systems Manager e Amazon EC2 alla rete Amazon. Per ulteriori informazioni, consulta(Facoltativo) Creare un endpoint di un Virtual Private Cloud.

  • Tunneling

    In una sessione, utilizzare un tipo di sessioneAWS Systems Manager(SSM) per il traffico del tunnel, ad esempio http o un protocollo personalizzato, tra una porta locale su un computer client e una porta remota su un'istanza.

  • Comandi interattivi

    Crea un documento SSM di tipo sessione che utilizza una sessione per eseguire in modo interattivo un singolo comando, offrendo un modo per gestire ciò che gli utenti possono eseguire su un'istanza.

Che cos'è una sessione?

Una sessione è una connessione effettuata a un'istanza utilizzandoSession Manager. Le sessioni si basano su un canale di comunicazione bidirezionale sicuro tra il client (tu) e l'istanza gestita remota che trasmette input e output per i comandi. Il traffico tra un client e un'istanza gestita viene crittografato utilizzando TLS 1.2 e le richieste per creare la connessione sono firmate utilizzando Sigv4. Questa comunicazione bidirezionale consente l'accesso interattivo bash e PowerShell alle istanze. È possibile utilizzare ancheAWS Key Management Service(AWS KMS) per crittografare ulteriormente i dati oltre la crittografia TLS predefinita.

Ad esempio, supponi che John sia un tecnico reperibile del tuo reparto IT. Riceve una notifica di un problema che richiede di connettersi da remoto a un'istanza, ad esempio un errore che richiede la risoluzione del problema o una direttiva per modificare una semplice opzione di configurazione su un'istanza. Utilizzo diAWS Systems Manager, la console Amazon EC2 o ilAWS CLIJohn avvia una sessione per collegarsi all'istanza, esegue sull'istanza i comandi necessari per completare l'attività, quindi termina la sessione.

Quando John invia il primo comando per avviare la sessione, il servizio Session Manager autentica il suo ID, verifica le autorizzazioni concesse da una policy IAM, controlla le impostazioni di configurazione (ad esempio verifica i limiti consentiti per le sessioni) e invia un messaggio all'SSM Agent per aprire il collegamento bidirezionale. Una volta stabilita la connessione e dopo aver digitato il comando successivo, l'output del comando da parte dell'SSM Agent viene caricato su questo canale di comunicazione e inviato nuovamente al computer locale di John.