Schritt 8: (Optional) Berechtigungen für SSH Verbindungen zulassen und kontrollieren über Session Manager - AWS Systems Manager
SSHVerbindungen zulassen für Session ManagerSteuern von Benutzerberechtigungen für SSH Verbindungen über Session Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 8: (Optional) Berechtigungen für SSH Verbindungen zulassen und kontrollieren über Session Manager

Sie können Benutzern in Ihrem Konto AWS-Konto erlauben, mithilfe von AWS Command Line Interface (AWS CLI) Secure Shell (SSH) Verbindungen zu verwalteten Knoten herzustellen AWS Systems Manager Session Manager. Benutzer, die eine Verbindung herstellen, SSH können mithilfe des Secure Copy Protocol (SCP) auch Dateien zwischen ihren lokalen Computern und verwalteten Knoten kopieren. Sie können diese Funktionalität verwenden, um eine Verbindung zu verwalteten Knoten herzustellen, ohne eingehende Ports öffnen oder Bastion-Hosts pflegen zu müssen.

Nachdem Sie SSH Verbindungen zugelassen haben, können Sie Richtlinien AWS Identity and Access Management (IAM) verwenden, um Benutzern, Gruppen oder Rollen das Herstellen von SSH Verbindungen explizit zu gestatten oder zu verweigernSession Manager.

Anmerkung

Die Protokollierung ist nicht für Session Manager Sitzungen verfügbar, bei denen eine Verbindung über Portweiterleitung oder hergestellt wirdSSH. Das liegt daran, dass alle Sitzungsdaten SSH verschlüsselt werden und Session Manager nur als Tunnel für SSH Verbindungen dient.

SSHVerbindungen zulassen für Session Manager

Gehen Sie wie folgt vor, um SSH Verbindungen Session Manager auf einem verwalteten Knoten zuzulassen.

Um SSH Verbindungen zuzulassen für Session Manager

  1. Gehen Sie auf dem verwalteten Knoten, zu dem Sie SSH Verbindungen zulassen möchten, wie folgt vor:

  2. Gehen Sie auf dem lokalen Computer, von dem aus Sie eine Verbindung zu einem verwalteten Knoten herstellen möchtenSSH, wie folgt vor:

    • Stellen Sie sicher, dass Version 1.1.23.0 oder höher des Session Manager-Plug-in installiert ist.

      Weitere Informationen zur Installation des Session Manager-Plug-ins finden Sie unter Installieren des Session Manager-Plugins für die AWS CLI.

    • Aktualisieren Sie die SSH Konfigurationsdatei, um die Ausführung eines Proxybefehls zu ermöglichen, der eine Session Manager Sitzung startet und alle Daten über die Verbindung überträgt.

      Linux und macOS

      Tipp

      Die SSH Konfigurationsdatei befindet sich normalerweise unter~/.ssh/config.

      Fügen Sie der Konfigurationsdatei auf dem lokalen Computer den folgenden Code hinzu.

      # SSH over Session Manager
host i-* mi-*
    ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"

      Windows

      Tipp

      Die SSH Konfigurationsdatei befindet sich normalerweise unterC:\Users\<username>\.ssh\config.

      Fügen Sie der Konfigurationsdatei auf dem lokalen Computer den folgenden Code hinzu.

      # SSH over Session Manager
host i-* mi-*
    ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"

    • Erstellen oder überprüfen Sie, ob Sie über ein Privacy Enhanced Mail-Zertifikat (eine PEM Datei) oder mindestens einen öffentlichen Schlüssel verfügen, den Sie beim Herstellen von Verbindungen zu verwalteten Knoten verwenden können. Dies muss ein Schlüssel sein, der dem verwalteten Knoten bereits zugeordnet ist. Die Berechtigungen für Ihre private Schlüsseldatei müssen so festgelegt sein, dass nur Sie diese lesen können. Mit dem folgenden Befehl können Sie die Berechtigungen für Ihre private Schlüsseldatei so festlegen, dass nur Sie diese lesen können.

      chmod 400 <my-key-pair>.pem

      Zum Beispiel für eine Amazon Elastic Compute Cloud (AmazonEC2) -Instance die Schlüsselpaardatei, die Sie bei der Erstellung der Instance erstellt oder ausgewählt haben. (Sie geben den Pfad zum Zertifikat oder Schlüssel als Teil des Befehls zum Starten einer Sitzung an. Hinweise zum Starten einer Sitzung mit SSH finden Sie unterStarten einer Sitzung (SSH).)

Steuern von Benutzerberechtigungen für SSH Verbindungen über Session Manager

Nachdem Sie SSH Verbindungen Session Manager auf einem verwalteten Knoten aktiviert haben, können Sie IAM Richtlinien verwenden, um Benutzern, Gruppen oder Rollen das Herstellen von SSH Verbindungen über diesen Knoten zu gestatten oder zu verweigernSession Manager.

Um eine IAM Richtlinie zu verwenden, um SSH Verbindungen zuzulassen Session Manager

  • Wählen Sie eine der folgenden Optionen aus:

    • Option 1: Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

      Wählen Sie im Navigationsbereich Richtlinien aus, und aktualisieren Sie dann die Berechtigungsrichtlinie für den Benutzer oder die Rolle, über den Sie SSH Verbindungen herstellen möchtenSession Manager.

      Fügen Sie beispielsweise das folgende Element der Schnellstart-Richtlinie hinzu, die Sie in Kurzeinführung in Endbenutzerrichtlinien für Session Manager erstellt haben. Ersetzen Sie jedes example resource placeholder mit Ihren eigenen Informationen. 

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": [
                "arn:aws:ec2:region:account-id:instance/instance-id",
                "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
            ],
            "Condition": {
                "BoolIfExists": {
                    "ssm:SessionDocumentAccessCheck": "true"
                }
             }
        }
    ]
}

    • Option 2: Hängen Sie eine Inline-Richtlinie an eine Benutzerrichtlinie an AWS Management Console, indem Sie den AWS CLI, oder den verwenden AWS API.

      Verwenden Sie die Methode Ihrer Wahl und fügen Sie der Richtlinie für einen AWS Benutzer, eine Gruppe oder eine Rolle die Grundsatzerklärung in Option 1 bei.

      Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen.

Um eine IAM Richtlinie zu verwenden, um SSH Verbindungen zu verweigern über Session Manager

  • Wählen Sie eine der folgenden Optionen aus:

    • Option 1: Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/. Wählen Sie im Navigationsbereich Policies (Richtlinien) aus und aktualisieren Sie dann die Berechtigungsrichtlinie für den Benutzer oder die Rolle, die am Starten von Session Manager-Sitzungen gehindert werden soll.

      Fügen Sie beispielsweise das folgende Element der Schnellstart-Richtlinie hinzu, die Sie in Kurzeinführung in Endbenutzerrichtlinien für Session Manager erstellt haben.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
        }
    ],
            "Condition": {
                "BoolIfExists": {
                    "ssm:SessionDocumentAccessCheck": "true"
                }
             }
}

    • Option 2: Hängen Sie eine Inline-Richtlinie an eine Benutzerrichtlinie an AWS Management Console, indem Sie den AWS CLI, oder den verwenden AWS API.

      Verwenden Sie die Methode Ihrer Wahl und fügen Sie der Richtlinie für einen AWS Benutzer, eine Gruppe oder eine Rolle die Grundsatzerklärung in Option 1 bei.

      Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Hinzufügen und Entfernen von IAM Identitätsberechtigungen.