AWS Systems Manager Session Manager - AWS Systems Manager
Welche Vorteile bietet Session Manager meiner Organisation?An wen richtet sich Session Manager?Was sind die Hauptfeatures von Session Manager?Was ist eine Sitzung?

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Systems Manager Session Manager

Session Managerist eine vollständig verwaltete Funktion. AWS Systems Manager Mit Session Manager können Sie Ihre Amazon Elastic Compute Cloud (Amazon EC2)-Instances, Edge-Geräte, On-Premises-Server und virtuelle Maschinen (VM) verwalten. Sie können entweder eine interaktive browserbasierte Shell mit einem Klick oder die AWS Command Line Interface ()AWS CLI verwenden. Session Managerbietet sicheres und überprüfbares Knotenmanagement, ohne dass eingehende Ports geöffnet, Bastion-Hosts verwaltet oder SSH-Schlüssel verwaltet werden müssen. Session Managerermöglicht Ihnen außerdem die Einhaltung von Unternehmensrichtlinien, die einen kontrollierten Zugriff auf verwaltete Knoten, strenge Sicherheitspraktiken und vollständig überprüfbare Protokolle mit Knotenzugriffsdetails vorschreiben, und bietet Endbenutzern gleichzeitig einen einfachen plattformübergreifenden Zugriff mit nur einem Klick auf Ihre verwalteten Knoten. Um mit Session Manager zu beginnen, öffnen Sie die Systems-Manager-Konsole. Wählen Sie im Navigationsbereich Session Manager aus.

Welche Vorteile bietet Session Manager meiner Organisation?

Session Manager bietet die folgenden Vorteile:

  • Zentralisierte Kontrolle des Zugriffs auf verwaltete Knoten mit IAM-Richtlinien

    Administratoren erhalten eine zentrale Stelle zum Erteilen und Widerrufen des Zugriffs auf verwaltete Knoten. Wenn Sie ausschließlich AWS Identity and Access Management (IAM-) Richtlinien verwenden, können Sie steuern, welche einzelnen Benutzer oder Gruppen in Ihrem Unternehmen Zugriff darauf haben Session Manager und auf welche verwalteten Knoten sie zugreifen können.

  • Keine offenen Ports für eingehenden Datenverkehr und keine Notwendigkeit für die Verwaltung von Bastion-Hosts oder SSH-Ports

    Wenn Sie SSH-Ports für eingehenden Datenverkehr und PowerShell-Remote Ports auf Ihren verwalteten Knoten geöffnet lassen, besteht ein höheres Risiko, dass juristische Stellen nicht autorisierte oder böswillige Befehle auf den verwalteten Knoten ausführen. Session Manager unterstützt Sie bei der Verbesserung des Sicherheitsstatus, da Sie diese Ports für eingehenden Datenverkehr schließen können. Dies befreit Sie von der Notwendigkeit, SSH-Schlüssel und -Zertifikate, Bastion-Hosts und Jumpboxes verwalten zu müssen.

  • One-Click-Zugriff auf verwaltete Knoten über die Konsole und die CLI

    Mit der AWS Systems Manager Konsole oder der Amazon EC2 EC2-Konsole können Sie eine Sitzung mit einem einzigen Klick starten. Mit dem AWS CLI können Sie auch eine Sitzung starten, die einen einzelnen Befehl oder eine Befehlsfolge ausführt. Da Berechtigungen für verwaltete Knoten durch IAM-Richtlinien und nicht von SSH-Schlüsseln oder anderen Mechanismen bereitgestellt werden, wird die Verbindungszeit stark reduziert.

  • Herstellen einer Verbindung mit Amazon-EC2-Instances und Nicht-EC2-verwalteten Knoten in Hybrid- und Multi-Cloud-Umgebungen

    Sie können sich sowohl mit Instances der Amazon Elastic Compute Cloud (Amazon EC2) als auch mit Nicht-EC2-Knoten in Ihrer Hybrid- und Multi-Cloud-Umgebung verbinden.

    Um über Session Manager eine Verbindung zu Nicht-EC2-Knoten herzustellen, müssen Sie zunächst die Advanced-Instances-Kontingente aktivieren. Die Nutzung des Advanced-Instances-Kontingents ist kostenpflichtig. Für die Verbindung mit EC2-Instances über Session Manager fallen jedoch keine zusätzlichen Gebühren an. Weitere Informationen finden Sie unter Konfigurieren von Instance-Kontingenten.

  • Port-Weiterleitung

    Leiten Sie jeden Port in Ihrem verwalteten Knoten an einen lokalen Port auf einem Client um. Stellen Sie danach eine Verbindung mit dem lokalen Port her und greifen Sie auf die Serveranwendung zu, die in dem Knoten ausgeführt wird.

  • Plattformübergreifende Unterstützung für Windows, Linux und macOS

    Session Manager unterstützt in einem einzigen Tool sowohl Windows, Linux als auch macOS. Sie müssen beispielsweise keinen SSH-Client für Linux- und macOS-verwaltete Knoten oder eine RDP-Verbindung für Windows Server-verwaltete Knoten verwenden.

  • Protokollierung und Prüfung von Sitzungsaktivitäten

    Um betriebs- oder sicherheitsbezogene Anforderungen in Ihrer Organisation zu erfüllen, müssen Sie möglicherweise eine Aufzeichnung der Verbindungen bereitstellen, die mit Ihren verwalteten Knoten hergestellt wurden, und der Befehle, die auf ihnen ausgeführt wurden. Sie können auch Benachrichtigungen empfangen, wenn ein Benutzer in Ihrer Organisation Sitzungsaktivitäten startet oder beendet.

    Die Funktionen für Protokollierung und Prüfung werden durch die Integration mit den folgenden AWS-Services bereitgestellt:

    • AWS CloudTrail— AWS CloudTrail erfasst Informationen über Session Manager API-Aufrufe in Ihrem AWS-Konto und schreibt sie in Protokolldateien, die in einem von Ihnen angegebenen Amazon Simple Storage Service (Amazon S3) -Bucket gespeichert werden. Ein Bucket wird für alle CloudTrail Protokolle Ihres Kontos verwendet. Weitere Informationen finden Sie unter AWS Systems Manager API-Aufrufe protokollieren mit AWS CloudTrail.

    • Amazon Simple Storage Service – Sie können Sitzungsprotokolldaten zu Debugging-Zwecken in einem Amazon S3-Bucket Ihrer Wahl speichern. Protokolldaten können mit oder ohne Verschlüsselung über Ihren AWS KMS key an Ihren Amazon S3-Bucket gesendet werden. Weitere Informationen finden Sie unter Protokollieren von Sitzungsdaten mithilfe von Amazon S3 (Konsole).

    • Amazon CloudWatch Logs — CloudWatch Logs ermöglicht es Ihnen, Protokolldateien aus verschiedenen Quellen zu überwachen, zu speichern und darauf zuzugreifen AWS-Services. Sie können Sitzungsprotokolldaten zu Debugging- und Fehlerbehebungszwecken an eine CloudWatch Logs-Protokollgruppe senden. Protokolldaten können mit oder ohne AWS KMS Verschlüsselung mit Ihrem KMS-Schlüssel an Ihre Protokollgruppe gesendet werden. Weitere Informationen finden Sie unter Protokollierung von Sitzungsdaten mit Amazon CloudWatch Logs (Konsole).

    • Amazon EventBridge und Amazon Simple Notification Service — EventBridge ermöglicht es Ihnen, Regeln einzurichten, um zu erkennen, wann Änderungen an den von Ihnen angegebenen AWS Ressourcen vorgenommen werden. Sie können eine Regel erstellen, um zu erkennen, wenn ein Benutzer in Ihrer Organisation eine Sitzung startet oder anhält. Anschließend können Sie über Amazon SNS eine Benachrichtigung (z. B. eine Text- oder E-Mail-Nachricht) über das Ereignis erhalten. Sie können ein CloudWatch Ereignis auch so konfigurieren, dass es andere Antworten auslöst. Weitere Informationen finden Sie unter Überwachung der Sitzungsaktivität mit Amazon EventBridge (Konsole).

    Anmerkung

    Protokollieren ist für Session Manager-Sitzungen, die eine Verbindung über Port-Weiterleitung oder SSH herstellen, nicht verfügbar. Dies liegt daran, dass SSH alle Sitzungsdaten verschlüsselt und Session Managernur als Tunnel für SSH-Verbindungen dient.

An wen richtet sich Session Manager?

  • Jeder AWS Kunde, der seine Sicherheits- und Auditsituation verbessern, den betrieblichen Aufwand durch die Zentralisierung der Zugriffskontrolle auf verwalteten Knoten reduzieren und den eingehenden Knotenzugriff reduzieren möchte.

  • Datensicherheitsexperten, die den Zugriff auf und die Aktivität von verwalteten Knoten überwachen und verfolgen möchten, Ports für eingehenden Datenverkehr auf verwalteten Knoten schließen möchten oder Verbindungen mit verwalteten Knoten ohne öffentliche IP-Adresse ermöglichen möchten.

  • Administratoren, die den Zugriff über eine zentrale Stelle gewähren und widerrufen möchten und Benutzern eine einzige Lösung für von Linux, macOS und Windows Server verwaltete Knoten bereitstellen möchten.

  • Benutzer, die mit nur einem Klick im Browser oder AWS CLI ohne Angabe von SSH-Schlüsseln eine Verbindung zu einem verwalteten Knoten herstellen möchten.

Was sind die Hauptfeatures von Session Manager?

  • Support für von Windows Server-, Linux- und macOS- verwaltete Knoten

    Mit Session Manager können Sie sichere Verbindungen zu Amazon Elastic Compute Cloud (EC2)-Instances, Edge-Geräten, On-Premises-Servern und virtuellen Maschinen (VM) herstellen. Eine Liste der unter den jeweiligen Betriebssystemen unterstützten Typen finden Sie unter Einrichten von Session Manager.

    Anmerkung

    Session Manager-Support für On-Premises-Server wird nur für das Advanced-Instances-Kontingent bereitgestellt. Weitere Informationen finden Sie unter Aktivieren des Kontingents für erweiterte Instances.

  • Zugriff auf Session Manager-Funktionen über Konsole, CLI und SDK

    Sie können Session Manager wie folgt nutzen:

    Die AWS Systems Manager -Konsole bietet sowohl Administratoren als auch Endbenutzern Zugriff auf alle Session Manager-Funktionen. Sie können über die Systems Manager-Konsole jede Aufgabe im Zusammenhang mit Ihren Sitzungen ausführen.

    Die Amazon-EC2-Konsole bietet Endbenutzern die Möglichkeit, eine Verbindung zu den EC2-Instances herzustellen, für die sie Sitzungsberechtigungen erhalten haben.

    Die AWS CLI beinhaltet den Zugriff auf Session Manager-Funktionen für Endbenutzer. Sie können eine Sitzung starten, eine Liste von Sitzungen anzeigen und eine Sitzung dauerhaft beenden, indem Sie die AWS CLI verwenden.

    Anmerkung

    Um die Befehle AWS CLI to run session verwenden zu können, müssen Sie Version 1.16.12 der CLI (oder höher) verwenden und das Session Manager Plugin auf Ihrem lokalen Computer installiert haben. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugins für die AWS CLI. Informationen zum Anzeigen des Plug-ins finden Sie unter GitHub session-manager-plugin.

  • IAM-Zugriffskontrolle

    Mithilfe von IAM-Richtlinien können Sie steuern, welche Mitglieder Ihrer Organisation Sitzungen mit verwalteten Knoten starten können und auf welche Knoten sie zugreifen können. Sie können auch einen temporären Zugriff auf Ihre verwalteten Knoten bereitstellen. Beispielsweise könnten Sie einem Techniker auf Aufruf (oder einer Gruppe von Technikern auf Abruf) nur für die Dauer ihrer Schicht Zugriff auf Produktionsserver geben.

  • Support für Protokollierungs- und Prüfungsfunktionen

    Session Managerbietet Ihnen Optionen für die Prüfung und Protokollierung von Sitzungsverläufen in Ihrer AWS-Konto durch die Integration mit einer Reihe von anderen. AWS-Services Weitere Informationen finden Sie unter Prüfen von Sitzungsaktivitäten und Protokollierung von Sitzungsaktivitäten aktivieren und deaktivieren.

  • Konfigurierbare Shell-Profile

    Session Manager bietet Ihnen Optionen zum Konfigurieren von Voreinstellungen innerhalb von Sitzungen. Mit diesen anpassbaren Profilen können Sie Voreinstellungen wie Shell-Einstellungen, Umgebungsvariablen, Arbeitsverzeichnisse und das Ausführen mehrerer Befehle definieren, wenn eine Sitzung gestartet wird.

  • Support für die Datenverschlüsselung mit dem Kundenschlüssel

    Sie können so konfigurierenSession Manager, dass die Sitzungsdatenprotokolle, die Sie an einen Amazon Simple Storage Service (Amazon S3) -Bucket senden oder in eine CloudWatch Logs-Protokollgruppe streamen, verschlüsselt werden. Sie können Session Manager auch so konfigurieren, dass die Daten, die zwischen Client-Maschinen und Ihren verwalteten Knoten während der Sitzungen übertragen werden, weiter verschlüsselt werden. Weitere Informationen finden Sie unter Protokollierung von Sitzungsaktivitäten aktivieren und deaktivieren und Konfigurieren von Sitzungspräferenzen.

  • AWS PrivateLink Unterstützung für verwaltete Knoten ohne öffentliche IP-Adressen

    Sie können auch VPC-Endpunkte für Systems Manager einrichten, um Ihre Sitzungen weiter AWS PrivateLink zu sichern. AWS PrivateLink begrenzt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Knoten, Systems Manager und Amazon EC2 auf das Amazon-Netzwerk. Weitere Informationen finden Sie unter Verbessern der Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten für Systems Manager.

  • Tunneling

    Verwenden Sie in einer Sitzung ein Dokument vom Typ Sitzung AWS Systems Manager (SSM), um Datenverkehr wie HTTP oder ein benutzerdefiniertes Protokoll zwischen einem lokalen Port auf einem Client-Computer und einem Remote-Port auf einem verwalteten Knoten zu tunneln.

  • Interaktive Befehle

    Erstellen Sie ein SSM-Dokument vom Typ Session, das eine Sitzung verwendet, um interaktiv einen einzelnen Befehl auszuführen, sodass Sie verwalten können, was Benutzer auf einem verwalteten Knoten tun können.

Was ist eine Sitzung?

Eine Sitzung ist eine Verbindung zu einem verwalteten Knoten mit Session Manager. Sitzungen basieren auf einem sicheren bidirektionalen Kommunikationskanal zwischen dem Client (Sie) und dem remote verwalteten Knoten, der Eingaben und Ausgaben für Befehle streamt. Der Datenverkehr zwischen einem Client und einem verwalteten Knoten wird mit TLS 1.2 verschlüsselt. Anforderungen zum Aufbau der Verbindung werden mit Sigv4 signiert. Diese bidirektionale Kommunikation ermöglicht interaktive Bash und PowerShell den Zugriff auf verwaltete Knoten. Sie können auch einen AWS Key Management Service (AWS KMS) verwenden, um Daten über die standardmäßige TLS-Verschlüsselung hinaus zu verschlüsseln.

Angenommen, John ist ein Techniker auf Abruf in Ihrer IT-Abteilung. Er erhält eine Benachrichtigung zu einem Problem, für dessen Bearbeitung er eine Remote-Verbindung mit einem verwalteten Knoten herstellen muss, beispielsweise einem Ausfall, der behoben werden muss, oder eine Anweisung, eine einfache Konfigurationsoption für einen Knoten zu ändern. Mithilfe der AWS Systems Manager Konsole, der Amazon EC2 EC2-Konsole oder der startet John eine Sitzung AWS CLI, die ihn mit dem verwalteten Knoten verbindet, führt Befehle auf dem Knoten aus, die für die Ausführung der Aufgabe erforderlich sind, und beendet dann die Sitzung.

Wenn John den Befehl zum Starten der Sitzung sendet, authentifiziert der Session Manager-Service seine ID, überprüft die ihm von einer IAM-Richtlinie gewährten Berechtigungen, prüft Konfigurationseinstellungen (z. B. die zulässigen Limits für die Sitzungen) und sendet eine Nachricht an, SSM Agent, um die Zwei-Wege-Verbindung zu öffnen. Nach der Herstellung der Verbindung und der Eingabe des nächsten Befehls durch John wird die Befehlsausgabe aus SSM Agent zu diesem Kommunikationskanal hochgeladen und zurück an Johns lokalen Computer gesendet.

Themen