Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Session Manager AWS Systems Manager Kemampuan yang dikelola sepenuhnya. Dengan Session Manager, Anda dapat mengelola instans Amazon Elastic Compute Cloud (AmazonEC2), perangkat edge, server on-premise, dan mesin virtual (). VMs Anda dapat menggunakan shell berbasis browser satu-klik interaktif atau (). AWS Command Line Interface AWS CLISession Manager menyediakan manajemen simpul aman tanpa perlu membuka port masuk, mempertahankan host bastion, atau mengelola SSH kunci. Session Manager juga memungkinkan Anda untuk mematuhi kebijakan perusahaan yang memerlukan akses terkontrol ke node terkelola, praktik keamanan yang ketat, dan log dengan rincian akses simpul, sekaligus memberikan pengguna akhir dengan akses lintas-platform satu klik sederhana ke node terkelola Anda. Untuk memulai dengan Session Manager, buka konsol Systems Manager
Bagaimana bisa Session Manager menguntungkan organisasi saya?
Session Manager menawarkan manfaat berikut:
-
Kontrol akses terpusat ke node terkelola menggunakan kebijakan IAM
Administrator memiliki satu tempat untuk memberikan dan mencabut akses ke simpul terkelola. Hanya menggunakan kebijakan AWS Identity and Access Management (IAM), Anda dapat mengontrol pengguna atau grup individu mana di organisasi Anda yang dapat menggunakan Session Manager dan node terkelola mana yang dapat mereka akses.
-
Tidak membuka port masuk dan tidak perlu mengelola host atau kunci bastion SSH
Meninggalkan SSH port masuk dan remote PowerShell port yang terbuka pada simpul terkelola Anda sangat meningkatkan risiko entitas menjalankan perintah yang tidak sah atau berbahaya pada simpul terkelola. Session Manager membantu Anda meningkatkan postur keamanan Anda dengan membiarkan Anda menutup port masuk ini, membebaskan Anda dari mengelola SSH kunci dan sertifikat, host bastion, dan kotak lompatan.
-
Akses satu klik ke simpul terkelola dari konsol dan CLI
Dengan menggunakan AWS Systems Manager konsol atau EC2 konsol Amazon, Anda dapat memulai sesi dengan satu klik. Dengan menggunakan AWS CLI, Anda juga dapat memulai sesi yang menjalankan satu perintah atau urutan perintah. Karena izin ke node terkelola diberikan melalui IAM kebijakan bukan SSH kunci atau mekanisme lain, waktu koneksi sangat berkurang.
-
Connect ke EC2 instans Amazon dan node yang tidak EC2 dikelola di lingkungan hybrid dan multicloud
Anda dapat terhubung ke instans Amazon Elastic Compute Cloud (AmazonEC2) dan EC2 non-node di lingkungan hybrid dan multicloud Anda.
Untuk terhubung ke EC2 non-node menggunakan Session Manager, Anda harus terlebih dahulu mengaktifkan tingkat instans lanjutan. Biaya dikenakan untuk menggunakan tingkat instans lanjutan. Namun, tidak ada biaya tambahan untuk terhubung ke EC2 instans menggunakan Session ManagerUntuk informasi, lihat Mengonfigurasi tingkat instans.
-
Penerusan port
Alihkan port apapun di dalam simpul terkelola Anda ke port lokal pada klien. Setelah itu, hubungkan ke port lokal dan akses aplikasi server yang berjalan di dalam simpul.
-
Dukungan lintas platform untuk Windows, Linux, dan macOS
Session Manager memberikan dukungan untuk Windows, Linux, dan macOS dari satu alat. Misalnya, Anda tidak perlu menggunakan SSH klien untuk Linux and macOS node terkelola atau RDP koneksi untuk Windows Server Simpul yang dikelola.
-
Aktivitas sesi pencatatan
Untuk memenuhi persyaratan operasional atau keamanan di organisasi Anda, Anda mungkin perlu memberikan catatan koneksi yang dibuat untuk node terkelola Anda dan perintah yang dijalankan di dalamnya. Anda juga dapat menerima pemberitahuan jika pengguna di organisasi Anda memulai atau mengakhiri aktivitas sesi.
Kemampuan log diberikan melalui integrasi dengan hal-hal berikut Layanan AWS:
-
AWS CloudTrail— AWS CloudTrail menangkap informasi tentang Session Manager APIpanggilan dilakukan di Anda Akun AWS dan menulisnya ke berkas log yang disimpan di bucket Amazon Simple Storage Service (Amazon S3) yang Anda tentukan. Satu bucket digunakan untuk semua CloudTrail log akun Anda. Untuk informasi selengkapnya, lihat Pencatatan AWS Systems Manager API panggilan dengan AWS CloudTrail.
-
Amazon Simple Storage Service— Anda dapat memilih untuk menyimpan data log sesi dalam bucket Amazon S3 menurut pilihan Anda untuk tujuan debugging dan pemecahan masalah. Data log dapat dikirim ke bucket Amazon S3 Anda dengan atau tanpa enkripsi menggunakan AWS KMS key Anda. Untuk informasi selengkapnya, lihat Log data sesi menggunakan Amazon S3 (konsol).
-
Amazon CloudWatch Logs - CloudWatch Log mengizinkan Anda untuk memantau, menyimpan, dan mengakses berkas log dari berbagai Layanan AWS. Anda dapat mengirim data log sesi ke grup CloudWatch log log untuk tujuan debugging dan pemecahan masalah. Data log dapat dikirim ke grup log Anda dengan atau tanpa AWS KMS enkripsi menggunakan KMS kunci Anda. Untuk informasi selengkapnya, lihat Log data sesi menggunakan Amazon CloudWatch Logs (konsol).
-
Amazon EventBridge Simple Notification Service — EventBridge memungkinkan Anda untuk mengatur aturan untuk mendeteksi ketika perubahan terjadi AWS sumber daya yang Anda tentukan. Anda dapat membuat aturan untuk mendeteksi ketika pengguna di organisasi Anda memulai atau menghentikan sesi, dan kemudian menerima pemberitahuan melalui Amazon SNS (misalnya, pesan teks atau email) tentang acara tersebut. Anda juga dapat mengonfigurasi CloudWatch acara untuk memulai respons lainnya. Untuk informasi selengkapnya, lihat Memantau aktivitas sesi menggunakan Amazon EventBridge (konsol).
catatan
Log tidak tersedia untuk Session Manager sesi yang terhubung melalui penerusan port atau. SSH Ini karena SSH mengenkripsi semua data sesi, dan Session Manager hanya berfungsi sebagai terowongan untuk SSH koneksi.
-
Siapa yang harus menggunakan Session Manager?
-
Semua AWS pelanggan yang ingin meningkatkan postur keamanan mereka, mengurangi overhead operasional dengan memusatkan kontrol akses pada node terkelola, dan mengurangi akses simpul masuk.
-
Ahli Keamanan Informasi yang ingin memantau dan melacak akses dan aktivitas node terkelola, menutup port masuk pada node terkelola, atau mengizinkan koneksi ke node terkelola yang tidak memiliki alamat IP publik.
-
Administrator yang ingin memberikan dan mencabut akses dari satu lokasi, dan yang ingin memberikan satu solusi kepada pengguna untuk Linux, macOS, dan Windows Server Simpul yang dikelola.
-
Pengguna yang ingin terhubung ke simpul terkelola hanya dengan satu klik dari peramban atau AWS CLI tanpa harus memberikan SSH kunci.
Apa saja fitur utama dari Session Manager?
-
Support untuk Windows Server, Linux and macOS Simpul yang dikelola
Session Manager memungkinkan Anda untuk membuat koneksi yang aman ke instans Amazon Elastic Compute Cloud (EC2), perangkat edge, server on-premise, dan mesin virtual (). VMs Untuk daftar tipe sistem operasi yang didukung, lihat Menyiapkan Session Manager.
catatan
Session Manager Dukungan untuk mesin on-premise disediakan hanya untuk tingkat instans lanjutan. Untuk informasi, lihat Mengaktifkan tingkat instans lanjutan.
-
Konsol,CLI, dan SDK akses ke Session Manager Kemampuan
Anda dapat bekerja dengan Session Manager dengan cara berikut:
AWS Systems Manager Konsol ini mencakup akses ke semua Session Manager kemampuan untuk administrator dan pengguna akhir. Anda dapat melakukan tugas apa pun yang berkaitan dengan sesi Anda dengan menggunakan konsol Systems Manager.
EC2Konsol Amazon Console memberikan kemampuan bagi pengguna akhir untuk terhubung ke EC2 instans yang izin sesinya telah diberikan kepada mereka.
AWS CLITermasuk akses ke Session Manager Kemampuan untuk pengguna akhir. Anda dapat memulai sesi, melihat daftar sesi, dan mengakhiri sesi secara permanen dengan menggunakan AWS CLI.
catatan
Untuk menggunakan AWS CLI untuk menjalankan perintah sesi, Anda harus menggunakan versi 1.16.12 CLI (atau yang lebih baru), dan Anda harus memasang Session Manager plugin pada mesin lokal Anda. Untuk informasi, lihat Instal Session Manager plugin untuk AWS CLI. Untuk melihat plugin di GitHub, lihat session-manager-plugin
. -
IAMkontrol akses
Melalui penggunaan IAM kebijakan, Anda dapat mengontrol anggota organisasi mana yang dapat memulai sesi ke node terkelola dan node mana yang dapat mereka diakses. Anda juga dapat memberikan akses sementara ke simpul terkelola Anda. Misalnya, Anda mungkin ingin memberikan insinyur on-call (atau sekelompok insinyur on-call) akses ke server produksi hanya selama durasi rotasi mereka.
-
Dukungan pencatatan
Session Manager memberi Anda opsi untuk mencatat riwayat sesi Anda Akun AWS melalui integrasi dengan sejumlah lainnya Layanan AWS. Untuk informasi selengkapnya, silakan lihat Aktivitas sesi pencatatan dan Mengaktifan dan nonaktifan log sesi.
-
Profil shell yang dapat dikonfigurasi
Session Manager memberikan Anda opsi untuk mengonfigurasi preferensi dalam sesi. Profil yang dapat disesuaikan ini mengizinkan Anda untuk menentukan preferensi seperti preferensi shell, variabel lingkungan, direktori kerja, dan menjalankan beberapa perintah ketika sesi dimulai.
-
Dukungan enkripsi data kunci pelanggan
Anda dapat mengonfigurasi Session Manager untuk mengenkripsi log data sesi yang Anda kirim ke bucket Simple Storage Service (Amazon S3) atau streaming ke grup log Amazon Simple Storage Service (Amazon S3) atau streaming ke grup log Log. CloudWatch Anda juga dapat mengonfigurasi Session Manager untuk lebih mengenkripsi data yang dikirimkan antara mesin klien dan simpul terkelola Anda selama sesi Anda. Untuk informasi, lihat Mengaktifan dan nonaktifan log sesi dan Mengkonfigurasi preferensi sesi.
-
AWS PrivateLink dukungan untuk node terkelola tanpa alamat IP publik
Anda juga dapat mengatur VPC Endpoint untuk Systems Manager menggunakan AWS PrivateLink untuk lebih mengamankan sesi Anda. AWS PrivateLink membatasi semua lalu lintas jaringan antara simpul terkelola Anda, Systems Manager, dan Amazon EC2 ke jaringan Amazon. Untuk informasi selengkapnya, lihat Meningkatkan keamanan EC2 instans dengan menggunakan VPC titik akhir untuk Systems Manager.
-
Terowongan
Dalam sesi, gunakan dokumen tipe sesi AWS Systems Manager (SSM) untuk lalu lintas terowongan, seperti http atau protokol khusus, antara port lokal pada mesin klien dan port jarak jauh pada node terkelola.
-
Perintah interaktif
Buat SSM dokumen tipe Sesi yang menggunakan sesi untuk menjalankan satu perintah secara interaktif, memberikan Anda cara untuk mengelola apa yang pengguna dapat lakukan pada node terkelola.
Apa itu sesi?
Sesi adalah koneksi yang dibuat untuk simpul terkelola menggunakan Session Manager. Sesi didasarkan pada saluran komunikasi dua arah yang aman antara klien (Anda) dan node terkelola jarak jauh yang mengalirkan input dan output untuk perintah. Lalu lintas antara klien dan simpul terkelola dienkripsi menggunakan TLS 1.2, dan permintaan untuk membuat koneksi ditandatangani menggunakan Sigv4. Komunikasi dua arah ini mengizinkan bash interaktif dan PowerShell akses ke simpul yang dikelola. Anda juga dapat menggunakan kunci AWS Key Management Service (AWS KMS) untuk lebih mengenkripsi data di luar TLS enkripsi default.
Misalnya, katakanlah bahwa John adalah insinyur on-call di departemen IT Anda. Dia menerima pemberitahuan masalah yang mengharuskan dia untuk terhubung secara jarak jauh ke node terkelola, seperti kegagalan yang memerlukan pemecahan masalah atau arahan untuk mengubah opsi konfigurasi sederhana pada simpul. Dengan menggunakan AWS Systems Manager konsol, EC2 konsol Amazon, atau AWS CLI, John memulai sesi menghubungkan dirinya ke node terkelola, menjalankan perintah pada node yang diperlukan untuk menyelesaikan tugas, dan kemudian mengakhiri sesi.
Ketika John mengirimkan perintah pertama untuk memulai sesi, Session Manager layanan mengautentikasi ID-nya, memverifikasi izin yang diberikan kepadanya dengan IAM kebijakan, memeriksa pengaturan konfigurasi (seperti memverifikasi batas yang diizinkan untuk sesi), dan mengirim pesan ke SSM Agent untuk membuka koneksi dua arah. Setelah koneksi dibuat dan John mengetik perintah berikutnya, output perintah dari SSM Agent Diunggah ke saluran komunikasi ini dan dikirim kembali ke mesin lokalnya.