Avviare una sessione con un documento specificando i documenti di sessione nelle policy IAM - AWS Systems Manager
Applicare un controllo delle autorizzazioni dei documento di sessione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Avviare una sessione con un documento specificando i documenti di sessione nelle policy IAM

Se utilizzi il comando start-session della AWS CLI utilizzando il documento di sessione predefinito, puoi omettere il nome del documento. Il sistema richiama automaticamente il documento di sessione SSM-SessionManagerRunShell.

In tutti gli altri casi, devi specificare un valore per il parametro document-name. Quando un utente specifica il nome di un documento di sessione in un comando, i sistemi controllano la policy IAM per verificare che dispongano dell'autorizzazione ad accedere al documento. Se non dispongono dell'autorizzazione, la richiesta di connessione non riesce. Gli esempi seguenti includono il parametro document-name con il documento di sessione AWS-StartPortForwardingSession.

aws ssm start-session \
    --target i-02573cafcfEXAMPLE \
    --document-name AWS-StartPortForwardingSession \
    --parameters '{"portNumber":["80"], "localPortNumber":["56789"]}'

Applicare un controllo delle autorizzazioni dei documento di sessione all'avvio di una sessione

Per limitare l'accesso al documento di sessione AWS-StartPortForwardingSession, puoi aggiungere un elemento di condizione alla policy IAM dell'utente che verifica se l'utente ha accesso esplicito a un documento di sessione. Quando viene applicata questa condizione, l'utente deve specificare un valore per l'opzione document-name del comando start-session. L'elemento di condizione seguente, se aggiunto all'operazione ssm:StartSession nella policy IAM, esegue il controllo dell'accesso al documento di sessione.

"Condition": {
    "BoolIfExists": {
        "ssm:SessionDocumentAccessCheck": "true"
    }
}

Con questo elemento di condizione impostato su true, l'accesso esplicito a un documento di sessione deve essere concesso nella policy IAM affinché l'utente possa avviare una sessione. Per garantire che l'elemento condizione sia applicato, deve essere incluso in tutte le istruzioni della policy che consentono l'operazione ssm:StartSession. Ecco un esempio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableSSMSession",
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:us-west-2:123456789012:instance/i-02573cafcfEXAMPLE",
                "arn:aws:ssm:us-west-2::document/AWS-StartPortForwardingSession"
            ],
            "Condition": {
                "BoolIfExists": {
                    "ssm:SessionDocumentAccessCheck": "true"
                }
            }
        }
    ]
}

Con questa policy IAM attiva, se l'elemento di condizione SessionDocumentAccessCheck è impostato su true, gli utenti devono inserire il parametro document-name nel comando quando avviano una sessione utilizzando la AWS CLI. Il valore di document-name deve essere il documento specificato nella sezione Resource della policy IAM. Se l'utente inserisce un nome di documento diverso o non specifica il parametro document-name, la richiesta ha esito negativo.

Se il l'elemento di condizione SessionDocumentAccessCheck è impostato su false, non influenzerà la valutazione della policy IAM.

Per un esempio di come specificare un documento di sessione Session Manager in una policy IAM, consulta Policy di avvio rapido per utenti finali per Session Manager.

Altri scenari

Per avviare una sessione con SSH, le fasi di configurazione devono essere completate sul nodo gestito di destinazione e sul computer locale dell'utente. Per informazioni, consulta (Facoltativo) Consentire e controllare le autorizzazioni per le connessioni SSH tramite. Session Manager