Passaggio 8: (Facoltativo) Consentire e controllare le autorizzazioni per le SSH connessioni tramite Session Manager - AWS Systems Manager
Consentire SSH le connessioni per Session ManagerControllo delle autorizzazioni degli utenti per le SSH connessioni tramite Session Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio 8: (Facoltativo) Consentire e controllare le autorizzazioni per le SSH connessioni tramite Session Manager

Puoi consentire agli utenti del tuo account Account AWS di utilizzare il comando AWS Command Line Interface (AWS CLI) per stabilire connessioni Secure Shell (SSH) ai nodi gestiti utilizzando AWS Systems Manager Session Manager. Gli utenti che si connettono utilizzando SSH possono anche copiare file tra le loro macchine locali e i nodi gestiti utilizzando Secure Copy Protocol (SCP). Puoi usare questa funzionalità per connetterti ai nodi gestiti senza aprire porte in entrata o gestire host bastion.

Dopo aver consentito SSH le connessioni, è possibile utilizzare le politiche AWS Identity and Access Management (IAM) per consentire o negare esplicitamente a utenti, gruppi o ruoli di effettuare SSH connessioni. Session Manager

Nota

La registrazione non è disponibile per Session Manager le sessioni che si connettono tramite port forwarding o. SSH Questo perché SSH crittografa tutti i dati della sessione e funge Session Manager solo da tunnel per le connessioni. SSH

Consentire SSH le connessioni per Session Manager

Utilizza la procedura seguente per consentire il passaggio SSH delle connessioni Session Manager su un nodo gestito.

Per consentire SSH le connessioni per Session Manager

  1. Sul nodo gestito a cui desideri consentire le SSH connessioni, procedi come segue:

  2. Sul computer locale da cui desideri connetterti a un nodo gestito utilizzandoSSH, procedi come segue:

    • Accertarsi che la versione 1.1.23.0 o successiva del plugin Session Manager sia installata.

      Per informazioni sull'istallazione del plugin Session Manager, consulta Installa il Session Manager plugin per AWS CLI.

    • Aggiorna il file di SSH configurazione per consentire l'esecuzione di un comando proxy che avvia una Session Manager sessione e trasferisce tutti i dati tramite la connessione.

      Linux e macOS

      Suggerimento

      Il file SSH di configurazione si trova in genere in~/.ssh/config.

      Aggiungere quanto segue al file di configurazione sul computer locale.

      # SSH over Session Manager
host i-* mi-*
    ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"

      Windows

      Suggerimento

      Il file SSH di configurazione si trova in genere inC:\Users\<username>\.ssh\config.

      Aggiungere quanto segue al file di configurazione sul computer locale.

      # SSH over Session Manager
host i-* mi-*
    ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"

    • Crea o verifica di disporre di un certificato Privacy Enhanced Mail (un PEM file), o almeno di una chiave pubblica, da utilizzare per stabilire connessioni ai nodi gestiti. Questa deve essere una chiave già associata al nodo gestito. Le autorizzazioni del file di chiavi private devono essere impostate in modo che tu sia l'unico a poterlo leggere. Puoi utilizzare il seguente comando per impostare le autorizzazioni del file di chiavi private in modo che tu sia l'unico a poterlo leggere.

      chmod 400 <my-key-pair>.pem

      Ad esempio, per un'istanza Amazon Elastic Compute Cloud (AmazonEC2), il file key pair creato o selezionato al momento della creazione dell'istanza. (Specifichi il percorso del certificato o della chiave come parte del comando per avviare una sessione. Per informazioni sull'avvio di una sessione utilizzandoSSH, vedereAvvio di una sessione (SSH).)

Controllo delle autorizzazioni degli utenti per le SSH connessioni tramite Session Manager

Dopo aver abilitato SSH le connessioni tramite Session Manager un nodo gestito, puoi utilizzare IAM le policy per consentire o negare a utenti, gruppi o ruoli la possibilità di effettuare SSH connessioni. Session Manager

Per utilizzare una IAM politica per consentire SSH le connessioni Session Manager

  • Utilizzare una delle opzioni seguenti:

    • Opzione 1: apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

      Nel riquadro di navigazione, scegli Politiche, quindi aggiorna la politica di autorizzazione per l'utente o il ruolo a cui desideri consentire l'Session Manageravvio SSH delle connessioni.

      Ad esempio, aggiungere il seguente elemento alla policy di avvio rapido creata in Policy di avvio rapido per utenti finali per Session Manager. Sostituisci ogni example resource placeholder con le tue informazioni. 

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": [
                "arn:aws:ec2:region:account-id:instance/instance-id",
                "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
            ],
            "Condition": {
                "BoolIfExists": {
                    "ssm:SessionDocumentAccessCheck": "true"
                }
             }
        }
    ]
}

    • Opzione 2: allega una politica in linea a una politica utente utilizzando il AWS Management Console, il AWS CLI, o il AWS API.

      Utilizzando il metodo di vostra scelta, allegate la dichiarazione di politica di cui all'Opzione 1 alla politica per un AWS utente, gruppo o ruolo.

      Per informazioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'IAMutente.

Utilizzare una IAM politica per negare le connessioni tramite SSH Session Manager

  • Utilizzare una delle opzioni seguenti:

    • Opzione 1: apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/. Nel riquadro di navigazione, scegliere Policy e quindi aggiornare le policy di autorizzazione per l'utente o il ruolo per bloccare l'avvio delle sessioni Session Manager.

      Ad esempio, aggiungere il seguente elemento alla policy di avvio rapido creata in Policy di avvio rapido per utenti finali per Session Manager.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
        }
    ],
            "Condition": {
                "BoolIfExists": {
                    "ssm:SessionDocumentAccessCheck": "true"
                }
             }
}

    • Opzione 2: allega una politica in linea a una politica utente utilizzando il AWS Management Console, il AWS CLI, o il AWS API.

      Utilizzando il metodo di vostra scelta, allegate la dichiarazione di politica di cui all'Opzione 1 alla politica per un AWS utente, gruppo o ruolo.

      Per informazioni, consulta Aggiungere e rimuovere le autorizzazioni di IAM identità nella Guida per l'IAMutente.