Gerenciador de sessões do AWS Systems Manager - AWS Systems Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciador de sessões do AWS Systems Manager

O gerenciador de sessões é um recurso totalmente gerenciado que lhe permite gerenciar suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2), instâncias locais e máquinas virtuais (VMs) por meio de um shell baseado no navegador com um clique interativo ou por meio da Interface de Linha de Comando da AWS (CLI). O gerenciador de sessões fornece gerenciamento de instância seguro e auditável sem a necessidade de abrir portas de entrada, manter bastion hosts ou gerenciar chaves SSH. O gerenciador de sessões também facilita a conformidade com políticas corporativas que exigem acesso controlado a instâncias, práticas de segurança rígidas e logs totalmente auditáveis com detalhes de acesso a instâncias, ao mesmo tempo que fornecem aos usuários finais acesso simples a várias plataformas com um clique para suas instâncias gerenciadas.

Como o Session Manager beneficia minha organização?

O Gerenciador de sessões oferece estes benefícios:

  • Controle de acesso centralizado a instâncias usando as políticas do IAM

    Os administradores têm um único lugar para conceder e revogar o acesso a instâncias. Usando apenas as políticas do AWS Identity and Access Management (IAM), você pode controlar quais usuários individuais ou grupos na sua organização podem usar o Session Manager e quais instâncias podem ser acessadas.

  • Sem a necessidade de abrir portas de entrada e de gerenciar bastion hosts ou chaves SSH

    Deixar portas SSH de entrada e portas do PowerShell remotas abertas em suas instâncias aumenta muito o risco de entidades executarem comandos não autorizados ou mal-intencionados nas instâncias. O Session Manager ajuda você a melhorar a postura de segurança, permitindo que você feche essas portas de entrada, evitando o gerenciamento de chaves e certificados SSH, bastion hosts e caixas de diálogo.

  • Acesso com um clique a instâncias do console e da CLI

    Usando o console do AWS Systems Manager ou o console do Amazon EC2, você pode iniciar uma sessão com um único clique. Usando a AWS CLI, você também pode iniciar uma sessão que executa um único comando ou uma sequência de comandos. Como as permissões para as instâncias são fornecidas por meio de políticas do IAM em vez de chaves SSH ou outros mecanismos, o tempo de conexão é significativamente reduzido.

  • Encaminhamento de portas

    Redirecione todas as portas dentro da instância remota para uma porta local em um cliente. Depois disso, conecte-se à porta local e acesse o aplicativo do servidor que está sendo executado dentro da instância.

  • Suporte entre plataformas para Windows, Linux e macOS

    O Gerenciador de Sessões fornece suporte para Windows, Linux e macOS A partir de uma única ferramenta. Por exemplo, você não precisa usar um cliente SSH para Linux e macOS instâncias ou uma conexão RDP para Windows Server instâncias.

  • Registro e auditoria de atividade de sessão

    Para satisfazer os requisitos de segurança ou operacionais em sua organização, pode ser necessário fornecer um registro das conexões feitas para suas instâncias e os comandos que foram executados nelas. Você também pode receber notificações quando um usuário na sua organização começar ou terminar a atividade da sessão.

    Registro de recursos e auditoria são fornecidos por meio de integração com os seguintes serviços da AWS:

    • AWS CloudTrail— o AWS CloudTrail captura informações sobre chamadas de API do Session Manager feitas em sua conta da AWS e as grava em arquivos de log armazenados em um bucket do S3 especificado. Um bucket é usado em todos os logs do CloudTrail para sua conta. Para obter mais informações, consulte Registrar em log as chamadas de API do AWS Systems Manager com o AWS.

    • Amazon Simple Storage Service— você pode optar por armazenar dados de log da sessão em um bucket do S3 de sua escolha para fins de depuração e solução de problemas. Os dados de log podem ser enviados para o seu bucket do S3 com ou sem criptografia usando sua chave AWS KMS. Para obter mais informações, consulte Registrar dados de sessão do usando o Amazon S3 (console).

    • Amazon CloudWatch Logs— O CloudWatch Logs permite monitorar, armazenar e acessar os arquivos de log de vários serviços da AWS. Você pode enviar dados de log de sessão a um grupo de CloudWatch Logs para fins de depuração e solução de problemas. Os dados de log podem ser enviados para o seu grupo de logs com ou sem criptografia AWS KMS usando sua chave KMS. Para obter mais informações, consulte Registrar dados de sessão usando o Amazon CloudWatch Logs (console).

    • Amazon EventBridgeeAmazon Simple Notification Service— o EventBridge permite configurar regras para detectar quando ocorrem alterações nos recursos da AWS que você especificar. Você pode criar uma regra para detectar quando um usuário na sua organização inicia ou interrompe uma sessão e, em seguida, receber uma notificação por meio do Amazon SNS (por exemplo, uma mensagem texto ou e-mail) sobre o evento. Você também pode configurar um evento do CloudWatch para iniciar outras respostas. Para obter mais informações, consulte Monitorar atividades de sessão usando o Amazon EventBridge (console) .

    nota

    O log não está disponível para sessões do Session Manager que se conectam por meio de encaminhamento de porta ou SSH. Isso ocorre porque o SSH criptografa todos os dados da sessão e o Gerenciador de Sessões serve apenas como um túnel para conexões SSH.

Quem deve usar o Gerenciador de sessões do?

  • Todo cliente da AWS que deseja melhorar sua postura de segurança e auditoria, reduzir despesas operacionais centralizando o controle de acesso nas instâncias e reduzir o acesso de instâncias de entrada.

  • Especialistas em segurança da informação que desejam monitorar o acesso e a atividade de instâncias, fechar portas de entrada em instâncias ou habilitar a conexões a instâncias sem um endereço de IP público.

  • Administradores que desejam conceder e revogar acesso de um único lugar e desejam fornecer uma solução para usuários do Linux, macOS, e Windows Server instâncias.

  • Os usuários que desejam se conectar a uma instância com apenas um clique no navegador ou CLI da AWS sem a necessidade de fornecer chaves SSH.

Quais são os principais recursos do Session Manager?

  • Suporte para Windows Server, Linux e macOS Instâncias do

    O gerenciador de sessões permite que você estabeleça conexões seguras para suas instâncias do Amazon Elastic Compute Cloud (EC2), instâncias no local e máquinas virtuais (VMs). Para obter uma lista dos tipos de sistema operacional compatíveis, consulte oConfigurando o Gerenciador de sessões.

    nota

    O suporte do Gerenciador de sessões para servidores locais é fornecido somente para o nível de instâncias avançadas. Para obter mais informações, consulte Habilitar o nível de instâncias avançadas.

  • Acesso do Console, CLI e SDK aos recursos do Session Manager

    Você pode trabalhar com o gerenciador de sessões das seguintes formas:

    OConsole do AWS Systems ManagerO inclui acesso a todos os recursos do Gerenciador de sessões para ambos os administradores e usuários finais. Você pode executar qualquer tarefa relacionada às suas sessões usando o console do Systems Manager.

    O console do Amazon EC2 fornece a capacidade de os usuários finais se conectarem às instâncias do EC2 para as quais receberam permissões de sessão.

    OCLI DA AWSO inclui acesso aos recursos do Session Manager para usuários finais. Você pode iniciar uma sessão, visualizar uma lista de sessões e encerrar permanentemente uma sessão usando a CLI da AWS.

    nota

    Para usar a CLI da AWS para executar comandos de sessão, você deve estar usando a versão 1.16.12 da CLI (ou posterior) e deve ter instalado o plug-in do Gerenciador de sessões em sua máquina local. Para obter mais informações, consulte (Opcional) Instale o plug-in Session Manager para a CLI da AWS.

    OSDK do gerenciador de sessãoO consiste em bibliotecas e código de exemplo que permitem que os desenvolvedores de aplicativos criem aplicativos front-end, como shells personalizadas ou portais de autoatendimento para usuários internos que nativamente usam o Gerenciador de Sessões para se conectar às instâncias. Os desenvolvedores e parceiros podem integrar o gerenciador de sessões em suas ferramentas do cliente ou fluxos de trabalho de Automação usando as APIs do gerenciador de sessões. Você pode até mesmo criar soluções personalizadas.

  • Controle de acesso IAM

    Com o uso de políticas do IAM, você pode controlar quais membros da organização podem iniciar sessões para instâncias e quais instâncias podem ser acessadas. Você também pode fornecer acesso temporário para suas instâncias. Por exemplo, você pode fornecer um acesso a um engenheiro de plantão (ou um grupo de engenheiros de plantão) aos servidores de produção somente durante todo o período de rotação.

  • Registro de auditoria de suporte a recursos

    O Session Manager fornece opções de histórico de sessões de auditoria e registro na sua conta da AWS por meio de integração com uma série de outros serviços da AWS. Para obter mais informações, consulte Auditar as atividades da sessão e Atividade de sessão de registro.

  • Perfis de shell configuráveis

    O Gerenciador de Sessões fornece opções para configurar preferências dentro das sessões. Esses perfis personalizáveis permitem que você defina preferências como preferências de shell, variáveis de ambiente, diretórios de trabalho e execução de vários comandos quando uma sessão é iniciada.

  • Suporte para criptografia de dados de chaves do cliente

    Você pode configurar o gerenciador de sessões para criptografar os logs de dados de sessão que envia a um bucket do S3 ou que transmite para um grupo de logs do CloudWatch Logs. Você também pode configurar o gerenciador de sessões para criptografar ainda mais os dados transmitidos entre máquinas clientes e suas instâncias durante sessões. Para obter mais informações, consulteAtividade de sessão de registroeConfigurar preferências da sessão.

  • Suporte ao AWS PrivateLink para instâncias sem endereços IP públicos

    Você também pode configurar VPC Endpoints for Systems Manager usando o AWS PrivateLink para proteger suas sessões. O AWS PrivateLink limita todo o tráfego de rede entre suas instâncias gerenciadas, o gerenciSystems Manager e o Amazon EC2 à rede da Amazon. Para obter mais informações, consulte(Opcional) Criar um endpoint da virtual private cloud.

  • Encapsulamento

    Em uma sessão, use um documento SSM do tipo Session para tráfego em túnel, como http ou um protocolo personalizado, entre uma porta local em uma máquina cliente e uma porta remota em uma instância.

  • Comandos interativos

    Crie um documento SSM de tipo sessão que use uma sessão para executar interativamente um único comando, o que fornece uma maneira de gerenciar o que os usuários podem fazer em uma instância.

O que é uma sessão?

Uma sessão é uma conexão feita a uma instância usando o Gerenciador de sessão. As sessões são baseadas em um canal de comunicação bidirecional seguro entre o cliente (você) e a instância gerenciada remota que transmite entradas e saídas para comandos. O tráfego entre um cliente e uma instância gerenciada é criptografado usando TLS 1.2, e as solicitações para criar a conexão são assinadas usando SigV4. Essa comunicação bidirecional permite acesso interativo bash e PowerShell a instâncias. Você também pode usar uma chave do AWS Key Management Service (AWS KMS) para criptografar dados além da criptografia padrão do TLS.

Por exemplo, digamos que John é um engenheiro de plantão do departamento de TI. Ele recebe a notificação de um problema que requer a conexão remota a uma instância, como uma falha que requer a solução de problemas ou uma diretiva para alterar uma opção de configuração simples em uma instância. Usando o console do AWS Systems Manager, o console do Amazon EC2 ou a CLI da AWS, John inicia uma sessão conectando-o à instância, executa comandos na instância necessários para concluir a tarefa e encerra a sessão.

Quando John envia o primeiro comando para iniciar a sessão, o serviço Gerenciador de sessões autentica seu ID, verifica as permissões concedidas a ele por uma política do IAM, verifica as definições de configuração (como a verificação de limites permitidos para as sessões) e envia uma mensagem ao Agente do SSM para abrir a conexão bidirecional. Depois que a conexão é estabelecida e John digita o próximo comando, a saída do comando do SSM Agent é carregada para esse canal de comunicação e enviada de volta para sua máquina local.