Aktualisieren von Session Manager-Einstellungen (Befehlszeile) - AWS Systems Manager

Aktualisieren von Session Manager-Einstellungen (Befehlszeile)

Im folgenden Verfahren wird beschrieben, wie Sie mit Ihrem bevorzugten Befehlszeilen-Tool Änderungen an den AWS Systems Manager Session Manager-Einstellungen für Ihr AWS-Konto in der ausgewählten AWS-Region vornehmen. Verwenden Sie Session Manager-Einstellungen, um die Optionen für die Protokollierung von Sitzungsdaten in einem Amazon Simple Storage Service (Amazon S3)-Bucket oder einer Amazon CloudWatch Logs-Protokollgruppe anzugeben. Mithilfe der Session Manager-Einstellungen können Sie zudem Ihre Sitzungsdaten verschlüsseln.

So aktualisieren Sie Session Manager-Einstellungen (Befehlszeile)

  1. Erstellen Sie eine JSON-Datei auf Ihrem lokalen Computer und geben Sie Ihr beispielsweise einen Namen wie SessionManagerRunShell.json. Fügen Sie der Datei anschließend den folgenden Inhalt ein.

    {
    "schemaVersion": "1.0",
    "description": "Document to hold regional settings for Session Manager",
    "sessionType": "Standard_Stream",
    "inputs": {
        "s3BucketName": "",
        "s3KeyPrefix": "",
        "s3EncryptionEnabled": true,
        "cloudWatchLogGroupName": "",
        "cloudWatchEncryptionEnabled": true,
        "cloudWatchStreamingEnabled": false,
        "kmsKeyId": "",
        "runAsEnabled": true,
        "runAsDefaultUser": "",
        "idleSessionTimeout": "",
        "maxSessionDuration": "",
        "shellProfile": {
            "windows": "date",
            "linux": "pwd;ls"
        }
    }
}

  2. Legen Sie fest, wohin Sie die Sitzungsdaten senden möchten. Sie können einen S3-Bucketnamen (mit einem optionalen Präfix) oder eine CloudWatch Logs-Protokollgruppe angeben. Wenn Sie die Daten zwischen dem lokalen Client und den verwalteten Knoten weiter verschlüsseln möchten, stellen Sie den AWS KMS key bereit, der für die Verschlüsselung verwendet werden soll. Im Folgenden wird ein Beispiel gezeigt.

    {
  "schemaVersion": "1.0",
  "description": "Document to hold regional settings for Session Manager",
  "sessionType": "Standard_Stream",
  "inputs": {
    "s3BucketName": "amzn-s3-demo-bucket",
    "s3KeyPrefix": "MyS3Prefix",
    "s3EncryptionEnabled": true,
    "cloudWatchLogGroupName": "MyLogGroupName",
    "cloudWatchEncryptionEnabled": true,
    "cloudWatchStreamingEnabled": false,
    "kmsKeyId": "MyKMSKeyID",
    "runAsEnabled": true,
    "runAsDefaultUser": "MyDefaultRunAsUser",
    "idleSessionTimeout": "20",
    "maxSessionDuration": "60",
    "shellProfile": {
        "windows": "MyCommands",
        "linux": "MyCommands"
    }
  }
}
    Anmerkung

    Wenn Sie die Protokolldaten der Sitzung nicht verschlüsseln möchten, ändern Sie für s3EncryptionEnabled true in false.

    Wenn Sie die Protokolle weder an einen Amazon S3-Bucket noch eine CloudWatch Logs-Protokollgruppe senden bzw. die aktiven Sitzungsdaten nicht verschlüsseln möchten oder die Run As-Unterstützung für die Sitzungen an Ihrem Konto nicht aktivieren möchten, können Sie die Zeilen für diese Optionen löschen. Überprüfen Sie, dass die letzte Zeile im Abschnitt inputs nicht mit einem Komma endet.

    Wenn Sie eine KMS-Schlüssel-ID zum Verschlüsseln Ihrer Sitzungsdaten hinzufügen, müssen sowohl die Benutzer, die die Sitzungen starten, als auch die verwalteten Knoten, mit denen sie sich verbinden, über die Berechtigung zur Verwendung des Schlüssels verfügen. Sie erteilen die Berechtigung zur Verwendung des KMS-Schlüssels mit Session Manager anhand von AWS Identity and Access Management (IAM)-Richtlinien. Weitere Informationen finden Sie unter den folgenden Themen:

  3. Speichern Sie die Datei.

  4. Führen Sie in dem Verzeichnis, in dem Sie die JSON-Datei erstellt haben, den folgenden Befehl aus.

    Linux & macOS
    aws ssm update-document \
    --name "SSM-SessionManagerRunShell" \
    --content "file://SessionManagerRunShell.json" \
    --document-version "\$LATEST"
    Windows 
    aws ssm update-document ^
    --name "SSM-SessionManagerRunShell" ^
    --content "file://SessionManagerRunShell.json" ^
    --document-version "$LATEST"
    PowerShell 
    Update-SSMDocument `
    -Name "SSM-SessionManagerRunShell" `
    -Content (Get-Content -Raw SessionManagerRunShell.json) `
    -DocumentVersion '$LATEST'

    Bei erfolgreicher Ausführung gibt der Befehl eine Ausgabe zurück, die in etwa wie folgt aussieht:

    {
    "DocumentDescription": {
        "Status": "Updating",
        "Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE",
        "Name": "SSM-SessionManagerRunShell",
        "Tags": [],
        "DocumentType": "Session",
        "PlatformTypes": [
            "Windows",
            "Linux"
        ],
        "DocumentVersion": "2",
        "HashType": "Sha256",
        "CreatedDate": 1537206341.565,
        "Owner": "111122223333",
        "SchemaVersion": "1.0",
        "DefaultVersion": "1",
        "DocumentFormat": "JSON",
        "LatestVersion": "2"
    }
}