Häufig gestellte Fragen zum Just-in-Time-Knotenzugriff
Wie wechsle ich vom Session Manager zum Just-in-Time-Knotenzugriff?
Nachdem Sie die einheitliche Konsole eingerichtet und den Just-in-Time-Knotenzugriff aktiviert haben, müssen Sie Ihre IAM-Richtlinien ändern, um die Umstellung auf Just-in-Time-Knotenzugriff abzuschließen. Dazu gehören das Hinzufügen der erforderlichen Berechtigungen für den Just-in-Time-Knotenzugriff und das Entfernen der Berechtigung für den API-Vorgang StartSession für Session Manager. Weitere Informationen zu IAM-Richtlinien für den Just-in-Time-Knotenzugriff finden Sie unter Einrichten des Just-in-Time-Zugriffs mit Systems Manager.
Muss ich die einheitliche Konsole einrichten, um den Just-in-Time-Knotenzugriff zu nutzen?
Ja, die Einrichtung der einheitlichen Konsole ist eine Voraussetzung für den Just-in-Time-Knotenzugriff. Nachdem Sie die einheitliche Konsole eingerichtet und den Just-in-Time-Knotenzugriff aktiviert haben, gibt es jedoch mehrere Methoden, um eine Verbindung zu Ihren Knoten herzustellen. Sie können beispielsweise Just-in-Time-Knotenzugriffssitzungen über die Amazon-EC2-Konsole und die AWS CLI starten. Weitere Informationen zum Einrichten der einheitlichen Konsole finden Sie unter Einrichten der einheitlichen Systems-Manager-Konsole für eine Organisation.
Fallen für den Just-in-Time-Knotenzugriff Kosten an?
Systems Manager bietet eine kostenlose 30-Tage-Testversion für den Just-in-Time-Knotenzugriff. Nach der Testphase fallen für den Just-in-Time-Knotenzugriff Kosten an. Weitere Informationen finden Sie unter AWS Systems Manager – Preise
Welche Priorität haben Richtlinien zur Genehmigung von Just-in-Time-Knotenzugriffen?
Genehmigungsrichtlinien werden in der folgenden Reihenfolge ausgewertet:
-
Zugriffsverweigerung
-
Automatische Genehmigung
-
Manuell
Wie werden Richtlinien für die manuelle Genehmigung ausgewertet?
Beim Just-in-Time-Zugriff auf Knoten wird immer die spezifischere Richtlinie für einen Knoten bevorzugt. Richtlinien für die manuelle Genehmigung werden in der folgenden Reihenfolge ausgewertet:
-
Spezifisches Tag
-
Alle Knoten
Was passiert, wenn für einen Knoten keine Genehmigungsrichtlinie gilt?
Um mithilfe des Just-in-Time-Knotenzugriffs eine Verbindung zu einem Knoten herzustellen, muss für den Knoten eine Genehmigungsrichtlinie gelten. Wenn für einen Knoten keine Genehmigungsrichtlinien gelten, können Benutzer keinen Zugriff auf den Knoten anfordern.
Können mehrere Genehmigungsrichtlinien für ein Tag gelten?
Ein Tag kann in Ihren Genehmigungsrichtlinien nur einmal als Ziel verwendet werden.
Was passiert, wenn aufgrund von Tag-Überschneidungen mehrere Richtlinien für die manuelle Genehmigung für einen Knoten gelten?
Wenn mehrere Richtlinien für die manuelle Genehmigung für einen Knoten gelten, führt dies zu einem Konflikt und Benutzer können keinen Zugriff auf den Knoten beantragen. Denken Sie daran, wenn Sie Ihre Richtlinien für die manuelle Genehmigung erstellen. Einige Instances können je nach Fall nämlich mehrere Tags haben.
Kann ich den Just-in-Time-Knotenzugriff verwenden, um Zugriff auf konten- und regionsübergreifende Knoten anzufordern und auf diesen Knoten Sitzungen zu starten?
Mit dem Just-in-Time-Knotenzugriff kann nur auf Knoten zugegriffen werden, die sich im selben Konto und in derselben Region wie der Anforderer befinden.
Kann ich den Just-in-Time-Knotenzugriff verwenden, um Zugriff auf mit einer hybriden Aktivierung registrierte Knoten anzufordern und auf diesen Knoten Sitzungen zu starten?
Ja, mit dem Just-in-Time-Knotenzugriff kann auf Knoten zugegriffen werden, die mit einer hybriden Aktivierung registriert sind. Der Knoten muss im selben Konto und in derselben Region wie der Anforderer registriert sein.
