Aggiornamento delle preferenze Session Manager (riga di comando)
Nella procedura seguente viene descritto come utilizzare lo strumento a riga di comando preferito per apportare modifiche alle preferenze AWS Systems Manager Session Manager per l'Account AWS nella Regione AWS selezionata. Utilizza Session Manager per specificare opzioni per la registrazione di dati delle sessioni in un bucket Amazon Simple Storage Service (Amazon S3) o gruppo di registri Amazon CloudWatch Logs. Puoi anche utilizzare le preferenze del Session Manager per crittografare i dati delle sessioni.
Per aggiornare le preferenze Session Manager (riga di comando)
-
Sul proprio computer locale creare un file JSON denominato ad esempio
SessionManagerRunShell.json, quindi incollarvi i seguenti contenuti.{ "schemaVersion": "1.0", "description": "Document to hold regional settings for Session Manager", "sessionType": "Standard_Stream", "inputs": { "s3BucketName": "", "s3KeyPrefix": "", "s3EncryptionEnabled": true, "cloudWatchLogGroupName": "", "cloudWatchEncryptionEnabled": true, "cloudWatchStreamingEnabled": false, "kmsKeyId": "", "runAsEnabled": true, "runAsDefaultUser": "", "idleSessionTimeout": "", "maxSessionDuration": "", "shellProfile": { "windows": "date", "linux": "pwd;ls" } } } -
Specificare dove inviare i dati delle sessioni. È possibile specificare un nome bucket S3 (con un prefisso facoltativo) o un nome del gruppo di registro CloudWatch Logs. Per crittografare ulteriormente i dati tra client locale e i nodi gestiti EC2, fornire la chiave AWS KMS key da utilizzare per la crittografia. Di seguito è riportato un esempio.
{ "schemaVersion": "1.0", "description": "Document to hold regional settings for Session Manager", "sessionType": "Standard_Stream", "inputs": { "s3BucketName": "amzn-s3-demo-bucket", "s3KeyPrefix": "MyS3Prefix", "s3EncryptionEnabled": true, "cloudWatchLogGroupName": "MyLogGroupName", "cloudWatchEncryptionEnabled": true, "cloudWatchStreamingEnabled": false, "kmsKeyId": "MyKMSKeyID", "runAsEnabled": true, "runAsDefaultUser": "MyDefaultRunAsUser", "idleSessionTimeout": "20", "maxSessionDuration": "60", "shellProfile": { "windows": "MyCommands", "linux": "MyCommands" } } }Nota
Se non si desidera crittografare i dati di registro della sessione, modificare
trueinfalsepers3EncryptionEnabled.Se non si inviano log a un bucket Amazon S3 o a un gruppo di registro CloudWatch Logs, non si desidera crittografare dati della sessione attiva o non si desidera attivare il supporto Run As per le sessioni nell'account, è possibile eliminare le righe per queste opzioni. Assicurarsi che l'ultima riga nella sezione
inputsnon termini con una virgola.Se si aggiunge un ID della chiave KMS per crittografare i dati della sessione, gli utenti che avviano le sessioni e i nodi gestiti a cui si collegano devono entrambi disporre dell'autorizzazione per utilizzare la chiave. L'autorizzazione a utilizzare la chiave KMS con Session Manager tramite le policy IAM AWS Identity and Access Management. Per informazioni, consultare gli argomenti seguenti:
-
Aggiungi autorizzazioni AWS KMS per gli utenti nell'account: Policy IAM di esempio per Session Manager.
-
Aggiungi autorizzazioni AWS KMS per i nodi gestiti nell'account: Fase 2: Verifica o aggiungi le autorizzazioni delle istanze per Session Manager.
-
-
Salvare il file.
-
Nella directory in cui è stato creato il file JSON, eseguire il comando seguente.
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente:
{ "DocumentDescription": { "Status": "Updating", "Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE", "Name": "SSM-SessionManagerRunShell", "Tags": [], "DocumentType": "Session", "PlatformTypes": [ "Windows", "Linux" ], "DocumentVersion": "2", "HashType": "Sha256", "CreatedDate": 1537206341.565, "Owner": "111122223333", "SchemaVersion": "1.0", "DefaultVersion": "1", "DocumentFormat": "JSON", "LatestVersion": "2" } }
