Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étape 8 : (Facultatif) Autoriser et contrôler les autorisations pour SSH les connexions via Session Manager
Vous pouvez autoriser les utilisateurs de votre Compte AWS compte à utiliser le AWS Command Line Interface (AWS CLI) pour établir des connexions Secure Shell (SSH) aux nœuds gérés en utilisant AWS Systems Manager Session Manager. Les utilisateurs qui se connectent SSH peuvent également copier des fichiers entre leurs machines locales et les nœuds gérés à l'aide du protocole Secure Copy (SCP). Vous pouvez utiliser cette fonctionnalité pour vous connecter aux nœuds gérés sans avoir à ouvrir de ports entrants ou à maintenir des hôtes bastions.
Après avoir autorisé SSH les connexions, vous pouvez utiliser les politiques AWS Identity and Access Management (IAM) pour autoriser ou refuser explicitement aux utilisateurs, aux groupes ou aux rôles d'établir des SSH connexions en utilisant Session Manager.
Note
La journalisation n'est pas disponible pour Session Manager sessions qui se connectent via une redirection de port ouSSH. Cela est dû au fait que toutes les données de session sont SSH cryptées, et Session Manager sert uniquement de tunnel pour les SSH connexions.
Rubriques
Autoriser SSH les connexions pour Session Manager
Procédez comme suit pour autoriser SSH les connexions via Session Manager sur un nœud géré.
Pour autoriser SSH les connexions pour Session Manager
-
Sur le nœud géré auquel vous souhaitez autoriser SSH les connexions, procédez comme suit :
-
Assurez-vous qu'SSHil est exécuté sur le nœud géré. (Vous pouvez fermer les ports entrants sur le nœud.)
-
Assurez-vous que SSM Agent la version 2.3.672.0 ou ultérieure est installée sur le nœud géré.
Pour plus d'informations sur l'installation ou la mise à jour SSM Agent sur un nœud géré, consultez les rubriques suivantes :
-
Installation et désinstallation manuelles SSM Agent sur EC2 des instances pour Windows Server.
-
Installation et désinstallation manuelles SSM Agent sur les EC2 instances pour Linux
-
Installation et désinstallation manuelles SSM Agent sur EC2 des instances pour macOS
-
Comment installer le SSM Agent sur des nœuds Windows hybrides
Note
Pour utiliser Session Manager avec les serveurs locaux, les appareils de périphérie et les machines virtuelles (VMs) que vous avez activés en tant que nœuds gérés, vous devez utiliser le niveau des instances avancées. Pour de plus amples informations, sur les instances avancées, veuillez consulter Configuration des niveaux d'instance.
-
-
-
Sur la machine locale à partir de laquelle vous souhaitez vous connecter à un nœud géréSSH, procédez comme suit :
-
Assurez-vous que la version 1.1.23.0 ou ultérieure du Session Manager le plugin est installé.
Pour plus d'informations sur l'installation du Session Manager plugin, voirInstallez le Session Manager plugin pour AWS CLI.
-
Mettez à jour le fichier de SSH configuration pour autoriser l'exécution d'une commande proxy qui lance un Session Manager session et transférez toutes les données via la connexion.
Linux and macOS
Astuce
Le fichier SSH de configuration se trouve généralement à l'adresse
~/.ssh/config.Ajoutez le fichier de configuration suivant sur l'ordinateur local.
# SSH over Session Manager host i-* mi-* ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"Windows
Astuce
Le fichier SSH de configuration se trouve généralement à l'adresse
C:\Users\.<username>\.ssh\configAjoutez le fichier de configuration suivant sur l'ordinateur local.
# SSH over Session Manager host i-* mi-* ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p" -
Créez ou vérifiez que vous disposez d'un certificat Privacy Enhanced Mail (un PEM fichier), ou au minimum d'une clé publique, à utiliser lors de l'établissement de connexions aux nœuds gérés. Il doit s'agir d'une clé déjà associée au nœud géré. Les autorisations de votre fichier de clé privée doivent être configurés afin que vous soyez le ou la seul(e) à pouvoir le lire. Vous pouvez utiliser la commande suivante pour définir les autorisations de votre fichier de clé privée afin que vous soyez le ou la seul(e) à pouvoir le lire.
chmod 400<my-key-pair>.pemPar exemple, pour une instance Amazon Elastic Compute Cloud (AmazonEC2), le fichier de paires de clés que vous avez créé ou sélectionné lors de la création de l'instance. (Vous spécifiez le chemin d'accès au certificat ou à la clé dans le cadre de la commande de démarrage d'une session. Pour plus d'informations sur le démarrage d'une session en utilisantSSH, voirDémarrage d'une session (SSH).)
-
Contrôle des autorisations utilisateur pour SSH les connexions via Session Manager
Après avoir activé SSH les connexions via Session Manager sur un nœud géré, vous pouvez utiliser des IAM politiques pour autoriser ou refuser aux utilisateurs, aux groupes ou aux rôles la possibilité d'établir des SSH connexions via Session Manager.
Pour utiliser une IAM politique permettant d'autoriser SSH les connexions via Session Manager
-
Utilisez l’une des options suivantes :
-
Option 1 : ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. Dans le volet de navigation, choisissez Politiques, puis mettez à jour la politique d'autorisation pour l'utilisateur ou le rôle via lequel vous souhaitez autoriser l'établissement de SSH connexions Session Manager.
Par exemple, ajoutez l'élément suivant à la politique Quickstart que vous avez créée dans Politiques Quickstart destinées aux utilisateurs finaux pour Session Manager. Remplacez chacun
example resource placeholderavec vos propres informations.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": [ "arn:aws:ec2:region:account-id:instance/instance-id", "arn:aws:ssm:*:*:document/AWS-StartSSHSession" ] } ] } -
Option 2 : associer une politique intégrée à une politique utilisateur en utilisant le AWS Management Console AWS CLI, le ou le AWS API.
À l'aide de la méthode de votre choix, associez la déclaration de politique de l'option 1 à la politique d'un AWS utilisateur, d'un groupe ou d'un rôle.
Pour plus d'informations, consultez la section Ajouter et supprimer des autorisations IAM d'identité dans le guide de IAM l'utilisateur.
-
Pour utiliser une IAM politique visant à refuser SSH les connexions via Session Manager
-
Utilisez l’une des options suivantes :
-
Option 1 : ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. Dans le volet de navigation, choisissez Policies, puis mettez à jour la politique d'autorisation pour l'utilisateur ou le rôle à bloquer au démarrage Session Manager séances. Par exemple, ajoutez l'élément suivant à la politique Quickstart que vous avez créée dans Politiques Quickstart destinées aux utilisateurs finaux pour Session Manager.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ssm:StartSession", "Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession" } ] } -
Option 2 : associer une politique intégrée à une politique utilisateur en utilisant le AWS Management Console AWS CLI, le ou le AWS API.
À l'aide de la méthode de votre choix, associez la déclaration de politique de l'option 1 à la politique d'un AWS utilisateur, d'un groupe ou d'un rôle.
Pour plus d'informations, consultez la section Ajouter et supprimer des autorisations IAM d'identité dans le guide de IAM l'utilisateur.
-
