Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

AWS Systems Manager Session Manager

PDF
RSS
Mode de mise au point
AWS Systems Manager Session Manager - AWS Systems Manager
Comment peut-on Session Manager est-ce bénéfique pour mon organisation ?Qui doit utiliser Session Manager?Quelles sont les principales caractéristiques de Session Manager?Qu'est-ce qu'une session ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Session Manager est un AWS Systems Manager outil entièrement géré. Avec Session Manager, vous pouvez gérer vos instances Amazon Elastic Compute Cloud (Amazon EC2), vos appareils périphériques, vos serveurs sur site et vos machines virtuelles (VMs). Vous pouvez utiliser soit un shell interactif basé sur un navigateur en un clic, soit le AWS Command Line Interface ().AWS CLISession Manager fournit une gestion sécurisée des nœuds sans qu'il soit nécessaire d'ouvrir des ports entrants, de gérer des hôtes bastions ou de gérer des clés SSH. Session Manager vous permet également de vous conformer aux politiques d'entreprise qui exigent un accès contrôlé aux nœuds gérés, des pratiques de sécurité strictes et des journaux contenant les détails d'accès aux nœuds, tout en fournissant aux utilisateurs finaux un accès multiplateforme en un clic à vos nœuds gérés. Pour commencer avec Session Manager, ouvrez la console Systems Manager. Dans le volet de navigation, choisissez Session Manager.

Comment peut-on Session Manager est-ce bénéfique pour mon organisation ?

Session Manager offre les avantages suivants :

  • Contrôle centralisé des accès aux nœuds gérés à l'aide de politiques IAM

    Les administrateurs disposent d'un point central pour accorder et révoquer les accès aux nœuds gérés. En utilisant uniquement des politiques AWS Identity and Access Management (IAM), vous pouvez contrôler quels utilisateurs ou groupes individuels de votre organisation peuvent utiliser Session Manager et à quels nœuds gérés ils peuvent accéder.

  • Aucun port entrant ouvert et aucune nécessité d'ouvrir des hôtes bastion ou des clés SSH

    Sortie des ports SSH entrants et distante PowerShell les ports ouverts sur vos nœuds gérés augmentent considérablement le risque que des entités exécutent des commandes non autorisées ou malveillantes sur les nœuds gérés. Session Manager vous aide à améliorer votre niveau de sécurité en vous permettant de fermer ces ports entrants, vous évitant ainsi de devoir gérer les clés et les certificats SSH, les hôtes bastions et les boîtes de renvoi.

  • Accès en un clic aux nœuds gérés depuis la console et la CLI

    À l'aide de la AWS Systems Manager EC2 console ou de la console Amazon, vous pouvez démarrer une session en un seul clic. À l'aide du AWS CLI, vous pouvez également démarrer une session qui exécute une seule commande ou une séquence de commandes. Étant donné que les autorisations d'accès aux nœuds gérés sont fournies via des politiques IAM et non des clés SSH ou autres mécanismes, le temps de connexion est considérablement réduit.

  • Connectez-vous à la fois aux EC2 instances Amazon et aux nœuds non EC2 gérés dans des environnements hybrides et multicloud

    Vous pouvez vous connecter à la fois à des instances Amazon Elastic Compute Cloud (Amazon EC2) et à EC2 des non-nœuds dans votre environnement hybride et multicloud.

    Pour vous connecter à des EC2 non-nœuds en utilisant Session Manager, vous devez d'abord activer le niveau d'instances avancées. L'utilisation du niveau d'instance avancé est payante. Cependant, la connexion aux EC2 instances à l'aide de Session ManagerPour plus d'informations, consultez Configuration des niveaux d'instance.

  • Réacheminement de port

    Redirigez n'importe quel port de votre nœud géré distant vers un port local sur un client. Après cela, connectez-vous au port local et accédez à l'application serveur qui s'exécute sur le nœud.

  • Support multiplateforme pour Windows, Linux, et macOS

    Session Manager fournit un support pour Windows, Linux, et macOS à partir d'un seul outil. Par exemple, il n'est pas nécessaire d'utiliser un client SSH pour Linux and macOS des nœuds gérés ou une connexion RDP pour Windows Server nœuds gérés.

  • Journalisation de l’activité de session

    Pour satisfaire aux exigences opérationnelles ou de sécurité de votre organisation, vous pouvez avoir besoin de fournir un enregistrement des différentes connexions à vos nœuds gérés et des commandes qui y ont été exécutées. Vous pouvez également recevoir des notifications lorsqu'un utilisateur de votre organisation démarre ou termine une activité de session.

    Des fonctionnalités de journalisation sont fournies via l’intégration aux Services AWS suivants :

    • AWS CloudTrail— AWS CloudTrail capture des informations sur Session Manager Des appels d'API sont effectués dans votre fichier Compte AWS et l'écrit dans des fichiers journaux qui sont stockés dans un compartiment Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Un compartiment est utilisé pour tous les CloudTrail journaux de votre compte. Pour de plus amples informations, veuillez consulter Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail.

    • Amazon Simple Storage Service : vous pouvez choisir de stocker les données des journaux de session dans le compartiment Amazon S3 de votre choix à des fins de débogage et de résolution des problèmes. Les données des journaux peuvent être envoyées à votre compartiment Amazon S3 avec ou sans chiffrement à l'aide de votre AWS KMS key. Pour de plus amples informations, veuillez consulter Journalisation des données de session avec Amazon S3 (console).

    • Amazon CloudWatch Logs — CloudWatch Logs vous permet de surveiller, de stocker et d'accéder à des fichiers journaux provenant de différents sites Services AWS. Vous pouvez envoyer les données du journal de session à un groupe de CloudWatch journaux de journaux à des fins de débogage et de résolution des problèmes. Les données de journal peuvent être envoyées à votre groupe de journaux avec ou sans AWS KMS chiffrement à l'aide de votre clé KMS. Pour de plus amples informations, veuillez consulter Enregistrement des données de session à l'aide d'Amazon CloudWatch Logs (console).

    • Amazon EventBridge et Amazon Simple Notification Service : vous EventBridge permettent de définir des règles pour détecter les modifications apportées aux AWS ressources que vous spécifiez. Vous pouvez créer une règle pour détecter le démarrage ou l'arrêt d'une session par un utilisateur de votre organisation, puis recevoir une notification via Amazon SNS (par exemple, un SMS ou un e-mail) à propos de l'événement. Vous pouvez également configurer un CloudWatch événement pour lancer d'autres réponses. Pour de plus amples informations, veuillez consulter Surveillance de l'activité des sessions à l'aide d'Amazon EventBridge (console).

    Note

    La journalisation n'est pas disponible pour Session Manager sessions qui se connectent via la redirection de port ou SSH. Cela est dû au fait que SSH chiffre toutes les données de session, et Session Manager sert uniquement de tunnel pour les connexions SSH.

Qui doit utiliser Session Manager?

  • Tout AWS client qui souhaite améliorer son niveau de sécurité, réduire ses frais opérationnels en centralisant le contrôle d'accès sur les nœuds gérés et réduire l'accès aux nœuds entrants.

  • Les experts en sécurité de l'information qui souhaitent surveiller et suivre l'accès aux nœuds et leur activité, fermer les ports entrants sur les nœuds gérés ou autoriser les connexions à des nœuds gérés sans adresse IP publique.

  • Les administrateurs qui souhaitent accorder et révoquer l'accès à partir d'un emplacement unique et qui souhaitent fournir une solution unique aux utilisateurs pour Linux, macOS, et Windows Server nœuds gérés.

  • Les utilisateurs qui souhaitent se connecter à un nœud géré en un seul clic depuis le navigateur ou AWS CLI sans avoir à fournir de clés SSH.

Quelles sont les principales caractéristiques de Session Manager?

  • Support pour Windows Server, Linux and macOS nœuds gérés

    Session Manager vous permet d'établir des connexions sécurisées avec vos instances Amazon Elastic Compute Cloud (EC2), vos appareils périphériques, vos serveurs sur site et vos machines virtuelles (VMs). Pour obtenir une liste des types de systèmes d'exploitation pris en charge, consultez Configuration Session Manager.

    Note

    Session Manager le support pour les machines sur site n'est fourni que pour le niveau des instances avancées. Pour plus d’informations, veuillez consulter Activation du niveau d'instances avancées.

  • Accès à la console, à la CLI et au SDK à Session Manager capacités

    Vous pouvez travailler avec Session Manager de la manière suivante :

    La AWS Systems Manager console inclut l'accès à tous les Session Manager fonctionnalités pour les administrateurs et les utilisateurs finaux. Vous pouvez effectuer n'importe quelle tâche liée à vos sessions via la console Systems Manager.

    La EC2 console Amazon permet aux utilisateurs finaux de se connecter à des EC2 instances pour lesquelles ils ont obtenu des autorisations de session.

    AWS CLICela inclut l'accès à Session Manager fonctionnalités pour les utilisateurs finaux. Vous pouvez démarrer une session, consulter la liste des sessions et y mettre fin définitivement en utilisant le AWS CLI.

    Note

    Pour utiliser les commandes AWS CLI d'exécution de session, vous devez utiliser la version 1.16.12 de la CLI (ou une version ultérieure) et vous devez avoir installé Session Manager plugin sur votre machine locale. Pour plus d’informations, veuillez consulter Installer la   Session Manager plugin pour AWS CLI. Pour consulter le plugin sur GitHub, voir session-manager-plugin.

  • Contrôle d'accès IAM

    Les politiques IAM vous permettent de contrôler quels membres de votre organisation peuvent démarrer des sessions sur les nœuds gérés et à quels nœuds ils peuvent accéder. Vous pouvez également fournir un accès temporaire à vos nœuds gérés. Par exemple, vous pouvez accorder à un ingénieur de garde (ou à un groupe d'ingénieurs de garde) l'accès aux serveurs de production uniquement pendant la durée de leur rotation.

  • Prise en charge de la journalisation

    Session Manager vous fournir des options pour enregistrer l'historique de vos sessions Compte AWS grâce à l'intégration à un certain nombre d'autres Services AWS. Pour plus d'informations, consultez Journalisation de l’activité de session et Activation et désactivation de l’enregistrement de la session.

  • Profils de shell configurables

    Session Manager vous propose des options pour configurer les préférences au sein des sessions. Ces profils personnalisables vous permettent de définir des préférences telles que les préférences du shell, les variables d'environnement, les répertoires de travail et l'exécution de plusieurs commandes au démarrage d'une session.

  • Prise en charge du chiffrement des données clés des clients

    Vous pouvez configurer Session Manager pour chiffrer les journaux de données de session que vous envoyez vers un bucket Amazon Simple Storage Service (Amazon S3) ou que vous diffusez vers CloudWatch un groupe de journaux Logs. Vous pouvez également configurer Session Manager pour chiffrer davantage les données transmises entre les machines clientes et vos nœuds gérés pendant vos sessions. Pour obtenir des informations, consultez Activation et désactivation de l’enregistrement de la session et Configurer les préférences de session.

  • AWS PrivateLink prise en charge des nœuds gérés sans adresses IP publiques

    Vous pouvez également configurer des points de terminaison VPC pour Systems Manager afin de AWS PrivateLink sécuriser davantage vos sessions. AWS PrivateLink limite tout le trafic réseau entre vos nœuds gérés, Systems Manager et Amazon EC2 vers le réseau Amazon. Pour plus d'informations, consultez Améliorer la sécurité des EC2 instances en utilisant des points de terminaison VPC pour Systems Manager.

  • Tunnelisation

    Dans une session, utilisez un document de type session AWS Systems Manager (SSM) pour canaliser le trafic, tel que le protocole HTTP ou un protocole personnalisé, entre un port local sur un ordinateur client et un port distant sur un nœud géré.

  • Commandes interactives

    Créez un document SSM de type session qui utilise une session pour exécuter de manière interactive une seule commande, ce qui vous permet de gérer les opérations pouvant être effectuées par les utilisateurs sur un nœud géré.

Qu'est-ce qu'une session ?

Une session est une connexion établie à un nœud géré à l'aide de Session Manager. Les sessions sont basées sur un canal de communication bidirectionnel sécurisé entre le client (vous) et le nœud géré à distance qui diffuse les entrées et les sorties des commandes. Le trafic entre un client et un nœud géré est chiffré via TLS 1.2, et les demandes de création de la connexion sont signées via Sigv4. Cette communication bidirectionnelle permet le bash interactif et PowerShell l'accès aux nœuds gérés. Vous pouvez également utiliser une clé AWS Key Management Service (AWS KMS) pour renforcer le chiffrement des données au-delà du chiffrement TLS par défaut.

Supposons par exemple que John est un ingénieur de garde dans votre service informatique. Il reçoit la notification d'un problème qui lui exige de se connecter à distance à un nœud géré. Il peut s'agir par exemple d'une panne qui nécessite d'être réparée, ou d'une directive pour modifier une option de configuration simple sur un nœud. À l' AWS Systems Manager aide de la EC2 console, de la console Amazon ou du AWS CLI, John démarre une session le connectant au nœud géré, exécute des commandes sur le nœud nécessaire pour effectuer la tâche, puis met fin à la session.

Lorsque John envoie cette première commande pour démarrer la session, Session Manager le service authentifie son identifiant, vérifie les autorisations qui lui sont accordées par une politique IAM, vérifie les paramètres de configuration (tels que la vérification des limites autorisées pour les sessions) et envoie un message à SSM Agent pour ouvrir la connexion bidirectionnelle. Une fois que la connexion est établie et que John a saisi la commande suivante, la sortie de SSM Agent est téléchargé sur ce canal de communication et renvoyé à sa machine locale.

Rubriques

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.