AWS Systems Manager Session Manager - AWS Systems Manager
Come si può Session Manager sono i vantaggi di per la mia azienda?Chi deve utilizzare Session Manager?Quali sono le caratteristiche principali di Session Manager?Che cos'è una sessione?

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Systems Manager Session Manager

Session Manager è una funzionalità completamente gestita. AWS Systems Manager con Session Manager, puoi gestire le istanze Amazon Elastic Compute Cloud (AmazonEC2), dispositivi edge, server on-premise e e macchine virtuali (). VMs Puoi utilizzare una shell interattiva basata su browser di tipo one-click o la AWS Command Line Interface ().AWS CLISession Manager fornisce una gestione sicura dei nodi senza la necessità di aprire le porte in entrata, mantenere gli host bastion o gestire le chiavi. SSH Session Manager consente inoltre di rispettare le policy aziendali che richiedono l'accesso controllato ai nodi gestiti, rigorose pratiche di sicurezza e log con i dettagli di accesso ai nodi, fornendo al contempo agli utenti finali un semplice accesso multipiattaforma con un clic ai nodi gestiti. Nozioni di base su Session Manager, aprire la console Systems Manager. Nel riquadro di navigazione, scegliere Session Manager.

Come si può Session Manager sono i vantaggi di per la mia azienda?

Session Manager offre i seguenti vantaggi:

  • Controllo degli accessi centralizzato ai nodi gestiti tramite policy IAM

    Gli amministratori dispongono di un'unica posizione da cui concedere e revocare l'accesso ai nodi gestiti. Utilizzando solo AWS Identity and Access Management (IAM) policy, puoi controllare quali utenti singoli o gruppi della tua organizzazione possono utilizzare Session Manager e a quali nodi gestiti possono accedere.

  • Nessuna porta in entrata aperta e nessuna necessità di gestire gli host o le chiavi di Bastion SSH

    Uscire dalle porte in entrata e SSH dal telecomando PowerShell le porte aperte sui nodi gestiti aumentano notevolmente il rischio che le entità eseguano comandi non autorizzati o dannosi sui nodi gestiti. Session Manager ti aiuta a migliorare la tua posizione di sicurezza consentendoti di chiudere queste porte in entrata e liberandoti quindi dalla gestione di certificati e SSH chiavi, bastion host e jumpbox.

  • Accesso con un clic ai nodi gestiti dalla console e CLI

    Utilizzando la AWS Systems Manager console o AmazonEC2, puoi avviare una sessione con un solo clic. Utilizzando AWS CLI, puoi anche avviare una sessione che esegue un singolo comando o una sequenza di comandi. Poiché le autorizzazioni ai nodi gestiti vengono fornite tramite IAM policy anziché SSH chiavi o altri meccanismi, il tempo di connessione viene notevolmente ridotto.

  • Connect sia alle EC2 istanze Amazon che ai nodi non EC2 gestiti in ambienti ibridi e multicloud

    Puoi connetterti sia alle istanze Amazon Elastic Compute Cloud (AmazonEC2) che ai non EC2 nodi nel tuo ambiente ibrido e multicloud.

    Per connettersi a non nodi utilizzando EC2 Session Manager, devi prima attivare il piano istanze avanzate. Viene addebitato un costo per l'utilizzo del livello dei parametri avanzati. Tuttavia, non sono previsti costi aggiuntivi per la connessione alle EC2 istanze tramite Session ManagerPer informazioni, consulta Configurazione dei livelli di istanza.

  • Inoltro alla porta

    Reindirizzare qualsiasi porta all'interno del nodo gestito a una porta locale su un client. Successivamente, connettersi alla porta locale e accedere all'applicazione server in esecuzione all'interno del nodo.

  • Supporto multipiattaforma per Windows, Linuxe macOS

    Session Manager fornisce supporto per Windows, Linuxe macOS da un unico strumento. Ad esempio, non devi utilizzare un SSH client per Linux e macOS nodi gestiti o una RDP connessione per Windows Server nodi gestiti.

  • Registrazione dell'attività della sessione

    Per soddisfare i requisiti operativi o di sicurezza della tua organizzazione, potresti dover fornire un registro delle connessioni effettuate ai nodi gestiti e dei comandi che sono stati eseguiti su di essi. Puoi anche ricevere notifiche quando un utente nella tua organizzazione inizia o termina un'attività della sessione.

    Le funzionalità di registrazione vengono fornite tramite l'integrazione con i seguenti: Servizi AWS

    • AWS CloudTrail— AWS CloudTrail acquisisce informazioni su Session Manager APIchiamate effettuate nel tuo account Account AWS e le scrive nei file di log archiviati in un bucket Amazon S3 (Amazon S3) da te specificato. Per tutti i CloudTrail registri dell'account viene utilizzato un solo bucket. Per ulteriori informazioni, consulta Registrazione delle AWS Systems Manager API chiamate con AWS CloudTrail.

    • Amazon Simple Storage Service: puoi decidere di archiviare i dati di log delle sessioni in un bucket Amazon S3 di tua scelta a scopi di debug e risoluzione dei problemi. I dati di log possono essere inviati al tuo bucket Amazon S3 con o senza crittografia utilizzando la tua chiave AWS KMS key. Per ulteriori informazioni, consulta Registrazione dei dati delle sessioni mediante Amazon S3 (console).

    • Amazon CloudWatch Logs: CloudWatch Logs consente di monitorare, archiviare e accedere ai file di log da diversi. Servizi AWSÈ possibile inviare i dati di log delle sessioni a un gruppo di log dei CloudWatch registri per scopi di debug e risoluzione dei problemi. I dati di log possono essere inviati al tuo gruppo di log con o senza AWS KMS crittografia utilizzando la tua KMS chiave. Per ulteriori informazioni, consulta Registrazione dei dati delle sessioni mediante Amazon CloudWatch Logs (console).

    • Amazon EventBridge e Amazon S3 e Amazon EventBridge S3: ti consente di impostare regole per rilevare quando vengono apportate modifiche alle AWS risorse specificate. Puoi creare una regola per rilevare quando un utente della tua organizzazione avvia o arresta una sessione e quindi ricevere una notifica tramite Amazon SNS (ad esempio, un testo o un messaggio e-mail) sull'evento. Puoi anche configurare un CloudWatch evento per attivare altre risposte. Per ulteriori informazioni, consulta Monitoraggio dell'attività delle sessioni tramite Amazon EventBridge (console).

    Nota

    La registrazione non è disponibile per Session Manager sessioni che si connettono tramite port forwarding o. SSH Questo perché SSH crittografa tutti i dati della sessione e Session Manager funge solo da tunnel per le SSH connessioni.

Chi deve utilizzare Session Manager?

  • Qualsiasi AWS cliente che desideri migliorare la propria posizione di sicurezza, ridurre l'overhead operativo centralizzando il controllo accessi sui nodi gestiti e ridurre l'accesso ai nodi in entrata.

  • Gli esperti di sicurezza delle informazioni che desiderano monitorare e tracciare l'accesso e le attività dei nodi e chiudere le porte in entrata sui nodi gestiti o permettere le connessioni ai nodi gestiti che non dispongono di un indirizzo IP pubblico.

  • Gli amministratori che desiderano concedere e revocare l'accesso da una singola postazione e fornire agli utenti una soluzione per Linux, macOSe Windows Server nodi gestiti.

  • Gli utenti finali che desiderano connettersi a un nodo gestito con un solo clic dal browser o dalla AWS CLI senza dover fornire SSH le chiavi.

Quali sono le caratteristiche principali di Session Manager?

  • Support per Windows Server, Linux e macOS nodi gestiti

    Session Manager consente di stabilire connessioni protette alle istanze Amazon Elastic Compute Cloud (EC2), ai dispositivi edge, ai server on-premise alle macchine virtuali (). VMs Per un elenco dei tipi di sistema operativo dell'istanza supportati, consulta Configurazione di Session Manager.

    Nota

    Session Manager il supporto per server on-premise è fornito solo per il piano istanze avanzate. Per informazioni, consultare Attivazione del piano istanze avanzate.

  • Console e accesso a CLI SDK Session Manager funzionalità

    Puoi lavorare con Session Manager nei seguenti modi:

    La AWS Systems Manager console include l'accesso a tutte le Session Manager funzionalità sia per gli amministratori che per gli utenti finali. Tramite la console Systems Manager, puoi eseguire qualsiasi processo correlato alle tue sessioni.

    La EC2 console Amazon consente agli utenti finali di connettersi alle EC2 istanze per le quali sono state concesse autorizzazioni di sessione.

    AWS CLIInclude l'accesso a Session Manager funzionalità per gli utenti finali. È possibile avviare una sessione, visualizzare un elenco di sessioni e terminare definitivamente una sessione utilizzando AWS CLI.

    Nota

    Per utilizzare AWS CLI per eseguire i comandi della sessione, devi utilizzare la CLI versione 1.16.12 o successiva di. ed è necessario aver installato la Session Manager plug-in sul computer locale. Per informazioni, consultare Installa il Session Manager plugin per AWS CLI. Per visualizzare il plugin su GitHub, vedi session-manager-plugin.

  • IAMcontrollo degli accessi

    Mediante IAM le policy, puoi controllare quali membri della tua organizzazione possono avviare sessioni ai nodi gestiti e a quali nodi possono accedere. Puoi anche fornire un accesso temporaneo ai tuoi nodi gestiti. Ad esempio, puoi assegnare a un tecnico reperibile (o a un gruppo di tecnici reperibili) l'accesso al server di produzione solo per la durata della loro rotazione.

  • Supporto per la registrazione

    Session Manager forniscono le opzioni per registrare le cronologie delle sessioni nell'account Account AWS attraverso l'integrazione con diversi altri. Servizi AWS Per ulteriori informazioni, consulta Attività di registrazione delle sessioni e Abilitazione e disabilitazione della registrazione delle sessioni.

  • Profili della shell configurabili

    Session Manager fornisce le opzioni per configurare le preferenze all'interno delle sessioni. Questi profili personalizzabili permettono di definire preferenze quali le preferenze della shell, le variabili di ambiente, le directory di lavoro ed eseguire più comandi all'avvio di una sessione.

  • Supporto per la crittografia dei dati della chiave del cliente

    È possibile configurare Session Manager crittografare i log dei dati delle sessioni inviati a un bucket Amazon S3 o tramite streaming a un gruppo di log Logs. CloudWatch Puoi anche configurare Session Manager per crittografare ulteriormente i dati trasmessi tra computer client e i nodi gestiti durante le sessioni. Per informazioni, consulta Abilitazione e disabilitazione della registrazione delle sessioni e Configurare le preferenze delle sessioni.

  • AWS PrivateLink Supporto per i nodi gestiti senza indirizzi IP pubblici

    È inoltre possibile configurare VPC Endpoints for Systems Manager utilizzando AWS PrivateLink per proteggere ulteriormente le sessioni. AWS PrivateLink limita il traffico di rete tra i nodi gestiti, Systems Manager e Amazon EC2 alla rete Amazon. Per ulteriori informazioni, consulta Migliorare la sicurezza delle EC2 istanze utilizzando gli VPC endpoint per Systems Manager.

  • Tunneling

    In una sessione, utilizza un documento Session-type AWS Systems Manager (SSM) per creare un tunnel del traffico, ad esempio http o un protocollo personalizzato, tra una porta locale su un computer client e una porta remota su un nodo gestito.

  • Comandi interattivi

    Crea un SSM documento di tipo sessione che utilizza una sessione per eseguire in modo interattivo un singolo comando, offrendo un modo per gestire ciò che gli utenti possono eseguire su un nodo gestito.

Che cos'è una sessione?

Una sessione è una connessione effettuata a un nodo gestito utilizzando Session Manager. Le sessioni si basano su un canale di comunicazione bidirezionale sicuro tra il client (l'utente) e il nodo gestito remoto che trasmette input e output per i comandi. Il traffico tra un client e un nodo gestito viene crittografato utilizzando TLS 1.2 e le richieste per creare la connessione sono firmate utilizzando Sigv4. Questa comunicazione bidirezionale consente la bash interattiva e PowerShell l'accesso ai nodi gestiti. Puoi anche utilizzare una chiave AWS Key Management Service (AWS KMS) per crittografare ulteriormente i dati oltre la TLS crittografia predefinita.

Ad esempio, supponi che John sia un tecnico reperibile del tuo reparto IT. Riceve una notifica di un problema che richiede di connettersi da remoto a un nodo gestito, ad esempio un errore che richiede la risoluzione del problema o una direttiva per modificare una semplice opzione di configurazione su un nodo gestito. Tramite AWS Systems Manager console, la EC2 console Amazon o la AWS CLI, John avvia una sessione per collegarsi al nodo gestito, esegue sul nodo i comandi necessari per completare il processo, quindi termina la sessione.

Quando John invia il primo comando per avviare la sessione, Session Manager il servizio autentica il suo ID, verifica le autorizzazioni concesse da una IAM politica, controlla le impostazioni di configurazione (ad esempio la verifica dei limiti consentiti per le sessioni) e invia un messaggio a SSM Agent per aprire la connessione bidirezionale. Dopo aver stabilito la connessione e dopo aver digitato il comando successivo, il comando emesso da SSM Agent viene caricato su questo canale di comunicazione e rispedito al suo computer locale.

Argomenti