Étape 8 : (Facultatif) Autoriser et contrôler les autorisations pour les connexions SSH via Session Manager - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 8 : (Facultatif) Autoriser et contrôler les autorisations pour les connexions SSH via Session Manager

Vous pouvez autoriser les utilisateurs de votre compte Compte AWS à utiliser le AWS Command Line Interface (AWS CLI) pour établir des connexions Secure Shell (SSH) avec des nœuds gérés en utilisant AWS Systems Manager Session Manager. Les utilisateurs qui se connectent via SSH peuvent également copier des fichiers entre leurs machines locales et les nœuds gérés à l'aide du protocole SCP (Secure Copy Protocol). Vous pouvez utiliser cette fonctionnalité pour vous connecter aux nœuds gérés sans avoir à ouvrir de ports entrants ou à maintenir des hôtes bastions.

Après avoir autorisé les connexions SSH, vous pouvez utiliser des politiques AWS Identity and Access Management (IAM) pour autoriser ou refuser explicitement aux utilisateurs, aux groupes ou aux rôles d'établir des connexions SSH en utilisant Session Manager.

Note

La journalisation n'est pas disponible pour Session Manager sessions qui se connectent via la redirection de port ou SSH. Cela est dû au fait que SSH chiffre toutes les données de session, et Session Manager sert uniquement de tunnel pour les connexions SSH.

Autoriser les connexions SSH pour Session Manager

Procédez comme suit pour autoriser les connexions SSH via Session Manager sur un nœud géré.

Pour autoriser les connexions SSH pour Session Manager
  1. Sur le nœud géré vers lequel vous souhaitez activer les connexions SSH, procédez comme suit :

  2. Sur l'ordinateur local à partir duquel vous souhaitez vous connecter à un nœud géré à l'aide de SSH, procédez comme suit :

    • Assurez-vous que la version 1.1.23.0 ou ultérieure du Session Manager le plugin est installé.

      Pour plus d'informations sur l'installation du Session Manager plugin, voirInstallation du plug-in Session Manager pour l'AWS CLI.

    • Mettez à jour le fichier de configuration SSH pour autoriser l'exécution d'une commande proxy qui démarre un Session Manager session et transférez toutes les données via la connexion.

      Linux and macOS

      Astuce

      Le fichier de configuration SSH est généralement situé dans ~/.ssh/config.

      Ajoutez le fichier de configuration suivant sur l'ordinateur local.

      # SSH over Session Manager Host i-* mi-* ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'" User ec2-user

      Windows

      Astuce

      Le fichier de configuration SSH est généralement situé dans C:\Users\<username>\.ssh\config.

      Ajoutez le fichier de configuration suivant sur l'ordinateur local.

      # SSH over Session Manager Host i-* mi-* ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
    • Vérifiez que vous disposez d'un certificat au format PEM (Privacy Enhanced Mail) ou au minimum d'une clé publique, à utiliser lors de l'établissement de connexions avec les nœuds gérés. Il doit s'agir d'une clé déjà associée au nœud géré. Les autorisations de votre fichier de clé privée doivent être configurés afin que vous soyez le ou la seul(e) à pouvoir le lire. Vous pouvez utiliser la commande suivante pour définir les autorisations de votre fichier de clé privée afin que vous soyez le ou la seul(e) à pouvoir le lire.

      chmod 400 <my-key-pair>.pem

      Par exemple, pour une instance Amazon Elastic Compute Cloud (Amazon EC2), le fichier de paires de clés que vous avez créé ou sélectionné lors de la création de l'instance. (Vous spécifiez le chemin d'accès au certificat ou à la clé dans la commande de démarrage de session. Pour plus d'informations sur le démarrage d'une session à l'aide de SSH, consultez Démarrage d'une session (SSH).)

Contrôle des autorisations utilisateur pour les connexions SSH via Session Manager

Après avoir activé les connexions SSH via Session Manager sur un nœud géré, vous pouvez utiliser des politiques IAM pour autoriser ou refuser à des utilisateurs, des groupes ou des rôles la possibilité d'établir des connexions SSH via Session Manager.

Pour utiliser une politique IAM afin d'autoriser les connexions SSH via Session Manager
  • Utilisez l’une des options suivantes :

    • Option 1 : ouvrez la console IAM à https://console.aws.amazon.com/iam/l'adresse.

      Dans le volet de navigation, choisissez Policies, puis mettez à jour la politique d'autorisation pour l'utilisateur ou le rôle via lequel vous souhaitez autoriser le démarrage de connexions SSH Session Manager.

      Par exemple, ajoutez l'élément suivant à la politique Quickstart que vous avez créée dans Démarrage rapide - Politiques d'utilisateur final pour Session Manager. Remplacez chaque example resource placeholder par vos propres informations.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": [ "arn:aws:ec2:region:account-id:instance/instance-id", "arn:aws:ssm:*:*:document/AWS-StartSSHSession" ] } ] }
    • Option 2 : associez une politique en ligne à une politique utilisateur à l'aide de l'API AWS Management Console AWS CLI, de ou de l' AWS API.

      À l'aide de la méthode de votre choix, associez la déclaration de politique de l'option 1 à la politique d'un AWS utilisateur, d'un groupe ou d'un rôle.

      Pour de plus amples informations, veuillez consulter Ajout et suppression d'autorisations basées sur l'identité IAM dans le Guide de l'utilisateur IAM.

Pour utiliser une politique IAM pour refuser les connexions SSH via Session Manager
  • Utilisez l’une des options suivantes :

    • Option 1 : ouvrez la console IAM à https://console.aws.amazon.com/iam/l'adresse. Dans le volet de navigation, choisissez Policies, puis mettez à jour la politique d'autorisation pour l'utilisateur ou le rôle à bloquer au démarrage Session Manager séances.

      Par exemple, ajoutez l'élément suivant à la politique Quickstart que vous avez créée dans Démarrage rapide - Politiques d'utilisateur final pour Session Manager.

      { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ssm:StartSession", "Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession" } ] }
    • Option 2 : associez une politique en ligne à une politique utilisateur à l'aide de l'API AWS Management Console AWS CLI, de ou de l' AWS API.

      À l'aide de la méthode de votre choix, associez la déclaration de politique de l'option 1 à la politique d'un AWS utilisateur, d'un groupe ou d'un rôle.

      Pour de plus amples informations, veuillez consulter Ajout et suppression d'autorisations basées sur l'identité IAM dans le Guide de l'utilisateur IAM.