• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Systems Manager Session Manager
Session Managerè uno AWS Systems Manager strumento completamente gestito. ConSession Manager, puoi gestire istanze Amazon Elastic Compute Cloud (Amazon EC2), dispositivi edge, server locali e macchine virtuali (). VMs Puoi utilizzare una shell interattiva basata su browser con un solo clic o il (). AWS Command Line Interface AWS CLISession Managerfornisce una gestione sicura dei nodi senza la necessità di aprire le porte in entrata, mantenere gli host bastion o gestire le chiavi SSH. Session Managerconsente inoltre di rispettare le politiche aziendali che richiedono l'accesso controllato ai nodi gestiti, pratiche di sicurezza rigorose e log con i dettagli di accesso ai nodi, fornendo al contempo agli utenti finali un semplice accesso multipiattaforma con un clic ai nodi gestiti. Per cominciare a utilizzare Session Manager, apri la [console di Systems Manager](https://console.aws.amazon.com/systems-manager/session-manager). Nel pannello di navigazione, scegli **Session Manager**.
## Quali sono i vantaggi di Session Manager per la mia organizzazione?
Session Manager offre questi vantaggi:
+ **Controllo degli accessi centralizzato ai nodi che utilizzano policy IAM**
Gli amministratori dispongono di un'unica posizione da cui concedere e revocare l'accesso ai nodi gestiti. Utilizzando solo le policy AWS Identity and Access Management (IAM), puoi controllare quali singoli utenti o gruppi dell'organizzazione possono utilizzare Session Manager e a quali nodi gestiti possono accedere.
+ **Nessuna porta in entrata aperta e nessuna necessità di gestire bastion host o chiavi SSH**
Lasciando le porte PowerShell remote o SSH in entrata aperte sui nodi gestiti aumenta notevolmente il rischio che le entità eseguano comandi non autorizzati o dannosi sui nodi gestiti. Session Manager ti aiuta a migliorare la tua posizione di sicurezza consentendoti di chiudere le porte in entrata e liberandoti quindi dalla gestione di certificati e chiavi SSH, host bastione e jumpbox.
+ **Accesso con un clic ai nodi gestiti dalla console e dall'interfaccia a riga di comando (CLI)**
Utilizzando la AWS Systems Manager console o la console Amazon EC2, puoi avviare una sessione con un solo clic. Utilizzando AWS CLI, puoi anche avviare una sessione che esegue un singolo comando o una sequenza di comandi. Poiché le autorizzazioni ai nodi gestiti vengono fornite tramite le policy IAM anziché le chiavi SSH o altri meccanismi, il tempo di connessione viene notevolmente ridotto.
+ **Connessione sia alle istanze Amazon EC2 che ai nodi gestiti non EC2 in ambienti [ibridi e multicloud](operating-systems-and-machine-types.md#supported-machine-types)**
È possibile connetterti sia alle istanze Amazon Elastic Compute Cloud (Amazon EC2) che ai nodi non EC2 nell’ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types).
Per connettersi a nodi non EC2 utilizzando Session Manager, è necessario innanzitutto attivare il piano istanze avanzate. **Viene addebitato un costo per l'utilizzo del livello dei parametri avanzati.** Non sono però previsti costi aggiuntivi per la connessione alle istanze EC2 tramite Session Manager. Per informazioni, consulta [Configurazione dei livelli di istanza](fleet-manager-configure-instance-tiers.md).
+ **Inoltro alla porta**
Reindirizzare qualsiasi porta all'interno del nodo gestito a una porta locale su un client. Successivamente, connettersi alla porta locale e accedere all'applicazione server in esecuzione all'interno del nodo.
+ **Supporto multipiattaforma per Windows, Linux e macOS**
Session Manager fornisce supporto per Windows, Linux e macOS da un unico strumento. Ad esempio, non è necessario utilizzare un client SSH per i nodi gestiti Linux e macOS o una connessione RDP per i nodi gestiti Windows Server.
+ **Attività di registrazione delle sessioni**
Per soddisfare i requisiti operativi o di sicurezza della tua organizzazione, potresti dover fornire un registro delle connessioni effettuate ai nodi gestiti e dei comandi che sono stati eseguiti su di essi. È possibile anche ricevere notifiche quando un utente nella tua organizzazione inizia o termina un'attività della sessione.
Le funzionalità di registrazione vengono fornite tramite l'integrazione con i seguenti Servizi AWS:
+ **AWS CloudTrail**— AWS CloudTrail acquisisce informazioni sulle chiamate Session Manager API effettuate nel tuo Account AWS e le scrive in file di log archiviati in un bucket Amazon Simple Storage Service (Amazon S3) da te specificato. Un bucket viene utilizzato per tutti i CloudTrail log del tuo account. Per ulteriori informazioni, consulta [Registrazione delle chiamate AWS Systems Manager API con AWS CloudTrail](monitoring-cloudtrail-logs.md).
+ **Amazon Simple Storage Service**: è possibile decidere di archiviare i dati di log delle sessioni in un bucket Amazon S3 di tua scelta a scopi di debug e risoluzione dei problemi. I dati di log possono essere inviati al tuo bucket Amazon S3 con o senza crittografia utilizzando la tua chiave AWS KMS key. Per ulteriori informazioni, consulta [Registrazione dei dati delle sessioni mediante Amazon S3 (console)](session-manager-logging-s3.md).
+ **Amazon CloudWatch Logs**: CloudWatch Logs ti consente di monitorare, archiviare e accedere a file di registro da diversi. Servizi AWS Puoi inviare i dati dei log di sessione a un gruppo di log CloudWatch Logs per scopi di debug e risoluzione dei problemi. I dati di registro possono essere inviati al gruppo di log con o senza AWS KMS crittografia utilizzando la chiave KMS. Per ulteriori informazioni, consulta [Registrazione dei dati della sessione tramite Amazon CloudWatch Logs (console)](session-manager-logging-cloudwatch-logs.md).
+ **Amazon EventBridge** e **Amazon Simple Notification Service**: ti EventBridge consente di configurare regole per rilevare quando vengono apportate modifiche alle AWS risorse specificate. È possibile creare una regola per rilevare quando un utente della tua organizzazione avvia o arresta una sessione e quindi ricevere una notifica tramite Amazon SNS (ad esempio, un testo o un messaggio e-mail) sull'evento. Puoi anche configurare un CloudWatch evento per avviare altre risposte. Per ulteriori informazioni, consulta [Monitoraggio dell'attività della sessione tramite Amazon EventBridge (console)](session-manager-auditing.md#session-manager-auditing-eventbridge-events).
**Nota**
La registrazione non è disponibile per sessioni Session Manager che si connettono tramite port forwarding o SSH. Questo perché SSH crittografa tutti i dati della sessione all'interno della connessione TLS sicura stabilita tra gli Session Manager endpoint AWS CLI e funge Session Manager solo da tunnel per le connessioni SSH.
## A chi è consigliato l'uso di Session Manager?
+ Qualsiasi AWS cliente che desideri migliorare il proprio livello di sicurezza, ridurre il sovraccarico operativo centralizzando il controllo degli accessi sui nodi gestiti e ridurre l'accesso ai nodi in entrata.
+ Gli esperti di sicurezza delle informazioni che desiderano monitorare e tracciare l'accesso e le attività dei nodi e chiudere le porte in entrata sui nodi gestiti o permettere le connessioni ai nodi gestiti che non dispongono di un indirizzo IP pubblico.
+ Gli amministratori che desiderano concedere e revocare l'accesso da una singola postazione e fornire agli utenti una soluzione per i nodi gestiti Linux, macOS e Windows Server.
+ Utenti che desiderano connettersi a un nodo gestito con un solo clic dal browser o AWS CLI senza dover fornire chiavi SSH.
## Quali sono le funzionalità principali di Session Manager?
+ **Supporto per i nodi gestiti Windows Server, Linux e macOS**
Session Managerti consente di stabilire connessioni sicure alle istanze Amazon Elastic Compute Cloud (EC2), ai dispositivi edge, ai server locali e alle macchine virtuali (). VMs Per un elenco dei tipi di sistema operativo dell'istanza supportati, consulta [Configurazione di Session Manager](session-manager-getting-started.md).
**Nota**
Il supporto Session Manager per server on-premises è fornito solo per il piano istanze avanzate. Per informazioni, consulta [Attivazione del piano istanze avanzate](fleet-manager-enable-advanced-instances-tier.md).
+ **Accesso alle funzionalità del Session Manager tramite console, interfaccia a riga di comando (CLI) e SDK**
È possibile utilizzare Session Manager nei modi seguenti:
La **console AWS Systems Manager ** include l'accesso a tutte le funzionalità del Session Manager sia per gli amministratori sia per gli utenti finali. Tramite la console Systems Manager, è possibile eseguire qualsiasi processo correlato alle tue sessioni.
La console Amazon EC2 consente agli utenti finali di connettersi alle istanze EC2 per le quali sono state concesse autorizzazioni di sessione.
**AWS CLI** include l'accesso alle funzionalità del Session Manager per gli utenti finali. Puoi avviare una sessione, visualizzare un elenco di sessioni e terminare definitivamente una sessione utilizzando. AWS CLI
**Nota**
Per utilizzare i comandi AWS CLI to run session, devi utilizzare la versione 1.16.12 della CLI (o successiva) e devi aver installato il Session Manager plug-in sul tuo computer locale. Per informazioni, consulta [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md). Per visualizzare il plugin suGitHub, vedi. [session-manager-plugin](https://github.com/aws/session-manager-plugin)
+ **Controllo degli accessi IAM**
Mediante le policy IAM, è possibile controllare quali membri della tua organizzazione possono avviare sessioni ai nodi gestiti e a quali nodi possono accedere. È possibile anche fornire un accesso temporaneo ai tuoi nodi gestiti. Ad esempio, è possibile assegnare a un tecnico reperibile (o a un gruppo di tecnici reperibili) l'accesso al server di produzione solo per la durata della loro rotazione.
+ **Supporto per la registrazione**
Session Manager fornisce le opzioni per la registrazione delle cronologie delle sessioni nell' Account AWS , attraverso l'integrazione con diversi altri Servizi AWS. Per ulteriori informazioni, consultare [Attività di registrazione delle sessioni](session-manager-auditing.md) e [Abilitazione e disabilitazione della registrazione di sessione](session-manager-logging.md).
+ **Profili della shell configurabili**
Session Manager fornisce opzioni per configurare le preferenze all'interno delle sessioni. Questi profili personalizzabili permettono di definire preferenze quali le preferenze della shell, le variabili di ambiente, le directory di lavoro ed eseguire più comandi all'avvio di una sessione.
+ **Supporto per la crittografia dei dati della chiave del cliente**
Puoi configurare Session Manager la crittografia dei log dei dati di sessione che invii a un bucket Amazon Simple Storage Service (Amazon S3) o trasmetti in streaming a un gruppo di log Logs. CloudWatch È possibile anche configurare Session Manager per crittografare ulteriormente i dati trasmessi tra computer client e i tuoi nodi gestiti durante le sessioni. Per informazioni, consulta [Abilitazione e disabilitazione della registrazione di sessione](session-manager-logging.md) e [Configurare le preferenze delle sessioni](session-manager-getting-started-configure-preferences.md).
+ **AWS PrivateLink supporto per nodi gestiti senza indirizzi IP pubblici**
Puoi anche configurare VPC Endpoints for Systems Manager utilizzando AWS PrivateLink per proteggere ulteriormente le tue sessioni. AWS PrivateLink limita tutto il traffico di rete tra i nodi gestiti, Systems Manager e Amazon EC2 alla rete Amazon. Per ulteriori informazioni, consulta [Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager](setup-create-vpc.md).
+ **Tunneling**
In una sessione, usa un documento di tipo sessione AWS Systems Manager (SSM) per effettuare il tunneling del traffico, ad esempio http o un protocollo personalizzato, tra una porta locale su un computer client e una porta remota su un nodo gestito.
+ **Comandi interattivi**
Crea un documento SSM di tipo sessione che utilizza una sessione per eseguire in modo interattivo un singolo comando, offrendo un modo per gestire ciò che gli utenti possono eseguire su un nodo gestito.
## Che cos'è una sessione?
Una sessione è una connessione effettuata a un nodo gestito utilizzando Session Manager. Le sessioni si basano su un canale di comunicazione bidirezionale sicuro tra il client (l'utente) e il nodo gestito remoto che trasmette input e output per i comandi. Il traffico tra un client e un nodo gestito viene crittografato utilizzando TLS 1.2 e le richieste per creare la connessione sono firmate utilizzando Sigv4. Questa comunicazione bidirezionale consente una bash interattiva e PowerShell l'accesso ai nodi gestiti. Puoi anche utilizzare una chiave AWS Key Management Service (AWS KMS) per crittografare ulteriormente i dati oltre alla crittografia TLS predefinita.
Ad esempio, supponi che John sia un tecnico reperibile del tuo reparto IT. Riceve una notifica di un problema che richiede di connettersi da remoto a un nodo gestito, ad esempio un errore che richiede la risoluzione del problema o una direttiva per modificare una semplice opzione di configurazione su un nodo gestito. Utilizzando la AWS Systems Manager console, la console Amazon EC2 o John avvia una sessione collegandolo al nodo gestito, esegue i comandi sul nodo necessari per completare l'attività e quindi termina la sessione. AWS CLI
Quando John invia il primo comando per avviare la sessione, il servizio Session Manager autentica il suo ID, verifica le autorizzazioni concesse da una policy IAM, controlla le impostazioni di configurazione (ad esempio verifica i limiti consentiti per le sessioni) e invia un messaggio all'SSM Agent per aprire il collegamento bidirezionale. Una volta stabilita la connessione e dopo aver digitato il comando successivo, l'output del comando da parte dell'SSM Agent viene caricato su questo canale di comunicazione e inviato nuovamente al computer locale di John.
**Topics**
+ [Quali sono i vantaggi di Session Manager per la mia organizzazione?](#session-manager-benefits)
+ [A chi è consigliato l'uso di Session Manager?](#session-manager-who)
+ [Quali sono le funzionalità principali di Session Manager?](#session-manager-features)
+ [Che cos'è una sessione?](#what-is-a-session)
+ [Configurazione di Session Manager](session-manager-getting-started.md)
+ [Utilizzo di Session Manager](session-manager-working-with.md)
+ [Attività di registrazione delle sessioni](session-manager-auditing.md)
+ [Abilitazione e disabilitazione della registrazione di sessione](session-manager-logging.md)
+ [Schema documento di sessione](session-manager-schema.md)
+ [Risoluzione dei problemi relativi a Session Manager](session-manager-troubleshooting.md)
# Configurazione di Session Manager
Prima di utilizzare il AWS Systems Manager Session Manager per connetterti ai nodi gestiti nel tuo account, completa le fasi descritte nei seguenti argomenti.
**Topics**
+ [Fase 1: completamento dei prerequisiti Session Manager](session-manager-prerequisites.md)
+ [Fase 2: Verifica o aggiungi le autorizzazioni delle istanze per Session Manager](session-manager-getting-started-instance-profile.md)
+ [Fase 3: Controlla l'accesso della sessione ai nodi gestiti](session-manager-getting-started-restrict-access.md)
+ [Fase 4: configurazione delle preferenze delle sessioni](session-manager-getting-started-configure-preferences.md)
+ [Fase 5: (facoltativo) limitazione dell'accesso ai comandi in una sessione](session-manager-restrict-command-access.md)
+ [Fase 6: (Facoltativo) Utilizzare AWS PrivateLink per configurare un endpoint VPC per Session Manager](session-manager-getting-started-privatelink.md)
+ [Fase 7 (facoltativo): abilitazione o disabilitazione delle autorizzazioni amministrative dell'account ssm-account](session-manager-getting-started-ssm-user-permissions.md)
+ [Fase 8: (facoltativo) abilitazione e controllo delle autorizzazioni per le connessioni SSH tramite Session Manager](session-manager-getting-started-enable-ssh-connections.md)
# Fase 1: completamento dei prerequisiti Session Manager
Prima di utilizzare il Session Manager, verifica che il tuo ambiente soddisfi i requisiti seguenti.
**Prerequisiti di Session Manager**
| Requisito | Description |
| --- | --- |
| Sistemi operativi supportati | Session Manager supporta la connessione alle istanze Amazon Elastic Compute Cloud (Amazon EC2), nonché alle macchine non EC2 nell'ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types) che utilizzano il livello *istanze avanzate*. Session Manager supporta le seguenti versioni dei sistemi operativi: Session Manager*supporta istanze EC2, dispositivi edge, server e macchine virtuali locali (VMs) nel tuo ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types) che utilizza il livello di istanze avanzate.* Per ulteriori informazioni sulle istanze avanzate, consulta [Configurazione dei livelli di istanza](fleet-manager-configure-instance-tiers.md). **Linux e **macOS**** Session Managersupporta tutte le versioni di e che sono supportate da. Linux macOS AWS Systems Manager Per informazioni, consulta [Sistemi operativi e tipi di macchine supportati](operating-systems-and-machine-types.md). ** Windows ** Session Manager supporta la versione Windows Server 2012 e le successive. Microsoft Windows Server 2016 Nano non è supportato. |
| SSM Agent | È necessario installare almeno la AWS Systems Manager SSM Agent versione 2.3.68.0 o successiva sui nodi gestiti a cui si desidera connettersi tramite sessioni. Per utilizzare l'opzione per crittografare i dati della sessione utilizzando una chiave creata in AWS Key Management Service (AWS KMS), è necessario installare sul nodo gestito la versione 2.3.539.0 o successiva diSSM Agent. Per utilizzare i profili di shell in una sessione, la versione 3.0.161.0 o successiva di SSM Agent deve essere installata sul nodo gestito. Per avviare un Port forwarding o una sessione SSH su Session Manager, la versione 3.0.222.0 o successiva di SSM Agent deve essere installata sul nodo gestito. Per eseguire lo streaming dei dati della sessione utilizzando Amazon CloudWatch Logs, è necessario installare la SSM Agent versione 3.0.284.0 o successiva sul nodo gestito. Per informazioni su come determinare il numero di versione in esecuzione su un'istanza, consulta [Verifica del numero di versione di SSM Agent](ssm-agent-get-version.md). Per informazioni sull'installazione o l'aggiornamento di SSM Agent, consulta [Utilizzo di SSM Agent](ssm-agent.md). Informazioni sull'account ssm-user A partire dalla versione 2.3.50.0 di SSM Agent, l'agente crea un account utente nel nodo gestito, con autorizzazioni di amministratore o root, denominato `ssm-user`. (Nelle versioni precedenti alla 2.3.612.0, l'account viene creato quando SSM Agent viene avviato o riavviato. Nella versione 2.3.612.0 e successive, `ssm-user` viene creato la prima volta che si avvia una sessione sul nodo gestito). Le sessioni vengono avviate utilizzando le credenziali amministrative di questo account utente. Per informazioni su come limitare il controllo amministrativo per questo account, consulta [Disattivare o attivare le autorizzazioni amministrative dell'account ssm-user](session-manager-getting-started-ssm-user-permissions.md). ssm-user su controller di dominio Windows Server A partire dalla versione 2.3.612.0 di SSM Agent, l'account `ssm-user` non viene creato automaticamente su nodi gestiti utilizzate come controller di dominio Windows Server. Per utilizzare Session Manager su un sistema Windows Server utilizzato come controller di dominio, è necessario creare l'account `ssm-user` manualmente, se non è già presente, e assegnare le autorizzazioni di amministratore di dominio all'utente. In Windows Server, SSM Agent imposta una nuova password per l'account `ssm-user` ogni volta che viene avviata una sessione, pertanto non è necessario specificare una password quando si crea l'account. |
| Connettività agli endpoint | In questo caso, i nodi gestiti devono consentire anche il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/session-manager-prerequisites.html) Per ulteriori informazioni, consulta i seguenti argomenti: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/session-manager-prerequisites.html) In alternativa, è possibile connettersi agli endpoint richiesti utilizzando gli endpoint di interfaccia. Per ulteriori informazioni, consulta [Fase 6: (Facoltativo) Utilizzare AWS PrivateLink per configurare un endpoint VPC per Session Manager](session-manager-getting-started-privatelink.md). |
| AWS CLI | (Facoltativo) Se utilizzi AWS Command Line Interface (AWS CLI) per avviare le sessioni (anziché utilizzare la AWS Systems Manager console o la console Amazon EC2), la versione 1.16.12 o successiva della CLI deve essere installata sul computer locale. È possibile chiamare `aws --version` per controllare la versione. Se devi installare o aggiornare la CLI, consulta [Installazione](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) di AWS Command Line Interface nella Guida per l' AWS Command Line Interface utente. Una versione aggiornata di SSM Agent viene distribuita ogni volta che vengono aggiunti nuovi strumenti a Systems Manager o eseguiti aggiornamenti degli strumenti esistenti. Il mancato utilizzo della versione più recente dell'agente può impedire al nodo gestito di utilizzare vari strumenti e funzionalità di Systems Manager. Per questo motivo, ti consigliamo di automatizzare il processo di aggiornamento di SSM Agent sulle macchine. Per informazioni, consulta [Automazione degli aggiornamenti di SSM Agent](ssm-agent-automatic-updates.md). Iscriviti alla pagina [Note di rilascio di SSM Agent](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md) su GitHub per ricevere notifiche sugli aggiornamenti di SSM Agent. Inoltre, per utilizzare la CLI per gestire i tuoi nodi con il Session Manager, devi prima installare il plug-in Session Manager sul computer locale. Per informazioni, consulta [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md). |
| Attivazione del piano istanze avanzate (ambienti [ibridi e multicloud](operating-systems-and-machine-types.md#supported-machine-types)) | Per connetterti a macchine non EC2 utilizzandoSession Manager, devi attivare il livello Advanced-Instances nel Regione AWS quale creare attivazioni ibride per Account AWS registrare macchine non EC2 come nodi gestiti. Viene addebitato un costo per l'utilizzo del piano istanze avanzate. Per ulteriori informazioni sul livello istanze avanzate, consulta [Configurazione dei livelli di istanza](fleet-manager-configure-instance-tiers.md). |
| Verifica delle autorizzazioni del ruolo di servizio IAM (ambienti [ibridi e multicloud](operating-systems-and-machine-types.md#supported-machine-types)) | I nodi attivati in modalità ibrida utilizzano il ruolo di servizio AWS Identity and Access Management (IAM) specificato nell'attivazione ibrida per comunicare con le operazioni dell'API Systems Manager. Questo ruolo di servizio deve contenere le autorizzazioni necessarie per connettersi alle macchine [ibride e multicloud](operating-systems-and-machine-types.md#supported-machine-types) utilizzando Session Manager. Se il ruolo di servizio contiene la policy AWS gestita`AmazonSSMManagedInstanceCore`, le autorizzazioni richieste per Session Manager sono già state fornite. Se si scopre che il ruolo di servizio non contiene le autorizzazioni richieste, è necessario annullare la registrazione dell'istanza gestita e registrarla con una nuova attivazione ibrida che utilizza un ruolo di servizio IAM con le autorizzazioni richieste. Per ulteriori informazioni sull'annullamento delle registrazioni delle istanze gestite, consulta [Annullamento della registrazione dei nodi gestiti in un ambiente ibrido e multicloud](fleet-manager-deregister-hybrid-nodes.md). Per ulteriori informazioni sulla creazione di policy IAM con autorizzazioni Session Manager, vedi [Fase 2: Verifica o aggiungi autorizzazioni di istanze per Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-instance-profile.html). |
# Fase 2: Verifica o aggiungi le autorizzazioni delle istanze per Session Manager
Per impostazione predefinita, AWS Systems Manager non dispone dell'autorizzazione per eseguire azioni sulle tue istanze. È possibile fornire le autorizzazioni di istanza a livello di account utilizzando un ruolo AWS Identity and Access Management (IAM) o a livello di istanza utilizzando un profilo dell'istanza. Se il caso d'uso lo consente, ti consigliamo di concedere l'accesso a livello di account utilizzando la configurazione di gestione host predefinita. Se hai già impostato la configurazione di gestione host predefinita per il tuo account utilizzando la policy `AmazonSSMManagedEC2InstanceDefaultPolicy`, è possibile procedere con il passaggio successivo. Per ulteriori informazioni sulla configurazione di gestione host predefinita, consulta [Gestione automatica delle istanze EC2 con la configurazione di gestione host predefinita](fleet-manager-default-host-management-configuration.md).
In alternativa, è possibile utilizzare i profili di istanza per fornire le autorizzazioni necessarie alle tue istanze. Un profilo dell'istanza passa un ruolo IAM a un'istanza Amazon EC2. È possibile collegare un profilo dell'istanza IAM a un'istanza Amazon EC2 all'avvio o a un'istanza avviata in precedenza. Per ulteriori informazioni, consulta [Utilizzo dei profili dell'istanza](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
Per i server locali o le macchine virtuali (VMs), le autorizzazioni sono fornite dal ruolo del servizio IAM associato all'attivazione ibrida utilizzata per registrare i server locali e con Systems VMs Manager. Server locali e VMs non utilizzano profili di istanza.
Se utilizzi già altri strumenti di Systems Manager, ad esempio Run Command o Parameter Store, un profilo dell'istanza con le autorizzazioni di base richieste per il Session Manager potrebbe essere già associato alle tue istanze Amazon EC2. Se un profilo di istanza che contiene la policy AWS gestita `AmazonSSMManagedInstanceCore` è già associato alle istanze, le autorizzazioni richieste per Session Manager sono già state fornite. Ciò vale anche se il ruolo di servizio IAM utilizzato nell'attivazione ibrida contiene la policy gestita `AmazonSSMManagedInstanceCore`.
Tuttavia, in alcuni casi, potrebbe essere necessario modificare le autorizzazioni collegate al profilo dell'istanza. Ad esempio, desideri fornire un set più ristretto di autorizzazioni per l'istanza, hai creato una policy personalizzata per il tuo profilo di istanza o desideri utilizzare le opzioni di crittografia o () di crittografia di Amazon Simple Storage Service (Amazon S3) AWS Key Management Service o AWS KMS() per proteggere i dati della sessione. Per questi casi, procedi in uno dei seguenti modi per consentire l'esecuzione di operazioni Session Manager sulle istanze:
+ **Incorpora autorizzazioni per azioni Session Manager in un ruolo IAM personalizzato**
Per aggiungere Session Manager autorizzazioni per azioni a un ruolo IAM esistente che non si basa sulla policy predefinita AWS fornita, segui la procedura riportata di seguito. `AmazonSSMManagedInstanceCore` [Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente](getting-started-add-permissions-to-existing-profile.md)
+ **Crea un ruolo IAM personalizzato solo con le autorizzazioni del Session Manager**
Per creare un ruolo IAM che contenga solo le autorizzazioni per le operazioni del Session Manager, segui i passaggi riportati in [Creare un ruolo IAM personalizzato per Session Manager](getting-started-create-iam-instance-profile.md).
+ **Crea e utilizza un nuovo ruolo IAM con le autorizzazioni per tutte le operazioni di Systems Manager**
Per creare un ruolo IAM per le istanze gestite di Systems Manager che utilizza una policy predefinita fornita da AWS per concedere tutte le autorizzazioni di Systems Manager, segui i passaggi in [Configurare le autorizzazioni delle istanze richieste per Systems Manager](setup-instance-permissions.md).
**Topics**
+ [Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente](getting-started-add-permissions-to-existing-profile.md)
+ [Creare un ruolo IAM personalizzato per Session Manager](getting-started-create-iam-instance-profile.md)
# Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente
Utilizza la procedura seguente per aggiungere autorizzazioni Session Manager a un ruolo AWS Identity and Access Management (IAM) esistente. Aggiungendo autorizzazioni a un ruolo esistente, è possibile migliorare la sicurezza dell'ambiente informatico senza dover utilizzare la AWS `AmazonSSMManagedInstanceCore` policy, ad esempio le autorizzazioni.
**Nota**
Prendi nota delle seguenti informazioni:
Questa procedura presuppone che il tuo ruolo esistente includa già altre autorizzazioni di Systems Manager `ssm` per le operazioni a cui desideri permettere l'accesso. Questa policy da sola non è sufficiente per l'utilizzo di Session Manager.
Il seguente esempio di policy include un'azione `s3:GetEncryptionConfiguration`. Questa azione è necessaria se hai scelto l'opzione **Applica crittografia dei log S3** nelle preferenze di registrazione di Session Manager.
Se l'`ssmmessages:OpenControlChannel`autorizzazione viene rimossa dalle policy allegate al profilo dell'istanza IAM o al ruolo del servizio IAM, SSM Agent sul nodo gestito perde la connettività al servizio Systems Manager nel cloud. Tuttavia, può essere necessaria fino a 1 ora prima che una connessione venga interrotta dopo la rimozione dell'autorizzazione. Si tratta dello stesso comportamento che si verifica quando il ruolo dell'istanza IAM o il ruolo del servizio IAM vengono eliminati.
**Per aggiungere le autorizzazioni Session Manager per il ruolo dell'istanza per un ruolo esistente (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Seleziona il nome del ruolo al quale desideri aggiungere le autorizzazioni.
1. Scegli la scheda **Autorizzazioni**.
1. Scegli **Aggiungi autorizzazioni**, quindi scegli **Aggiungi policy inline**.
1. Scegli la scheda **JSON**.
1. Sostituisci il contenuto predefinito della policy con il seguente. Sostituisci *key-name* con l'Amazon Resource Name (ARN) della AWS Key Management Service chiave (AWS KMS key) che desideri utilizzare.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Per ulteriori informazioni sull'utilizzo di una chiave KMS per crittografare i dati della sessione, consulta [Attiva la crittografia delle chiavi KMS per i dati delle sessioni (console)](session-preferences-enable-encryption.md).
Se non intendi utilizzare la AWS KMS crittografia per i dati della sessione, puoi rimuovere i seguenti contenuti dalla policy.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Scegli **Successivo: Tag**.
1. (Facoltativo) Aggiungi i tag scegliendo **Aggiungi tag** e inserendo i tag preferiti per la policy.
1. Seleziona **Next: Revisione**.
1. Nella pagina **Rivedi policy**, per l'opzione **Nome** specifica un nome per la policy inline, ad esempio **SessionManagerPermissions**.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per la policy.
Scegli **Crea policy**.
Per informazioni sulle operazioni `ssmmessages`, consulta [Referenza: ec2messages, ssmmessages e altre operazioni API](systems-manager-setting-up-messageAPIs.md).
# Creare un ruolo IAM personalizzato per Session Manager
Puoi creare un ruolo AWS Identity and Access Management (IAM) che conceda Session Manager l'autorizzazione a eseguire azioni sulle istanze gestite di Amazon EC2. Puoi anche includere una politica per concedere le autorizzazioni necessarie per l'invio dei log di sessione ad Amazon Simple Storage Service (Amazon S3) e Amazon Logs. CloudWatch
Dopo aver creato il ruolo IAM, per informazioni su come associare il ruolo a un'istanza, consulta [Allega o sostituisci un profilo di istanza](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/) sul sito Web. AWS re:Post Per ulteriori informazioni sui profili e i ruoli delle istanze IAM, consulta [Utilizzo di profili di istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) nella *Guida per l'utente IAM* e [Ruoli IAM per Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) nella *Guida per l’utente di Amazon Elastic Compute Cloud per istanze Linux*. Per ulteriori informazioni sulla creazione di un ruolo di servizio IAM per macchine on-premises, consulta [Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html).
**Topics**
+ [Creazione di un ruolo IAM con le autorizzazioni minime per il Session Manager (console)](#create-iam-instance-profile-ssn-only)
+ [Creazione di un ruolo IAM con autorizzazioni per Amazon S3 Session Manager CloudWatch e Logs (console)](#create-iam-instance-profile-ssn-logging)
## Creazione di un ruolo IAM con le autorizzazioni minime per il Session Manager (console)
Utilizza la procedura seguente per creare un ruolo IAM personalizzato con una policy che fornisce solo le autorizzazioni per le operazioni del Session Manager sulle tue istanze.
**Per creare un profilo dell'istanza con autorizzazioni minime per il Session Manager (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, scegli **Policy** e **Crea policy**. (Se viene visualizzato il pulsante **Inizia**, sceglierlo, quindi scegli **Crea policy**).
1. Scegli la scheda **JSON**.
1. Sostituire il contenuto di default con la seguente policy. Per crittografare i dati della sessione utilizzando AWS Key Management Service (AWS KMS), sostituiscili *key-name* con l'Amazon Resource Name (ARN) che desideri utilizzare. AWS KMS key
**Nota**
Se l'`ssmmessages:OpenControlChannel`autorizzazione viene rimossa dalle policy allegate al profilo dell'istanza IAM o al ruolo del servizio IAM, SSM Agent sul nodo gestito perde la connettività al servizio Systems Manager nel cloud. Tuttavia, può essere necessaria fino a 1 ora prima che una connessione venga interrotta dopo la rimozione dell'autorizzazione. Si tratta dello stesso comportamento che si verifica quando il ruolo dell'istanza IAM o il ruolo del servizio IAM vengono eliminati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Per ulteriori informazioni sull'utilizzo di una chiave KMS per crittografare i dati della sessione, consulta [Attiva la crittografia delle chiavi KMS per i dati delle sessioni (console)](session-preferences-enable-encryption.md).
Se non intendi utilizzare la AWS KMS crittografia per i dati della sessione, puoi rimuovere i seguenti contenuti dalla policy.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Scegli **Successivo: Tag**.
1. (Facoltativo) Aggiungi i tag scegliendo **Aggiungi tag** e inserendo i tag preferiti per la policy.
1. Seleziona **Next: Revisione**.
1. Nella pagina **Rivedi policy**, per l'opzione **Nome** specifica un nome per la policy inline, ad esempio **SessionManagerPermissions**.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per la policy.
1. Scegliere **Create Policy (Crea policy)**.
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Sulla pagina **Crea ruolo**, scegli **AWS servizio**, e per **Caso d'uso**, scegli **EC2**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Aggiungi autorizzazioni**, seleziona la casella di controllo a sinistra del nome della policy appena creata, ad esempio **SessionManagerPermissions**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rinomina, revisione e creazione**, per **Nome ruolo** immettere un nome per il ruolo IAM, ad esempio **MySessionManagerRole**.
1. (Facoltativo) Per **Descrizione ruolo**, immetti una descrizione per il profilo dell'istanza.
1. (Facoltativo) Aggiungi i tag scegliendo **Aggiungi tag** e inserendo i tag preferiti per il ruolo.
Scegli **Crea ruolo**.
Per informazioni sulle operazioni di `ssmmessages`, consulta [Referenza: ec2messages, ssmmessages e altre operazioni API](systems-manager-setting-up-messageAPIs.md).
## Creazione di un ruolo IAM con autorizzazioni per Amazon S3 Session Manager CloudWatch e Logs (console)
Utilizza la procedura seguente per creare un ruolo IAM personalizzato con una policy che fornisce le autorizzazioni per le operazioni del Session Manager sulle tue istanze. La policy fornisce anche le autorizzazioni necessarie per l'archiviazione dei log di sessione nei bucket Amazon Simple Storage Service (Amazon S3) e nei gruppi di log Amazon Logs. CloudWatch
**Importante**
Per eseguire l'output dei log di sessione su un bucket Amazon S3 appartenente a un Account AWS diverso, devi aggiungere l'autorizzazione `s3:PutObjectAcl` alla policy del ruolo IAM. Inoltre, devi assicurarti che la policy del bucket conceda l'accesso multi-account al ruolo IAM utilizzato dall'account proprietario per concedere le autorizzazioni di Systems Manager per le istanze gestite. Se il bucket utilizza la crittografia Key Management Service (KMS), anche la policy KMS del bucket deve concedere questo accesso multi-account. Per ulteriori informazioni sulla configurazione di autorizzazioni del bucket multi-account in Amazon S3, consulta [Concessione di autorizzazioni del bucket multi-account](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) nella *Guida per l'utente di Amazon Simple Storage Service*. Se queste autorizzazioni multi-account non vengono aggiunte, l'account proprietario del bucket Amazon S3 non è in grado di accedere ai log di output della sessione.
Per informazioni su come specificare le preferenze di archiviazione per i log delle sessioni, consulta [Abilitazione e disabilitazione della registrazione di sessione](session-manager-logging.md).
**Per creare un ruolo IAM con autorizzazioni per Amazon S3 Session Manager CloudWatch e Logs (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel pannello di navigazione, scegli **Policy** e **Crea policy**. (Se viene visualizzato il pulsante **Inizia**, sceglierlo, quindi scegli **Crea policy**).
1. Scegli la scheda **JSON**.
1. Sostituire il contenuto di default con la seguente policy. Sostituisci ogni *example resource placeholder* con le tue informazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"ssm:UpdateInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
},
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "*"
}
]
}
```
------
1. Scegli **Successivo: Tag**.
1. (Facoltativo) Aggiungi i tag scegliendo **Aggiungi tag** e inserendo i tag preferiti per la policy.
1. Seleziona **Next: Revisione**.
1. Nella pagina **Rivedi policy**, per l'opzione **Nome** specifica un nome per la policy inline, ad esempio **SessionManagerPermissions**.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per la policy.
1. Scegliere **Create Policy (Crea policy)**.
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Sulla pagina **Crea ruolo**, scegli **AWS servizio**, e per **Caso d'uso**, scegli **EC2**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Aggiungi autorizzazioni**, seleziona la casella di controllo a sinistra del nome della policy appena creata, ad esempio **SessionManagerPermissions**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rinomina, revisione e creazione**, per **Nome ruolo** immettere un nome per il ruolo IAM, ad esempio **MySessionManagerRole**.
1. (Facoltativo) In **Descrizione del ruolo**, immetti una descrizione per il nuovo ruolo.
1. (Facoltativo) Aggiungi i tag scegliendo **Aggiungi tag** e inserendo i tag preferiti per il ruolo.
1. Scegli **Crea ruolo**.
# Fase 3: Controlla l'accesso della sessione ai nodi gestiti
Puoi concedere o revocare Session Manager l'accesso ai nodi gestiti utilizzando le policy AWS Identity and Access Management (IAM). È possibile creare una policy e collegarla a un utente o gruppo IAM che specifichi a quali nodi gestiti l'utente o il gruppo può connettersi. È possibile anche specificare le operazioni API Session Manager che l'utente o i gruppi possono eseguire su tali nodi gestiti.
Per aiutarti a iniziare a usare le policy di autorizzazione IAM per Session Manager, abbiamo creato policy di esempio per un utente finale e un utente amministratore. È possibile utilizzare queste policy solo con modifiche minori. Oppure è possibile usarle come guida per creare policy IAM personalizzate. Per ulteriori informazioni, consulta [Policy IAM di esempio per Session Manager](getting-started-restrict-access-quickstart.md). Per informazioni su come creare policy IAM e collegarle a utenti o gruppi, consulta le pagine [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) e [Aggiunta e rimozione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella *Guida per l'utente di IAM*.
**Informazioni sui formati ARN degli ID di sessione**
Quando crei una policy IAM per l'accesso di Session Manager, specifichi un ID di sessione come parte del nome della risorsa Amazon (ARN). L'ID di sessione include il nome utente come variabile. A scopo illustrativo, ecco il formato di un ARN di Session Manager e un esempio:
```
arn:aws:ssm:region-id:account-id:session/session-id
```
Esempio:
```
arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE
```
Per ulteriori informazioni sull'utilizzo delle variabili nelle policy IAM, consulta [Elementi delle policy IAM: variabili](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html).
**Topics**
+ [Avviare una sessione di shell predefinita specificando il documento di sessione predefinito nelle policy IAM](getting-started-default-session-document.md)
+ [Avviare una sessione con un documento specificando i documenti di sessione nelle policy IAM](getting-started-specify-session-document.md)
+ [Policy IAM di esempio per Session Manager](getting-started-restrict-access-quickstart.md)
+ [Altre policy IAM di esempio per Session Manager](getting-started-restrict-access-examples.md)
# Avviare una sessione di shell predefinita specificando il documento di sessione predefinito nelle policy IAM
Quando si configura Session Manager per Account AWS o quando si modificano le preferenze di sessione nella console Systems Manager, il sistema crea un documento di sessione SSM chiamato`SSM-SessionManagerRunShell`. Questo è il documento di sessione predefinito. Session Manager utilizza questo documento per memorizzare le preferenze di sessione, che includono informazioni come le seguenti:
+ Una posizione in cui desideri salvare i dati della sessione, ad esempio un bucket Amazon Simple Storage Service (Amazon S3) o un gruppo di log CloudWatch Amazon Logs.
+ Un ID chiave AWS Key Management Service (AWS KMS) per crittografare i dati della sessione.
+ Se il supporto Run As è consentito o meno per le sessioni.
Ecco un esempio delle informazioni contenute nel documento sulle preferenze di sessione `SSM-SessionManagerRunShell`.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "amzn-s3-demo-bucket",
"s3KeyPrefix": "MyS3Prefix",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "MyCWLogGroup",
"cloudWatchEncryptionEnabled": false,
"kmsKeyId": "1a2b3c4d",
"runAsEnabled": true,
"runAsDefaultUser": "RunAsUser"
}
}
```
Per impostazione predefinita, Session Manager utilizza il documento di sessione predefinito quando un utente avvia una sessione dalla Console di gestione AWS. Questo vale Fleet Manager sia Session Manager per la console Systems Manager che per EC2 Connect nella console Amazon EC2. Session Managerutilizza anche il documento di sessione predefinito quando un utente avvia una sessione utilizzando un AWS CLI comando come nell'esempio seguente:
```
aws ssm start-session \
--target i-02573cafcfEXAMPLE
```
Per accedere alla sessione di shell predefinita, è necessario specificare il documento di sessione predefinito nella policy IAM, come mostrato nell'esempio seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSSMSession",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/instance-id",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": [
"ssmmessages:OpenDataChannel"
],
"Resource": [
"*"
]
}
]
}
```
------
# Avviare una sessione con un documento specificando i documenti di sessione nelle policy IAM
Se utilizzi il comando [start-session](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html) della AWS CLI utilizzando il documento di sessione predefinito, puoi omettere il nome del documento. Il sistema richiama automaticamente il documento di sessione `SSM-SessionManagerRunShell`.
In tutti gli altri casi, devi specificare un valore per il parametro `document-name`. Quando un utente specifica il nome di un documento di sessione in un comando, i sistemi controllano la policy IAM per verificare che dispongano dell'autorizzazione ad accedere al documento. Se non dispongono dell'autorizzazione, la richiesta di connessione non riesce. Gli esempi seguenti includono il parametro `document-name` con il documento di sessione `AWS-StartPortForwardingSession`.
```
aws ssm start-session \
--target i-02573cafcfEXAMPLE \
--document-name AWS-StartPortForwardingSession \
--parameters '{"portNumber":["80"], "localPortNumber":["56789"]}'
```
Per un esempio di come specificare un documento di sessione Session Manager in una policy IAM, consulta [Policy di avvio rapido per utenti finali per Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user).
**Nota**
Per avviare una sessione con SSH, le fasi di configurazione devono essere completate sul nodo gestito di destinazione *e* sul computer locale dell'utente. Per informazioni, consulta [(Facoltativo) Abilitare e controllare le autorizzazioni per le connessioni SSH tramite Session Manager](session-manager-getting-started-enable-ssh-connections.md).
# Policy IAM di esempio per Session Manager
Usa gli esempi in questa sezione per aiutarti a creare policy AWS Identity and Access Management (IAM) che forniscano le autorizzazioni di Session Manager accesso più comunemente necessarie.
**Nota**
Puoi anche utilizzare una AWS KMS key policy per controllare a quali entità IAM (utenti o ruoli) Account AWS viene concesso l'accesso alla tua chiave KMS. Per informazioni, consulta [Panoramica sulla gestione dell'accesso alle AWS KMS risorse](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) e sull'[utilizzo delle politiche chiave AWS KMS nella](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Guida per gli AWS Key Management Service sviluppatori*.
**Topics**
+ [Policy di avvio rapido per utenti finali per Session Manager](#restrict-access-quickstart-end-user)
+ [Policy di avvio rapido per amministratori per Session Manager](#restrict-access-quickstart-admin)
## Policy di avvio rapido per utenti finali per Session Manager
Utilizzare gli esempi seguenti per creare policy IAM per l'utente finale per Session Manager.
Puoi creare una policy che consenta agli utenti di avviare sessioni solo dalla Session Manager console e AWS Command Line Interface (AWS CLI), solo dalla console Amazon Elastic Compute Cloud (Amazon EC2) o da tutte e tre.
Queste policy offrono agli utenti finali la possibilità di avviare una sessione per una determinato nodo gestito nonché la possibilità di terminare solo le proprie sessioni. Per alcuni esempi di personalizzazioni che potresti applicare alla policy, fai riferimento a [Altre policy IAM di esempio per Session Manager](getting-started-restrict-access-examples.md).
Nei seguenti esempi di policy, sostituisci ognuna *example resource placeholder* con le tue informazioni.
Scegliere una delle seguenti schede per visualizzare e policy di esempio per l'intervallo di accesso alla sessione che si desidera fornire.
------
#### [ Session Manager and Fleet Manager ]
Utilizzare questa policy di esempio per fornire agli utenti la possibilità di avviare e riprendere sessioni solo dalle console Session Manager e Fleet Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
------
#### [ Amazon EC2 ]
Utilizzare questa policy di esempio per fornire agli utenti la possibilità di avviare e riprendere sessioni solo dalla console Amazon EC2. Questa policy non fornisce tutte le autorizzazioni necessarie per avviare le sessioni dalla console Session Manager e dall' AWS CLI.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:username}-*"
]
}
]
}
```
------
------
#### [ AWS CLI ]
Utilizzare questa policy di esempio per fornire agli utenti la possibilità di avviare e riprendere sessioni solo da AWS CLI.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
------
**Nota**
`SSM-SessionManagerRunShell` è il nome predefinito del documento SSM creato da Session Manager per archiviare le preferenze di configurazione della sessione. Puoi creare un documento di sessione personalizzato e specificarlo in questa policy. Puoi anche specificare il documento `AWS-StartSSHSession` fornito da AWS per gli utenti che avviano le sessioni mediante SSH. Per informazioni sui passi di configurazione necessari per supportare le sessioni utilizzando SSH, consulta [(Facoltativo) Permettere e controllare le autorizzazioni per le connessioni SSH tramite Session Manager](session-manager-getting-started-enable-ssh-connections.md).
L'autorizzazione `kms:GenerateDataKey` consente la creazione di una chiave di crittografia dei dati che verrà utilizzata per crittografare i dati delle sessioni. Se utilizzerai la crittografia AWS Key Management Service (AWS KMS) per i dati della sessione, *key-name* sostituiscila con l'Amazon Resource Name (ARN) della chiave KMS che desideri utilizzare, nel formato. `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE` Se non utilizzi la crittografia delle chiavi KMS per i dati delle sessioni, rimuovi i seguenti contenuti dalla policy:
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-name"
}
```
Per informazioni sull'utilizzo AWS KMS per crittografare i dati della sessione, consulta. [Attiva la crittografia delle chiavi KMS per i dati delle sessioni (console)](session-preferences-enable-encryption.md)
L'autorizzazione per [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html) è necessaria nei casi in cui un utente tenta di avviare una sessione dalla console Amazon EC2, ma bisogna prima aggiornare l'SSM Agent alla versione minima richiesta per Session Manager. Run Command viene utilizzato per inviare un comando all'istanza per aggiornare l'agente.
## Policy di avvio rapido per amministratori per Session Manager
Utilizzare gli esempi seguenti per creare policy di amministratore IAM per Session Manager.
Queste policy offrono agli amministratori la possibilità di avviare una sessione per i nodi gestiti contrassegnati con il tag `Key=Finance,Value=WebServers`, l'autorizzazione di creare, aggiornare ed eliminare le preferenze nonché l'autorizzazione di terminare solo le proprie sessioni. Per alcuni esempi di personalizzazioni che potresti applicare alla policy, fai riferimento a [Altre policy IAM di esempio per Session Manager](getting-started-restrict-access-examples.md).
Puoi creare una policy che consenta agli amministratori di eseguire queste attività solo dalla Session Manager console e AWS CLI, solo dalla console Amazon EC2, o da tutte e tre.
Nei seguenti esempi di policy, sostituisci ognuna *example resource placeholder* con le tue informazioni.
Scegliere una delle seguenti schede per visualizzare le policy di esempio per lo scenario di accesso che si desidera supportare.
------
#### [ Session Manager and CLI ]
Utilizzare questa policy di esempio per fornire agli amministratori del provider la possibilità di eseguire processi correlati alla sessione solo dalla console Session Manager e dall' AWS CLI. Questa policy non fornisce tutte le autorizzazioni necessarie per eseguire processi correlati alla sessione dalla console Amazon EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssmmessages:OpenDataChannel"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument",
"ssm:StartSession"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssmmessages:OpenDataChannel"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
#### [ Amazon EC2 ]
Utilizzare questa policy di esempio per fornire agli amministratori del provider la possibilità di eseguire processi correlati alla sessione solo dalla console Amazon EC2 Questa policy non fornisce tutte le autorizzazioni necessarie per eseguire attività correlate alla sessione dalla console Session Manager e dall' AWS CLI.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
#### [ Session Manager, CLI, and Amazon EC2 ]
Utilizzare questa policy di esempio per fornire agli amministratori del provider la possibilità di eseguire processi relativi alla sessione dalla console Session Manager, dall' AWS CLI e dalla console Amazon EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument",
"ssm:StartSession"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
**Nota**
L'autorizzazione per [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html) è necessaria nei casi in cui un utente tenta di avviare una sessione dalla console Amazon EC2, ma prima bisogna inviare un comando per aggiornare SSM Agent.
# Altre policy IAM di esempio per Session Manager
Fai riferimento alle seguenti policy di esempio per creare una policy IAM AWS Identity and Access Management personalizzata per qualunque scenario di accesso utente al Session Manager che desideri supportare.
**Topics**
+ [Esempio 1: concedere l'accesso ai documenti nella console](#grant-access-documents-console-example)
+ [Esempio 2: limitare l'accesso a nodi gestiti specifici](#restrict-access-example-instances)
+ [Esempio 3: limitazione dell'accesso in base ai tag](#restrict-access-example-instance-tags)
+ [Esempio 4: consentire agli utenti di terminare solo le sessioni da essi avviate](#restrict-access-example-user-sessions)
+ [Esempio 5: consentire l'accesso (amministrativo) completo a tutte le sessioni](#restrict-access-example-full-access)
## Esempio 1: concedere l'accesso ai documenti nella console
Puoi consentire agli utenti di specificare un documento personalizzato quando avviano una sessione utilizzando la console di Session Manager. Nel seguente esempio, la policy IAM concede l'autorizzazione ad accedere ai documenti con nomi che iniziano con **SessionDocument-** nella Regione AWS e nell’ Account AWS specificati.
Per utilizzare questa politica, sostituisci ognuna *example resource placeholder* con le tue informazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:ListDocuments"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SessionDocument-*"
]
}
]
}
```
------
**Nota**
La console di Session Manager supporta solo i documenti di sessione che hanno un `sessionType` di `Standard_Stream` e che vengono utilizzati per definire le preferenze di sessione. Per ulteriori informazioni, consulta [Schema documento di sessione](session-manager-schema.md).
## Esempio 2: limitare l'accesso a nodi gestiti specifici
È possibile creare una policy IAM che definisca a quali nodi gestiti un utente può connettersi utilizzando Session Manager. Ad esempio, la seguente policy concede a un utente il permesso di avviare, terminare e riprendere le sessioni su tre nodi specifici. La policy impedisce all'utente di connettersi a nodi diversi da quelli specificati.
**Nota**
Per utenti federati, consulta [Esempio 4: consentire agli utenti di terminare solo le sessioni da essi avviate](#restrict-access-example-user-sessions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-1234567890EXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-abcdefghijEXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0e9d8c7b6aEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
------
## Esempio 3: limitazione dell'accesso in base ai tag
Puoi limitare l'accesso ai nodi gestiti in base a tag specifici. Nell'esempio seguente, l'utente può avviare e riprendere le sessioni (`Effect: Allow, Action: ssm:StartSession, ssm:ResumeSession`) su qualsiasi nodo gestito (`Resource: arn:aws:ec2:region:987654321098:instance/*`) a condizione che il nodo sia Finance WebServer (`ssm:resourceTag/Finance: WebServer`). Se l'utente invia un comando a un nodo gestito senza tag o con un tag diverso da `Finance: WebServer`, il risultato del comando includerà `AccessDenied`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
Puoi creare policy IAM che permettono a un utente di avviare sessioni su nodi gestiti contrassegnati con più tag. La seguente policy consente all'utente di avviare sessioni su nodi gestiti a cui sono applicati entrambi i tag specificati. Se l'utente invia un comando a un nodo gestito non contrassegnato con questi due tag, il risultato del comando includerà `AccessDenied`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:StartSession"
],
"Resource":"*",
"Condition":{
"StringLike":{
"ssm:resourceTag/tag-key1":[
"tag-value1"
],
"ssm:resourceTag/tag-key2":[
"tag-value2"
]
}
}
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
Per ulteriori informazioni sulla creazione di policy IAM, consulta la pagina [Policy gestite e policy inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) nella *Guida per l'utente di IAM*. Per ulteriori informazioni sull'applicazione di tag a nodi gestiti, consulta [Applicazione di tag a risorse Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) nella *Guida per l'utente di Amazon EC2* (il contenuto si applica ai nodi gestiti di Windows e Linux). Per ulteriori informazioni su come aumentare la posizione di sicurezza rispetto ai comandi non autorizzati a livello di root nei nodi gestiti, consulta [Limitare l'accesso ai comandi a livello di root tramite SSM Agent](ssm-agent-restrict-root-level-commands.md)
## Esempio 4: consentire agli utenti di terminare solo le sessioni da essi avviate
Session Managerfornisce due metodi per controllare quali sessioni può terminare un utente federato dell'utente. Account AWS
+ Utilizza la variabile `{aws:userid}` in una politica di autorizzazioni AWS Identity and Access Management (IAM). Gli utenti federati possono terminare solo le sessioni da essi avviate. Per gli utenti non federati, utilizzare il Metodo 1. Per gli utenti federati, utilizzare il Metodo 2.
+ Utilizza i tag forniti dai AWS tag in una politica di autorizzazioni IAM. Nella policy deve essere inclusa una condizione che consenta agli utenti di terminare solo le sessioni contrassegnate con tag specifici forniti da AWS. Questo metodo funziona per tutti gli account, compresi quelli che utilizzano federated IDs per concedere l'accesso a. AWS
### Metodo 1: concedere TerminateSession i privilegi utilizzando la variabile `{aws:username}`
La seguente policy IAM consente a un utente IDs di visualizzare tutte le sessioni del tuo account. Tuttavia, gli utenti possono interagire con i nodi gestiti solo attraverso le sessioni da loro avviate. Un utente a cui è assegnata la seguente policy non può terminare o connettersi alle sessioni di altri utenti. A tale scopo, la policy utilizza la variabile `{aws:username}`.
**Nota**
Questo metodo non funziona per gli account che concedono l'accesso all' AWS utilizzo di federated. IDs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:DescribeSessions"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"ssm:TerminateSession"
],
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:*:session/${aws:username}-*"
]
}
]
}
```
------
### Metodo 2: concedere TerminateSession i privilegi utilizzando i tag forniti da AWS
È possibile controllare le sessioni che un utente può terminare includendo variabili di chiave tag condizionali in una policy IAM. La condizione specifica che l'utente può terminare solo le sessioni che sono contrassegnate con una o entrambe queste specifiche variabili chiave tag e un valore specificato.
Quando un utente Account AWS inizia una sessione, Session Manager applica due tag di risorsa alla sessione. Il primo tag risorsa è `aws:ssmmessages:target-id`, con il quale si specifica l'ID della destinazione che l'utente può terminare. L'altro tag risorsa è `aws:ssmmessages:session-id`, con un valore nel formato di `role-id:caller-specified-role-name`.
**Nota**
Session Manager non supporta i tag personalizzati per questa policy di controllo dell'accesso IAM. È necessario utilizzare i tag di risorsa forniti da AWS, descritti di seguito.
** `aws:ssmmessages:target-id` **
Con questa chiave di tag, è possibile includere l'ID del nodo gestito come valore nella policy. Nel seguente blocco della policy, l'istruzione di condizione consente a un utente di terminare solo il nodo i-02573cafcfEXAMPLE.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:target-id": [
"i-02573cafcfEXAMPLE"
]
}
}
}
]
}
```
Se l'utente tenta di terminare una sessione per la quale non è stata concessa questa autorizzazione `TerminateSession`, viene visualizzato un errore `AccessDeniedException`.
** `aws:ssmmessages:session-id` **
Questa chiave tag include una variabile per l'ID di sessione come valore nella richiesta di avviare una sessione.
Nell'esempio seguente viene illustrata una policy per i casi in cui il tipo di chiamante è `User`. Il valore fornito per `aws:ssmmessages:session-id` è l'ID dell'utente. In questo esempio, `AIDIODR4TAW7CSEXAMPLE` rappresenta l'ID di un utente nel tuo Account AWS. Per recuperare l'ID di un utente nel tuo Account AWS, usa il comando IAM,`get-user`. Per informazioni, consulta [get-user](https://docs.aws.amazon.com/IAM/latest/UserGuide/get-user.html) nella AWS Identity and Access Management sezione della *IAM* User Guide.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"AIDIODR4TAW7CSEXAMPLE"
]
}
}
}
]
}
```
Nell'esempio seguente viene illustrata una policy per i casi in cui il tipo di chiamante è `AssumedRole`. Puoi utilizzare la variabile `{aws:userid}` per il valore da fornire per `aws:ssmmessages:session-id`. In alternativa, è possibile codificare un ID ruolo per il valore specificato per `aws:ssmmessages:session-id`. Se codifichi un ID ruolo, devi specificare il valore nel formato `role-id:caller-specified-role-name`. Ad esempio, `AIDIODR4TAW7CSEXAMPLE:MyRole`.
Per applicare i tag di sistema, l'ID ruolo fornito può contenere solo i seguenti caratteri: lettere Unicode, 0-9, spazio, `_`, `.`, `:`, `/`, `=`, `+`, `-`, `@` e `\`.
Per recuperare l'ID del ruolo per un ruolo nel tuo Account AWS, usa il comando. `get-caller-identity` Per informazioni, consulta [get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html)la sezione AWS CLI Command Reference.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"${aws:userid}*"
]
}
}
}
]
}
```
Se un utente tenta di terminare una sessione per la quale non è stata concessa questa autorizzazione `TerminateSession`, viene visualizzato un errore `AccessDeniedException`.
**`aws:ssmmessages:target-id`** e **`aws:ssmmessages:session-id`**
È inoltre possibile creare policy IAM che permettono a un utente di terminare sessioni contrassegnate con entrambi i tag di sistema, come illustrato in questo esempio.
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:TerminateSession"
],
"Resource":"*",
"Condition":{
"StringLike":{
"ssm:resourceTag/aws:ssmmessages:target-id":[
"i-02573cafcfEXAMPLE"
],
"ssm:resourceTag/aws:ssmmessages:session-id":[
"${aws:userid}*"
]
}
}
}
]
}
```
## Esempio 5: consentire l'accesso (amministrativo) completo a tutte le sessioni
La seguente policy IAM consente a un utente di interagire con tutti i nodi gestiti e tutte le sessioni create da tutti gli utenti per tutti i nodi. Dovrebbe essere concessa solo a un amministratore che ha bisogno del controllo completo sulle attività del Session Manager della tua organizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:StartSession",
"ssm:TerminateSession",
"ssm:ResumeSession",
"ssm:DescribeSessions",
"ssm:GetConnectionStatus"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
------
# Fase 4: configurazione delle preferenze delle sessioni
Gli utenti a cui sono state concesse le autorizzazioni amministrative nella propria policy AWS Identity and Access Management (IAM) possono configurare le preferenze di sessione, tra cui:
+ Attiva il supporto Esegui come per i nodi gestiti Linux. In questo modo è possibile avviare sessioni utilizzando le credenziali di un utente del sistema operativo specificato anziché le credenziali di un `ssm-user` account generato dal sistema che è AWS Systems Manager Session Manager possibile creare su un nodo gestito.
+ Configura Session Manager l'utilizzo della AWS KMS key crittografia per fornire una protezione aggiuntiva ai dati trasmessi tra le macchine client e i nodi gestiti.
+ Configura Session Manager per creare e inviare i log della cronologia delle sessioni a un bucket Amazon Simple Storage Service (Amazon S3) o a un gruppo di log Amazon Logs. CloudWatch I dati di log archiviati si utilizzano quindi per fornire rapporti sulle connessioni di sessione effettuate ai nodi gestiti e sui comandi eseguiti su di esse durante le sessioni.
+ Configura i timeout delle sessioni. È possibile utilizzare questa impostazione per specificare quando terminare una sessione dopo un periodo di inattività.
+ Configura Session Manager per utilizzare profili di shell configurabili. Questi profili personalizzabili permettono di definire le preferenze all'interno di sessioni quali le preferenze della shell, le variabili di ambiente, le directory di lavoro ed eseguire più comandi all'avvio di una sessione.
Per ulteriori informazioni sulle autorizzazioni necessarie per configurare le preferenze di Session Manager, consulta [Concedere o negare a un utente le autorizzazioni per aggiornare le preferenze del Session Manager](preference-setting-permissions.md).
**Topics**
+ [Concedere o negare a un utente le autorizzazioni per aggiornare le preferenze del Session Manager](preference-setting-permissions.md)
+ [Specificare un valore di timeout della sessione di inattività](session-preferences-timeout.md)
+ [Specifica la durata massima della sessione](session-preferences-max-timeout.md)
+ [Consenti profili shell configurabili](session-preferences-shell-config.md)
+ [Attiva Esegui come supporto per i nodi gestiti da Linux and macOS](session-preferences-run-as.md)
+ [Attiva la crittografia delle chiavi KMS per i dati delle sessioni (console)](session-preferences-enable-encryption.md)
+ [Creare un documento di preferenze di Session Manager (riga di comando)](getting-started-create-preferences-cli.md)
+ [Aggiornamento delle preferenze Session Manager (riga di comando)](getting-started-configure-preferences-cli.md)
Per informazioni sull'utilizzo della console di Systems Manager per configurare le opzioni per la registrazione dei dati di sessione, consulta i seguenti argomenti.
+ [Registrazione dei dati delle sessioni mediante Amazon S3 (console)](session-manager-logging-s3.md)
+ [Streaming dei dati delle sessioni tramite Amazon CloudWatch Logs (console)](session-manager-logging-cwl-streaming.md)
+ [Registrazione dei dati della sessione tramite Amazon CloudWatch Logs (console)](session-manager-logging-cloudwatch-logs.md)
# Concedere o negare a un utente le autorizzazioni per aggiornare le preferenze del Session Manager
Le preferenze dell'account vengono archiviate come documenti AWS Systems Manager (SSM) per ciascuno Regione AWS di essi. Prima che un utente possa aggiornare le preferenze dell'account per le sessioni nel tuo account, deve disporre delle autorizzazioni necessarie per accedere al tipo di documento SSM in cui sono archiviate tali preferenze. Queste autorizzazioni vengono concesse tramite una policy AWS Identity and Access Management (IAM).
**Policy di amministratore per consentire la creazione e l'aggiornamento delle preferenze**
Un amministratore può disporre della seguente policy per creare e aggiornare le preferenze in qualsiasi momento. La seguente policy concede l'autorizzazione per accedere e aggiornare il documento `SSM-SessionManagerRunShell` nell'account us-east-2 123456789012.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:CreateDocument",
"ssm:GetDocument",
"ssm:UpdateDocument",
"ssm:DeleteDocument"
],
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
**Policy utente per impedire che le preferenze vengano aggiornate**
Utilizza la seguente policy per impedire agli utenti finali nel tuo account di aggiornare o sostituire le preferenze del Session Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:CreateDocument",
"ssm:GetDocument",
"ssm:UpdateDocument",
"ssm:DeleteDocument"
],
"Effect": "Deny",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
# Specificare un valore di timeout della sessione di inattività
Session Manager, uno strumento in AWS Systems Manager, consente di specificare il periodo di tempo necessario per consentire a un utente di rimanere inattivo prima che il sistema termini una sessione. Per impostazione predefinita, le sessioni scadono dopo 20 minuti di inattività. È possibile modificare questa impostazione per specificare il timeout di una sessione tra 1 e 60 minuti di inattività. Alcune agenzie di sicurezza informatica professionali consigliano di impostare i timeout delle sessioni inattive su un massimo di 15 minuti.
Il timer di timeout della sessione inattiva si reimposta quando riceve input dal lato client. Session Manager Questi input includono, a titolo esemplificativo ma non esaustivo:
+ Inserimento da tastiera nel terminale
+ Eventi di ridimensionamento della finestra del terminale o del browser
+ Riconnessione della sessione (ResumeSession), che può verificarsi a causa di interruzioni di rete, gestione delle schede del browser o disconnessioni WebSocket
Poiché questi eventi reimpostano il timer di inattività, una sessione potrebbe rimanere attiva più a lungo del periodo di timeout configurato anche senza comandi diretti dal terminale.
Se i requisiti di sicurezza impongono limiti rigorosi di durata delle sessioni indipendentemente dall'attività, utilizza l'impostazione *Durata massima della sessione* oltre al timeout di inattività. Per ulteriori informazioni, consulta [Specifica la durata massima della sessione](session-preferences-max-timeout.md).
**Per consentire il timeout della sessione inattiva (console)**
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Specificare il periodo di tempo necessario per consentire a un utente di rimanere inattivo prima che una sessione finisca nel campo **minuti** in **tempo di inattività della sessione**.
1. Scegli **Save** (Salva).
# Specifica la durata massima della sessione
Session Manager, uno strumento in AWS Systems Manager, consente di specificare la durata massima di una sessione prima che termini. Per impostazione predefinita, le sessioni non hanno una durata massima. Il valore specificato per la durata massima della sessione deve essere compreso tra 1 e 1.440 minuti.
**Per specificare la durata massima della sessione (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Selezionare la casella di controllo accanto ad **Abilita la durata massima della sessione**.
1. Specificare la durata massima della sessione prima che finisca nel campo **minuti** sotto **Durata massima sessione**.
1. Scegli **Save** (Salva).
# Consenti profili shell configurabili
Per impostazione predefinita, le sessioni sulle istanze EC2 per Linux iniziano utilizzando la shell Bourne (sh). Tuttavia, potresti usare un'altra shell come bash. Consentendo i profili di shell configurabili, è possibile personalizzare le preferenze all'interno di sessioni quali le preferenze della shell, le variabili di ambiente, le directory di lavoro ed eseguire più comandi all'avvio di una sessione.
**Importante**
Systems Manager non controlla i comandi o gli script nel profilo della shell per vedere quali modifiche apporterebbero a un'istanza prima dell'esecuzione. Per limitare la capacità di un utente di modificare i comandi o gli script immessi nel profilo della shell, si consiglia quanto segue:
Creare un documento personalizzato di tipo sessione per gli utenti e i ruoli AWS Identity and Access Management (IAM). Modificare quindi la policy IAM per questi utenti e ruoli in modo che l'operazione API `StartSession` possa utilizzare solo il documento di tipo sessione creato per loro. Per informazioni, consulta [Creare un documento di preferenze di Session Manager (riga di comando)](getting-started-create-preferences-cli.md) e [Policy di avvio rapido per utenti finali per Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user).
Modifica la policy IAM per gli utenti e i ruoli IAM per negare l'accesso all'operazione API `UpdateDocument` per la risorsa documento di tipo sessione creata. Ciò consente agli utenti e ai ruoli di utilizzare il documento creato per le preferenze di sessione senza consentire loro di modificare alcuna delle impostazioni.
**Per attivare i profili di shell configurabili**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Specifica le variabili di ambiente, le preferenze della shell o i comandi che si desidera eseguire all'avvio della sessione nei campi relativi ai sistemi operativi applicabili.
1. Scegli **Save** (Salva).
Di seguito sono riportati alcuni comandi di esempio che possono essere aggiunti al profilo della shell.
Passa alla shell bash e passa alla directory /usr sulle istanze Linux.
```
exec /bin/bash
cd /usr
```
Invia un timestamp e un messaggio di benvenuto all'avvio di una sessione.
------
#### [ Linux & macOS ]
```
timestamp=$(date '+%Y-%m-%dT%H:%M:%SZ')
user=$(whoami)
echo $timestamp && echo "Welcome $user"'!'
echo "You have logged in to a production instance. Note that all session activity is being logged."
```
------
#### [ Windows ]
```
$timestamp = (Get-Date).ToString("yyyy-MM-ddTH:mm:ssZ")
$splitName = (whoami).Split("\")
$user = $splitName[1]
Write-Host $timestamp
Write-Host "Welcome $user!"
Write-Host "You have logged in to a production instance. Note that all session activity is being logged."
```
------
Visualizzare l'attività dinamica del sistema all'avvio di una sessione.
------
#### [ Linux & macOS ]
```
top
```
------
#### [ Windows ]
```
while ($true) { Get-Process | Sort-Object -Descending CPU | Select-Object -First 30; `
Start-Sleep -Seconds 2; cls
Write-Host "Handles NPM(K) PM(K) WS(K) VM(M) CPU(s) Id ProcessName";
Write-Host "------- ------ ----- ----- ----- ------ -- -----------"}
```
------
# Attiva Esegui come supporto per i nodi gestiti da Linux and macOS
Per impostazione predefinita, Session Manager autentica le connessioni utilizzando le credenziali di un account `ssm-user` generato dal sistema che viene creato su un nodo gestito. (Su computer Linux e macOS, l'account viene aggiunto a `/etc/sudoers/`). Se lo desideri, è possibile invece autenticare le sessioni utilizzando le credenziali di un account utente del sistema operativo (OS), oppure un utente di dominio per le istanze connesse a una Active Directory. In questo caso, Session Manager verifica che l'account dell'OS specificato esista nel nodo o nel dominio prima di iniziare la sessione. Se tenti di avviare una sessione utilizzando un account dell'OS che non esiste nel nodo, o in un dominio, la connessione non viene stabilita.
**Nota**
Session Manager non supporta l'utilizzo di un account utente `root` del sistema operativo per autenticare le connessioni. Per le sessioni autenticate utilizzando un account utente del sistema operativo, le policy a livello di sistema operativo e di directory del nodo, come le restrizioni di accesso o le restrizioni sull'utilizzo delle risorse di sistema, potrebbero non essere applicabili.
**Come funziona**
Se attivi il supporto Esegui come per le sessioni, il sistema controlla le autorizzazioni di accesso come segue:
1. Per l'utente che avvia la sessione, all'entità IAM (utente o ruolo) è stato assegnato il tag `SSMSessionRunAs = os user account name`?
Se Sì, il nome utente dell'OS esiste sul nodo gestito? In tal caso, avviare la sessione. In caso negativo, non consentire l'avvio di una sessione.
Se l'entità IAM *non* è stata contrassegnata con `SSMSessionRunAs = os user account name`, continua con il passaggio 2.
1. Se l'entità IAM non è stata etichettata con`SSMSessionRunAs = os user account name`, è stato specificato un nome utente Account AWS del sistema operativo nelle Session Manager preferenze?
Se Sì, il nome utente dell'OS esiste sul nodo gestito? In tal caso, avviare la sessione. In caso negativo, non consentire l'avvio di una sessione.
**Nota**
Quando attivi il supporto Esegui come, esso impedisce a Session Manager di avviare sessioni utilizzando l'account `ssm-user` su un nodo gestito. Ciò significa che se Session Manager non riesce a connettersi utilizzando l'account utente del sistema operativo specificato, non ricorre alla connessione utilizzando il metodo predefinito.
Se attivi Esegui come senza specificare un account del sistema operativo o assegnare tag a un'entità IAM e non hai specificato un account del sistema operativo nelle preferenze di Session Manager, i tentativi di connessione alla sessione falliranno.
**Per attivare il supporto Esegui come per i nodi gestiti Linux e macOS**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Seleziona la casella di controllo accanto a **Abilita supporto Esegui come per le istanze Linux**.
1. Esegui una delle seguenti operazioni:
+ **Opzione 1**: nel campo **Nome utente del sistema operativo**, inserisci il nome dell'account utente del sistema operativo che desideri utilizzare per avviare le sessioni. Utilizzando questa opzione, tutte le sessioni vengono eseguite dallo stesso utente del sistema operativo per tutti gli utenti del sistema operativo Account AWS che si connettono tramiteSession Manager.
+ **Opzione 2** (consigliata): scegli il collegamento **Apri la console IAM**. Nel riquadro di navigazione, scegli **Utenti** o **Ruoli**. Scegliere l'entità (utente o ruolo) cui aggiungere tag e quindi selezionare la scheda **Tags (Tag)**. Inserire `SSMSessionRunAs` per il nome chiave. Inserisci il nome di un account utente del sistema operativo per il valore della chiave. Scegli **Salva modifiche**.
Utilizzando questa opzione, è possibile specificare utenti univoci dell'OS per diverse entità IAM, se lo desideri. Per ulteriori informazioni sull'applicazione di tag alle entità IAM (utenti o ruoli), consulta la pagina [Applicazione di tag alle risorse IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *Guida per l'utente IAM*.
Di seguito è riportato un esempio di :
![\[Screenshot di come specificare i tag per l'autorizzazione Esegui come di Session Manager.\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/images/ssn-run-as-tags.png)
1. Scegli **Save** (Salva).
# Attiva la crittografia delle chiavi KMS per i dati delle sessioni (console)
Usa AWS Key Management Service (AWS KMS) per creare e gestire le chiavi di crittografia. Con AWS KMS, puoi controllare l'uso della crittografia in un'ampia gamma di applicazioni Servizi AWS e all'interno delle tue applicazioni. È possibile specificare che i dati di sessione trasmessi tra i nodi gestiti e le macchine locali degli utenti del sistema Account AWS siano crittografati utilizzando la crittografia a chiave KMS. (Questa crittografia si aggiunge alla crittografia TLS 1.2/1.3 AWS già fornita di default). Per crittografare i dati Session Manager della sessione, crea una chiave KMS *simmetrica* utilizzando. AWS KMS
AWS KMS la crittografia è disponibile per e per i tipi `Standard_Stream` di sessione`InteractiveCommands`. `NonInteractiveCommands` Per utilizzare l'opzione per crittografare i dati della sessione utilizzando una chiave creata in AWS KMS, è AWS Systems Manager SSM Agent necessario installare la versione 2.3.539.0 o successiva di sul nodo gestito.
**Nota**
È necessario consentire AWS KMS la crittografia per reimpostare le password sui nodi gestiti dalla console. AWS Systems Manager Per ulteriori informazioni, consulta [Reimpostazione di una password su un nodo gestito](fleet-manager-reset-password.md#managed-instance-reset-a-password).
Puoi usare una chiave che hai creato nel tuo Account AWS. Inoltre, è possibile utilizzare una chiave che è stata creata in un account Account AWS diverso. Il creatore della chiave in un'altra chiave Account AWS deve fornirti le autorizzazioni necessarie per utilizzare la chiave.
Dopo aver abilitato la crittografia delle chiavi KMS per i dati delle sessioni, gli utenti che avviano le sessioni e i nodi gestiti a cui si connettono devono entrambi disporre dell'autorizzazione per utilizzare la chiave. Fornisci l'autorizzazione a utilizzare la chiave KMS Session Manager tramite politiche AWS Identity and Access Management (IAM). Per informazioni, consultare gli argomenti seguenti:
+ Aggiungi AWS KMS le autorizzazioni per gli utenti del tuo account:. [Policy IAM di esempio per Session Manager](getting-started-restrict-access-quickstart.md)
+ Aggiungi AWS KMS le autorizzazioni per i nodi gestiti nel tuo account:. [Fase 2: Verifica o aggiungi le autorizzazioni delle istanze per Session Manager](session-manager-getting-started-instance-profile.md)
Per ulteriori informazioni sulla creazione di una chiave KMS, consulta la [https://docs.aws.amazon.com/kms/latest/developerguide/](https://docs.aws.amazon.com/kms/latest/developerguide/).
Per informazioni sull'utilizzo della AWS CLI crittografia con chiave KMS dei dati di sessione nel tuo account, vedi [Creare un documento di preferenze di Session Manager (riga di comando)](getting-started-create-preferences-cli.md) o. [Aggiornamento delle preferenze Session Manager (riga di comando)](getting-started-configure-preferences-cli.md)
**Nota**
C'è un addebito per l'utilizzo delle chiavi KMS. Per informazioni, consulta [Prezzi di AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
**Attivare la crittografia delle chiavi KMS per i dati delle sessioni (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Selezionare la casella di controllo accanto ad **Abilita la crittografia KMS**.
1. Esegui una delle seguenti operazioni:
+ Scegliere il pulsante accanto a **Seleziona una chiave KMS nel mio account corrente**, quindi seleziona una chiave dall'elenco.
oppure
Scegliere il pulsante accanto a **Enter a KMS key alias or KMS key ARN (Immetti un alias della chiave o un ARN della chiave KMS)**. Immettere manualmente un alias della chiave KMS per una chiave creata nell'account corrente o immettere l'Amazon Resource Name (ARN) della chiave per una chiave in un altro account. Di seguito vengono mostrati gli esempi:
+ Alias della chiave: `alias/my-kms-key-alias`
+ ARN della chiave: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE`
oppure
Scegli **Crea nuova chiave** per creare una nuova KMS nel tuo account. Una volta creata la nuova chiave, torna alla scheda **Preferenze** e seleziona la chiave per crittografare i dati della sessione nel tuo account.
Per ulteriori informazioni sulla condivisione delle chiavi, consulta [Consentire Account AWS agli esterni di accedere a una chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-external-accounts) nella *Guida per gli AWS Key Management Service sviluppatori*.
1. Scegli **Save** (Salva).
# Creare un documento di preferenze di Session Manager (riga di comando)
Utilizza la seguente procedura per creare documenti SSM che definiscono le tue preferenze per le sessioni. AWS Systems Manager Session Manager Puoi utilizzare il documento per configurare le opzioni della sessione, tra cui la crittografia dei dati, la durata della sessione e la registrazione. Ad esempio, puoi specificare se archiviare i dati di log della sessione in un bucket Amazon Simple Storage Service (Amazon S3) o in un gruppo di log Amazon CloudWatch Logs. Puoi creare documenti che definiscono le preferenze generali per tutte le sessioni per un Account AWS and Regione AWS o che definiscono le preferenze per le singole sessioni.
**Nota**
Puoi inoltre configurare le preferenze generali di sessione utilizzando la console di Session Manager.
I documenti utilizzati per impostare le preferenze di Session Manager devono avere un `sessionType` di `Standard_Stream`. Per ulteriori informazioni sui documenti di sessione, consulta [Schema documento di sessione](session-manager-schema.md).
Per informazioni sull'utilizzo della riga di comando per aggiornare le preferenze Session Manager esistenti, consulta [Aggiornamento delle preferenze Session Manager (riga di comando)](getting-started-configure-preferences-cli.md).
Per un esempio di come creare preferenze di sessione utilizzando CloudFormation, vedere [Create a Systems Manager document for Session Manager preferences](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ssm-document.html#aws-resource-ssm-document--examples) nella *Guida per l'AWS CloudFormation utente*.
**Nota**
Questa procedura descrive come creare documenti per impostare Session Manager le preferenze a Account AWS livello. Per creare documenti che verranno utilizzati per impostare le preferenze a livello di sessione, specifica un valore diverso da `SSM-SessionManagerRunShell` per il nome file relativo agli input dei comandi.
Per utilizzare il documento per impostare le preferenze per le sessioni avviate dalla AWS Command Line Interface (AWS CLI), fornisci il nome del documento come valore del parametro `--document-name`. Per impostare le preferenze per le sessioni avviate dalla console di Session Manager, puoi digitare o selezionare il nome del documento da un elenco.
**Per creare preferenze Session Manager (riga di comando)**
1. Sul proprio computer locale creare un file JSON denominato ad esempio `SessionManagerRunShell.json`, quindi incollarvi i seguenti contenuti:
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "",
"s3KeyPrefix": "",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "",
"runAsEnabled": false,
"runAsDefaultUser": "",
"idleSessionTimeout": "",
"maxSessionDuration": "",
"shellProfile": {
"windows": "date",
"linux": "pwd;ls"
}
}
}
```
Puoi anche passare i valori alle preferenze delle sessioni utilizzando i parametri invece di codificare i valori come illustrato nell'esempio seguente.
```
{
"schemaVersion":"1.0",
"description":"Session Document Parameter Example JSON Template",
"sessionType":"Standard_Stream",
"parameters":{
"s3BucketName":{
"type":"String",
"default":""
},
"s3KeyPrefix":{
"type":"String",
"default":""
},
"s3EncryptionEnabled":{
"type":"Boolean",
"default":"false"
},
"cloudWatchLogGroupName":{
"type":"String",
"default":""
},
"cloudWatchEncryptionEnabled":{
"type":"Boolean",
"default":"false"
}
},
"inputs":{
"s3BucketName":"{{s3BucketName}}",
"s3KeyPrefix":"{{s3KeyPrefix}}",
"s3EncryptionEnabled":"{{s3EncryptionEnabled}}",
"cloudWatchLogGroupName":"{{cloudWatchLogGroupName}}",
"cloudWatchEncryptionEnabled":"{{cloudWatchEncryptionEnabled}}",
"kmsKeyId":""
}
}
```
1. Specificare dove inviare i dati delle sessioni. È possibile specificare un nome di bucket S3 (con un prefisso opzionale) o un nome di gruppo di CloudWatch log Logs. Per crittografare ulteriormente i dati tra client locale e i nodi gestiti, fornisci la chiave KMS da utilizzare per la crittografia. Di seguito è riportato un esempio di :
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "amzn-s3-demo-bucket",
"s3KeyPrefix": "MyS3Prefix",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "MyLogGroupName",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "MyKMSKeyID",
"runAsEnabled": true,
"runAsDefaultUser": "MyDefaultRunAsUser",
"idleSessionTimeout": "20",
"maxSessionDuration": "60",
"shellProfile": {
"windows": "MyCommands",
"linux": "MyCommands"
}
}
}
```
**Nota**
Se non si desidera crittografare i dati di log della sessione, modifica `true` in `false` per `s3EncryptionEnabled`.
Se non invii log a un bucket Amazon S3 o a CloudWatch un gruppo di log Logs, non desideri crittografare i dati delle sessioni attive o non desideri attivare il supporto RunAs per le sessioni del tuo account, puoi eliminare le righe relative a tali opzioni. Assicurarsi che l'ultima riga nella sezione `inputs` non termini con una virgola.
Se si aggiunge un ID della chiave KMS per crittografare i dati della sessione, gli utenti che avviano le sessioni e i nodi gestiti a cui si collegano devono entrambi disporre dell'autorizzazione per utilizzare la chiave. Fornire l'autorizzazione a utilizzare la chiave KMS con il Session Manager tramite le policy IAM. Per informazioni, consultare gli argomenti seguenti:
Aggiungi le AWS KMS autorizzazioni per gli utenti del tuo account: [Policy IAM di esempio per Session Manager](getting-started-restrict-access-quickstart.md)
Aggiungi AWS KMS le autorizzazioni per i nodi gestiti nel tuo account: [Fase 2: Verifica o aggiungi le autorizzazioni delle istanze per Session Manager](session-manager-getting-started-instance-profile.md)
1. Salvare il file.
1. Nella directory in cui è stato creato il file JSON, eseguire il comando seguente.
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--name SSM-SessionManagerRunShell \
--content "file://SessionManagerRunShell.json" \
--document-type "Session" \
--document-format JSON
```
------
#### [ Windows ]
```
aws ssm create-document ^
--name SSM-SessionManagerRunShell ^
--content "file://SessionManagerRunShell.json" ^
--document-type "Session" ^
--document-format JSON
```
------
#### [ PowerShell ]
```
New-SSMDocument `
-Name "SSM-SessionManagerRunShell" `
-Content (Get-Content -Raw SessionManagerRunShell.json) `
-DocumentType "Session" `
-DocumentFormat JSON
```
------
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente:
```
{
"DocumentDescription": {
"Status": "Creating",
"Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE",
"Name": "SSM-SessionManagerRunShell",
"Tags": [],
"DocumentType": "Session",
"PlatformTypes": [
"Windows",
"Linux"
],
"DocumentVersion": "1",
"HashType": "Sha256",
"CreatedDate": 1547750660.918,
"Owner": "111122223333",
"SchemaVersion": "1.0",
"DefaultVersion": "1",
"DocumentFormat": "JSON",
"LatestVersion": "1"
}
}
```
# Aggiornamento delle preferenze Session Manager (riga di comando)
La procedura seguente descrive come utilizzare lo strumento da riga di comando preferito per apportare modifiche alle AWS Systems Manager Session Manager preferenze del gruppo selezionato Regione AWS. Account AWS Utilizza Session Manager le preferenze per specificare le opzioni per la registrazione dei dati della sessione in un bucket Amazon Simple Storage Service (Amazon S3) o in un gruppo di log Amazon Logs. CloudWatch Puoi anche utilizzare le preferenze del Session Manager per crittografare i dati delle sessioni.
**Per aggiornare le preferenze Session Manager (riga di comando)**
1. Sul proprio computer locale creare un file JSON denominato ad esempio `SessionManagerRunShell.json`, quindi incollarvi i seguenti contenuti.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "",
"s3KeyPrefix": "",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "",
"runAsEnabled": true,
"runAsDefaultUser": "",
"idleSessionTimeout": "",
"maxSessionDuration": "",
"shellProfile": {
"windows": "date",
"linux": "pwd;ls"
}
}
}
```
1. Specificare dove inviare i dati delle sessioni. Puoi specificare un nome di bucket S3 (con un prefisso opzionale) o un nome di gruppo di log Logs. CloudWatch Se desideri crittografare ulteriormente i dati tra client locale e nodi gestiti, fornisci il codice da utilizzare per la AWS KMS key crittografia. Di seguito è riportato un esempio di :
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "amzn-s3-demo-bucket",
"s3KeyPrefix": "MyS3Prefix",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "MyLogGroupName",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "MyKMSKeyID",
"runAsEnabled": true,
"runAsDefaultUser": "MyDefaultRunAsUser",
"idleSessionTimeout": "20",
"maxSessionDuration": "60",
"shellProfile": {
"windows": "MyCommands",
"linux": "MyCommands"
}
}
}
```
**Nota**
Se non si desidera crittografare i dati di log della sessione, modifica `true` in `false` per `s3EncryptionEnabled`.
Se non invii log a un bucket Amazon S3 o a CloudWatch un gruppo di log Logs, non desideri crittografare i dati delle sessioni attive o non desideri attivare il supporto RunAs per le sessioni del tuo account, puoi eliminare le righe relative a tali opzioni. Assicurarsi che l'ultima riga nella sezione `inputs` non termini con una virgola.
Se si aggiunge un ID della chiave KMS per crittografare i dati della sessione, gli utenti che avviano le sessioni e i nodi gestiti a cui si collegano devono entrambi disporre dell'autorizzazione per utilizzare la chiave. Fornisci l'autorizzazione a utilizzare la chiave KMS tramite policy (IAM). Session Manager AWS Identity and Access Management Per informazioni, consultare gli argomenti seguenti:
Aggiungi AWS KMS le autorizzazioni per gli utenti del tuo account:. [Policy IAM di esempio per Session Manager](getting-started-restrict-access-quickstart.md)
Aggiungi AWS KMS le autorizzazioni per i nodi gestiti nel tuo account:. [Fase 2: Verifica o aggiungi le autorizzazioni delle istanze per Session Manager](session-manager-getting-started-instance-profile.md)
1. Salvare il file.
1. Nella directory in cui è stato creato il file JSON, eseguire il comando seguente.
------
#### [ Linux & macOS ]
```
aws ssm update-document \
--name "SSM-SessionManagerRunShell" \
--content "file://SessionManagerRunShell.json" \
--document-version "\$LATEST"
```
------
#### [ Windows ]
```
aws ssm update-document ^
--name "SSM-SessionManagerRunShell" ^
--content "file://SessionManagerRunShell.json" ^
--document-version "$LATEST"
```
------
#### [ PowerShell ]
```
Update-SSMDocument `
-Name "SSM-SessionManagerRunShell" `
-Content (Get-Content -Raw SessionManagerRunShell.json) `
-DocumentVersion '$LATEST'
```
------
Se il comando viene eseguito correttamente, verrà visualizzato un output simile al seguente:
```
{
"DocumentDescription": {
"Status": "Updating",
"Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE",
"Name": "SSM-SessionManagerRunShell",
"Tags": [],
"DocumentType": "Session",
"PlatformTypes": [
"Windows",
"Linux"
],
"DocumentVersion": "2",
"HashType": "Sha256",
"CreatedDate": 1537206341.565,
"Owner": "111122223333",
"SchemaVersion": "1.0",
"DefaultVersion": "1",
"DocumentFormat": "JSON",
"LatestVersion": "2"
}
}
```
# Fase 5: (facoltativo) limitazione dell'accesso ai comandi in una sessione
È possibile limitare i comandi che un utente può eseguire in una AWS Systems Manager Session Manager sessione utilizzando un documento `Session` di tipo personalizzato AWS Systems Manager (SSM). Nel documento, puoi definire il comando che viene eseguito quando l'utente avvia una sessione e i parametri che l’utente può fornire al comando. Il documento `Session` `schemaVersion` deve essere 1.0 e il `sessionType` del documento deve essere `InteractiveCommands`. Puoi quindi creare policy AWS Identity and Access Management (IAM) che consentano agli utenti di accedere solo ai documenti `Session` definiti. Per ulteriori informazioni sull'utilizzo delle policy IAM per limitare l'accesso ai comandi in una sessione, consulta [Esempi di policy IAM per comandi interattivi](#interactive-command-policy-examples).
I documenti con `sessionType` of `InteractiveCommands` sono supportati solo per le sessioni iniziate da AWS Command Line Interface (AWS CLI). L'utente fornisce il nome del documento personalizzato come valore del parametro `--document-name` e specifica tutti i valori dei parametri del comando utilizzando l'opzione `--parameters`. Per ulteriori informazioni sull'esecuzione di comandi interattivi, consulta [Avvio di una sessione (comandi interattivi e non interattivi)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands).
Utilizza la procedura seguente per creare un documento SSM di tipo `Session` personalizzato che definisce il comando che un utente può eseguire.
## Limitare l'accesso ai comandi in una sessione (console)
**Per limitare i comandi che un utente può eseguire in una sessione Session Manager (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Documenti**.
1. Scegli **Crea comando o sessione**.
1. Per **Nome**, inserisci un nome descrittivo per il documento.
1. Per **Tipo di documento**, scegli **Documento di sessione**.
1. Immettere il contenuto del documento che definisce il comando che un utente può eseguire in una sessione Session Manager utilizzando JSON o YAML, come illustrato nell'esempio seguente.
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to view a log file on a Linux instance
sessionType: InteractiveCommands
parameters:
logpath:
type: String
description: The log file path to read.
default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
properties:
linux:
commands: "tail -f {{ logpath }}"
runAsElevated: true
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to view a log file on a Linux instance",
"sessionType": "InteractiveCommands",
"parameters": {
"logpath": {
"type": "String",
"description": "The log file path to read.",
"default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
"allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
}
},
"properties": {
"linux": {
"commands": "tail -f {{ logpath }}",
"runAsElevated": true
}
}
}
```
------
1. Scegli **Crea documento**.
## Limitare l'accesso ai comandi in una sessione (riga di comando)
**Prima di iniziare**
Se non l'hai già fatto, installa e configura AWS Command Line Interface (AWS CLI) o AWS Strumenti per PowerShell. Per informazioni, consulta le pagine [Installazione o aggiornamento della versione più recente di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) e [Installazione di AWS Strumenti per PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
**Per limitare i comandi che un utente può eseguire in una sessione Session Manager (riga di comando)**
1. Creare un file JSON o YAML per il contenuto del documento che definisce il comando che un utente può eseguire in una sessione Session Manager, come illustrato nell'esempio seguente.
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to view a log file on a Linux instance
sessionType: InteractiveCommands
parameters:
logpath:
type: String
description: The log file path to read.
default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
properties:
linux:
commands: "tail -f {{ logpath }}"
runAsElevated: true
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to view a log file on a Linux instance",
"sessionType": "InteractiveCommands",
"parameters": {
"logpath": {
"type": "String",
"description": "The log file path to read.",
"default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
"allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
}
},
"properties": {
"linux": {
"commands": "tail -f {{ logpath }}",
"runAsElevated": true
}
}
}
```
------
1. Eseguire i comandi seguenti per creare un documento SSM utilizzando il contenuto che definisce il comando che un utente può eseguire in una sessione Session Manager.
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--content file://path/to/file/documentContent.json \
--name "exampleAllowedSessionDocument" \
--document-type "Session"
```
------
#### [ Windows ]
```
aws ssm create-document ^
--content file://C:\path\to\file\documentContent.json ^
--name "exampleAllowedSessionDocument" ^
--document-type "Session"
```
------
#### [ PowerShell ]
```
$json = Get-Content -Path "C:\path\to\file\documentContent.json" | Out-String
New-SSMDocument `
-Content $json `
-Name "exampleAllowedSessionDocument" `
-DocumentType "Session"
```
------
## Parametri di comando interattivi e AWS CLI
È possibile fornire parametri di comando interattivi quando si utilizza la AWS CLI. A seconda del sistema operativo (OS) del computer client utilizzato per la connessione ai nodi gestiti con AWS CLI, la sintassi fornita per i comandi che contengono caratteri speciali o di escape potrebbe essere diversa. Gli esempi seguenti mostrano alcuni dei diversi modi in cui è possibile fornire i parametri di comando quando si AWS CLI utilizza e come gestire caratteri speciali o di escape.
Parameter StoreÈ possibile fare riferimento ai parametri memorizzati in nei parametri del AWS CLI comando, come illustrato nell'esempio seguente.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters '{"command":["{{ssm:mycommand}}"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters '{"command":["{{ssm:mycommand}}"]}'
```
------
L'esempio seguente mostra come puoi utilizzare una sintassi abbreviata con la AWS CLI per passare i parametri.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters command="ifconfig"
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters command="ipconfig"
```
------
Puoi anche fornire parametri facoltativi in JSON , come mostrato nel seguente esempio.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters '{"command":["ifconfig"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters '{"command":["ipconfig"]}'
```
------
I parametri possono anche essere memorizzati in un file JSON e forniti AWS CLI come illustrato nell'esempio seguente. Per ulteriori informazioni sull'utilizzo di parametri AWS CLI da un file, consulta [Caricamento di parametri AWS CLI da un file](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-parameters-file.html) nella *Guida per l'utente di AWS Command Line Interface *.
```
{
"command": [
"my command"
]
}
```
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters file://complete/path/to/file/parameters.json
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters file://complete/path/to/file/parameters.json
```
------
È inoltre possibile generare AWS CLI uno scheletro da un file di input JSON, come illustrato nell'esempio seguente. *Per ulteriori informazioni sulla generazione di AWS CLI scheletri da file di input JSON, consulta [Generazione di AWS CLI scheletri e parametri di input da un file di input JSON o YAML](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-skeleton.html) nella Guida per l'utente.AWS Command Line Interface *
```
{
"Target": "instance-id",
"DocumentName": "MyInteractiveCommandDocument",
"Parameters": {
"command": [
"my command"
]
}
}
```
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--cli-input-json file://complete/path/to/file/parameters.json
```
------
#### [ Windows ]
```
aws ssm start-session ^
--cli-input-json file://complete/path/to/file/parameters.json
```
------
Per eseguire l'escape dei caratteri all'interno delle virgolette, è necessario aggiungere ulteriori barre rovesciate ai caratteri di escape, come illustrato nell'esempio seguente.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters '{"command":["printf \"abc\\\\tdef\""]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters '{"command":["printf \"abc\\\\tdef\""]}'
```
------
Per ulteriori informazioni sulla citazione con parametri di comando nella AWS CLI, consulta [Utilizzo di virgolette con stringhe nella AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-parameters-quoting-strings.html) nella *Guida per l'utente della AWS Command Line Interface *.
## Esempi di policy IAM per comandi interattivi
Puoi creare policy IAM che consentono agli utenti di accedere solo ai documenti `Session` definiti. Ciò limita i comandi che un utente può eseguire in una sessione Session Manager ai soli comandi definiti nei documenti SSM di tipo `Session` personalizzati.
**Consentire a un utente di eseguire un comando interattivo su un singolo nodo**
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ssm:StartSession",
"Resource":[
"arn:aws:ec2:us-east-1:444455556666:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
**Consentire a un utente di eseguire un comando interattivo su tutti i nodi gestiti**
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ssm:StartSession",
"Resource":[
"arn:aws:ec2:us-east-1:444455556666:instance/*",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
**Consentire a un utente di eseguire più comandi interattivi su tutti i nodi gestiti**
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ssm:StartSession",
"Resource":[
"arn:aws:ec2:us-east-1:444455556666:instance/*",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document-2"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
# Fase 6: (Facoltativo) Utilizzare AWS PrivateLink per configurare un endpoint VPC per Session Manager
È possibile migliorare ulteriormente la posizione di sicurezza dei tuoi nodi gestiti configurando AWS Systems Manager in modo che utilizzi un endpoint di interfaccia di cloud privato virtuale (VPC) (VPC). Gli endpoint di interfaccia sono basati su una tecnologia che consente di accedere in modo privato ad Amazon Elastic Compute Cloud (Amazon EC2) e Systems Manager APIs utilizzando indirizzi IP privati. AWS PrivateLink
AWS PrivateLink limita tutto il traffico di rete tra i nodi gestiti, Systems Manager e Amazon EC2 alla rete Amazon. (I nodi gestiti non hanno accesso a Internet.) Inoltre, non hai bisogno di un gateway Internet, di un dispositivo NAT o di un gateway privato virtuale.
Per informazioni su come creare un endpoint VPC, consulta [Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager](setup-create-vpc.md).
L'alternativa all'utilizzo di un endpoint VPC è l'abilitazione dell'accesso a Internet in uscita sui nodi gestiti. In questo caso, i nodi gestiti devono permettere anche il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint:
+ `ec2messages.region.amazonaws.com`
+ `ssm.region.amazonaws.com`
+ `ssmmessages.region.amazonaws.com`
Systems Manager utilizza l'ultimo di questi endpoint, `ssmmessages.region.amazonaws.com` per effettuare chiamate da SSM Agent al servizio Session Manager nel cloud.
Per utilizzare funzionalità opzionali come la crittografia AWS Key Management Service (AWS KMS), lo streaming dei log su Amazon CloudWatch Logs (CloudWatch Logs) e l'invio di log ad Amazon Simple Storage Service (Amazon S3), devi consentire il traffico HTTPS (porta 443) in uscita ai seguenti endpoint:
+ `kms.region.amazonaws.com`
+ `logs.region.amazonaws.com`
+ `s3.region.amazonaws.com`
Per ulteriori informazioni sugli endpoint richiesti per Systems Manager, consultare [Referenza: ec2messages, ssmmessages e altre operazioni API](systems-manager-setting-up-messageAPIs.md).
# Fase 7 (facoltativo): abilitazione o disabilitazione delle autorizzazioni amministrative dell'account ssm-account
A partire dalla versione 2.3.50.0 di AWS Systems Manager SSM Agent, l'agente crea un account utente locale chiamato `ssm-user` e lo aggiunge a `/etc/sudoers` (LinuxandmacOS) o al gruppo Administrators (). Windows Nelle versioni dell'agente precedenti alla 2.3.612.0, l'account viene creato la prima volta che SSM Agent viene avviato o riavviato dopo l'installazione. Nella versione 2.3.612.0 e successive, l'account `ssm-user` viene creato la prima volta che una sessione viene avviata su un nodo. Si `ssm-user` tratta dell'utente predefinito del sistema operativo (OS) all'avvio di una AWS Systems Manager Session Manager sessione. SSM Agentla versione 2.3.612.0 è stata rilasciata l'8 maggio 2019.
Se desideri impedire agli utenti Session Manager di eseguire comandi amministrativi su un nodo, puoi aggiornare le autorizzazioni dell'account `ssm-user`. Puoi anche ripristinare queste autorizzazioni dopo che sono state rimosse.
**Topics**
+ [Gestione delle autorizzazioni sudo per l'account ssm-user su Linux e macOS](#ssm-user-permissions-linux)
+ [Gestione delle autorizzazioni di amministratore per l'account ssm-user su Windows Server](#ssm-user-permissions-windows)
## Gestione delle autorizzazioni sudo per l'account ssm-user su Linux e macOS
Utilizza una delle seguenti procedure per abilitare o disabilitare le autorizzazioni sudo per l'account ssm-user sui nodi gestiti Linux e macOS.
**Utilizza Run Command per modificare le autorizzazioni sudo di ssm-user (console)**
+ Utilizza la procedura descritta in [Esecuzione di comandi dalla console](running-commands-console.md) con i seguenti valori:
+ Per **Documenti di comando**, scegli `AWS-RunShellScript`.
+ Per rimuovere l'accesso sudo, nell'area **Parametri di comando**, incolla quanto segue nella casella **Comandi**.
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
oppure
Per ripristinare l'accesso sudo, nell'area **Parametri di comando**, incolla quanto segue nella casella **Comandi**.
```
cd /etc/sudoers.d
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```
**Utilizza la riga di comando per modificare le autorizzazioni sudo di ssm-user (AWS CLI)**
1. Connettersi al nodo master ed eseguire il comando seguente.
```
sudo -s
```
1. Cambiare la directory di lavoro utilizzando il comando seguente.
```
cd /etc/sudoers.d
```
1. Aprire il file denominato `ssm-agent-users` per la modifica.
1. Per rimuovere l'accesso sudo, eliminare la riga seguente.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
oppure
Per ripristinare l'accesso sudo, aggiungere la riga seguente.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
1. Salvare il file.
## Gestione delle autorizzazioni di amministratore per l'account ssm-user su Windows Server
Utilizza una delle seguenti procedure per abilitare o disabilitare le autorizzazioni di amministratore per l'account ssm-user sui nodi gestiti Windows Server:
**Utilizza Run Command per modificare le autorizzazioni di amministratore (console)**
+ Utilizza la procedura descritta in [Esecuzione di comandi dalla console](running-commands-console.md) con i seguenti valori:
Per **Documenti di comando**, scegli `AWS-RunPowerShellScript`.
Per rimuovere l'accesso amministrativo, nell'area **Parametri di comando**, incolla quanto segue nella casella **Comandi**.
```
net localgroup "Administrators" "ssm-user" /delete
```
oppure
Per ripristinare l'accesso amministrativo, nell'area **Parametri di comando**, incolla quanto segue nella casella **Comandi**.
```
net localgroup "Administrators" "ssm-user" /add
```
**Utilizza PowerShell o la finestra del prompt dei comandi per modificare le autorizzazioni di amministratore**
1. Connettiti al nodo gestito e apri PowerShell o la finestra del prompt dei comandi.
1. Per rimuovere l'accesso amministrativo, eseguire il comando riportato di seguito.
```
net localgroup "Administrators" "ssm-user" /delete
```
oppure
Per ripristinare l'accesso amministrativo, eseguire il comando riportato di seguito.
```
net localgroup "Administrators" "ssm-user" /add
```
**Utilizza la console Windows per modificare le autorizzazioni di amministratore**
1. Connettiti al nodo gestito e apri PowerShell o la finestra del prompt dei comandi.
1. Dalla riga di comando, esegui `lusrmgr.msc` per aprire la console **Utenti e gruppi locali**.
1. Apri la directory **Utenti**, quindi apri **ssm-user**.
1. Nella scheda **Membro di**, esegui una delle seguenti operazioni:
+ Per rimuovere l'accesso amministrativo, seleziona **Amministratori**, quindi scegli **Rimuovi**.
oppure
Per ripristinare l'accesso amministrativo, inserire **Administrators** nella casella di testo, quindi scegli **Aggiungi**.
1. Scegli **OK**.
# Fase 8: (facoltativo) abilitazione e controllo delle autorizzazioni per le connessioni SSH tramite Session Manager
Puoi consentire agli utenti del tuo account Account AWS di utilizzare il AWS Command Line Interface (AWS CLI) per stabilire connessioni Secure Shell (SSH) ai nodi gestiti utilizzando. AWS Systems Manager Session Manager Gli utenti che si connettono utilizzando SSH possono anche copiare i file tra i loro computer locali e gli nodi gestiti usando SCP (Secure Copy Protocol). È possibile usare questa funzionalità per connetterti ai nodi gestiti senza aprire porte in entrata o gestire host bastion.
Quando stabilisci connessioni SSH tramiteSession Manager, SSM Agent crei AWS CLI WebSocket connessioni sicure tramite TLS agli endpoint. Session Manager La sessione SSH viene eseguita all'interno di questo tunnel crittografato, che fornisce un ulteriore livello di sicurezza senza richiedere l'apertura delle porte in ingresso sui nodi gestiti.
Dopo aver consentito le connessioni SSH, puoi utilizzare le policy AWS Identity and Access Management (IAM) per consentire o negare esplicitamente a utenti, gruppi o ruoli di effettuare connessioni SSH. Session Manager
**Nota**
La registrazione non è disponibile per sessioni Session Manager che si connettono tramite inoltro porta o SSH. Questo perché SSH crittografa tutti i dati della sessione all'interno della connessione TLS sicura stabilita tra gli Session Manager endpoint AWS CLI e funge Session Manager solo da tunnel per le connessioni SSH.
**Topics**
+ [Consentire connessioni SSH per Session Manager](#ssh-connections-enable)
+ [Controllo delle autorizzazioni utente per le connessioni SSH tramite Session Manager](#ssh-connections-permissions)
## Consentire connessioni SSH per Session Manager
Attenersi alla seguente procedura per abilitare le connessioni SSH tramite Session Manager su un nodo gestito.
**Per consentire connessioni SSH per Session Manager**
1. Nel nodo gestito per cui si desidera permettere le connessioni SSH, procedere nel modo seguente:
+ Accertarsi che SSH sia in esecuzione sul nodo gestito. (È possibile chiudere le porte in entrata sul nodo.)
+ Accertarsi che SSM Agent versione 2.3.672.0 o successiva sia installata sul nodo gestito.
Per informazioni su come installare e aggiornare SSM Agent su un nodo gestito, consulta i seguenti argomenti:
+ [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per Windows Server](manually-install-ssm-agent-windows.md).
+ [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per Linux](manually-install-ssm-agent-linux.md)
+ [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per macOS](manually-install-ssm-agent-macos.md)
+ [Come installare SSM Agent su nodi Windows ibridi](hybrid-multicloud-ssm-agent-install-windows.md)
+ [Come installare SSM Agent su nodi Linux ibridi](hybrid-multicloud-ssm-agent-install-linux.md)
**Nota**
Per utilizzarli Session Manager con server locali, dispositivi periferici e macchine virtuali (VMs) attivati come nodi gestiti, è necessario utilizzare il livello Advanced-Instances. Per ulteriori informazioni sulle istanze avanzate, consulta [Configurazione dei livelli di istanza](fleet-manager-configure-instance-tiers.md).
1. Sul computer locale da cui si desidera connettersi a un nodo gestito tramite SSH, procedi nel modo seguente:
+ Accertarsi che la versione 1.1.23.0 o successiva del plugin Session Manager sia installata.
Per informazioni sull'istallazione del plugin Session Manager, consulta [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md).
+ Aggiornare il file di configurazione SSH per permettere l'esecuzione di un comando proxy che avvia una sessione Session Manager e trasferire tutti i dati tramite la connessione.
**Linux e macOS**
**Suggerimento**
Il file di configurazione SSH si trova in genere nel percorso `~/.ssh/config`.
Aggiungere quanto segue al file di configurazione sul computer locale.
```
# SSH over Session Manager
Host i-* mi-*
ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"
User ec2-user
```
** Windows **
**Suggerimento**
Il file di configurazione SSH si trova in genere nel percorso `C:\Users\\.ssh\config`.
Aggiungere quanto segue al file di configurazione sul computer locale.
```
# SSH over Session Manager
Host i-* mi-*
ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
```
+ Creare o verificare di disporre di un certificato Privacy Enhanced Mail Certificate (un file PEM) o almeno una chiave pubblica, da utilizzare quando si stabiliscono connessioni a nodi gestiti. Questa deve essere una chiave già associata al nodo gestito. Le autorizzazioni del file di chiavi private devono essere impostate in modo che tu sia l'unico a poterlo leggere. È possibile utilizzare il seguente comando per impostare le autorizzazioni del file di chiavi private in modo che tu sia l'unico a poterlo leggere.
```
chmod 400 .pem
```
Ad esempio, per un'istanza Amazon Elastic Compute Cloud (Amazon EC2), il file della coppia di chiavi creata o selezionata al momento della creazione dell'istanza. (Specificare il percorso al certificato o alla chiave come parte del comando per avviare una sessione. Per informazioni sull'avvio di una sessione tramite SSH, consultare ) [Avvio di una sessione (SSH)](session-manager-working-with-sessions-start.md#sessions-start-ssh).)
## Controllo delle autorizzazioni utente per le connessioni SSH tramite Session Manager
Dopo aver abilitato le connessioni SSH tramite Session Manager su un nodo gestito, è possibile utilizzare le policy IAM per consentire o impedire a utenti, gruppi o ruoli la possibilità di effettuare connessioni SSH tramite Session Manager.
**Per utilizzare una policy IAM per consentire le connessioni SSH tramite Session Manager**
+ Utilizza una delle opzioni seguenti:
+ **Opzione 1**: apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
Nel riquadro di navigazione, scegli **Policy** e quindi aggiorna le policy di autorizzazioni per l'utente o il ruolo che desideri possa avviare le connessioni SSH tramite Session Manager.
Ad esempio, aggiungi il seguente elemento alla policy di avvio rapido creata in [Policy di avvio rapido per utenti finali per Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user). Sostituisci ogni *example resource placeholder* con le tue informazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartSession",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/instance-id",
"arn:aws:ssm:*:*:document/AWS-StartSSHSession"
]
},
{
"Effect": "Allow",
"Action": "ssmmessages:OpenDataChannel",
"Resource": "arn:aws:ssm:*:*:session/${aws:userid}-*"
}
]
}
```
------
+ **Opzione 2**: collega una politica in linea a una politica utente utilizzando l' Console di gestione AWS AWS CLI, l'o l' AWS API.
Utilizzando il metodo che preferisci, allega la dichiarazione sulla politica dell'**Opzione 1** alla politica per un AWS utente, gruppo o ruolo.
Per informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella *Guida per l'utente di IAM*.
**Per utilizzare una policy IAM che neghi le connessioni SSH tramite Session Manager**
+ Utilizza una delle opzioni seguenti:
+ **Opzione 1**: apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Nel riquadro di navigazione, scegli **Policy** e quindi aggiorna le policy di autorizzazione per l'utente o il ruolo per bloccare l'avvio delle sessioni Session Manager.
Ad esempio, aggiungi il seguente elemento alla policy di avvio rapido creata in [Policy di avvio rapido per utenti finali per Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ssm:StartSession",
"Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
},
{
"Effect": "Allow",
"Action": "ssmmessages:OpenDataChannel",
"Resource": "arn:aws:ssm:*:*:session/${aws:userid}-*"
}
]
}
```
------
+ **Opzione 2**: collega una politica in linea a una politica utente utilizzando l' Console di gestione AWS AWS CLI, l'o l' AWS API.
Utilizzando il metodo che preferisci, allega la dichiarazione sulla politica dell'**Opzione 1** alla politica per un AWS utente, gruppo o ruolo.
Per informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella *Guida per l'utente di IAM*.
# Utilizzo di Session Manager
Puoi utilizzare la console AWS Systems Manager la console Amazon Elastic Compute Cloud (Amazon EC2) o la AWS Command Line Interface (AWS CLI) per avviare sessioni che ti connettono ai nodi gestiti cui l'amministratore ti ha garantito l'accesso utilizzando le Policy (IAM) AWS Identity and Access Management. A seconda delle autorizzazioni, puoi anche visualizzare le informazioni sulle sessioni, riprendere le sessioni inattive non ancora scadute e terminare le sessioni. Una volta stabilita, la sessione non è influenzata dalla durata della sessione del ruolo IAM. Per informazioni sulla limitazione della durata della sessione con Session Manager, consulta le sezioni [Specificare un valore di timeout della sessione di inattività](session-preferences-timeout.md) e [Specifica la durata massima della sessione](session-preferences-max-timeout.md).
Per ulteriori informazioni sulle sessioni, consulta [Che cos'è una sessione?](session-manager.md#what-is-a-session)
**Topics**
+ [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md)
+ [Avvio di una sessione](session-manager-working-with-sessions-start.md)
+ [Terminare una sessione](session-manager-working-with-sessions-end.md)
+ [Visualizzazione della cronologia delle sessioni](session-manager-working-with-view-history.md)
# Installa il Session Manager plugin per AWS CLI
Per avviare sessioni di Session Manager con i nodi gestiti utilizzando la AWS Command Line Interface (AWS CLI), è necessario installare il *plugin di Session Manager* sul computer locale. È possibile installare il plug-in su versioni supportate di Microsoft Windows Server, macOS, Linux e Ubuntu Server.
**Nota**
Per utilizzare il Session Manager plugin, devi avere la AWS CLI versione 1.16.12 o successiva installata sul tuo computer locale. Per ulteriori informazioni, consulta [Installare o aggiornare la versione più recente della AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Topics**
+ [Cronologia delle versioni e versione più recente del plug-in Session Manager](plugin-version-history.md)
+ [Installa il plugin Session Manager su Windows](install-plugin-windows.md)
+ [Installa il plugin Session Manager su macOS](install-plugin-macos-overview.md)
+ [Installa il plug-in di Session Manager su Linux](install-plugin-linux-overview.md)
+ [Verificare l'installazione del plugin Session Manager](install-plugin-verify.md)
+ [Plugin di Session Manager su GitHub](plugin-github.md)
+ [(Facoltativo) Attivare la registrazione del plug-in Session Manager](install-plugin-configure-logs.md)
# Cronologia delle versioni e versione più recente del plug-in Session Manager
Il computer locale deve eseguire una versione supportata del plug-in Session Manager. La versione minima attualmente supportata è 1.1.17.0. Se esegui una versione precedente, le operazioni del plug-in Session Manager potrebbero non andare a buon fine.
Per vedere se hai la versione più recente, esegui il comando riportato di seguito in AWS CLI.
**Nota**
Il comando restituisce risultati solo se il plug-in si trova nella directory di installazione di default per il tuo tipo di sistema operativo. È possibile anche controllare la versione nel contenuto del file `VERSION` nella directory in cui è stato installato il plugin.
```
session-manager-plugin --version
```
La tabella seguente elenca tutte le release del plug-in Session Manager, nonché le funzionalità e i miglioramenti inclusi in ciascuna versione.
**Importante**
Consigliamo di eseguire sempre la versione più recente. L'ultima versione include miglioramenti che migliorano l'esperienza di utilizzo del plug-in.
| Versione | Data di rilascio | Informazioni |
| --- | --- | --- |
| 1,2,792,0 | 17 marzo 2026 | Correzione di **bug**: Aggiunto il supporto internazionale per tastiera per Windows. |
| 1.2.779.0 | 12 febbraio 2026 | **Miglioramento**: aggiorna la versione Go alla 1.25 in Dockerfile. **Correzione di bug**: aggiungi le righe shebang agli script di pacchettizzazione di Debian. |
| 1.2.764.0 | 19 novembre 2025 | **Miglioramento**: è stato aggiunto il supporto per la richiesta di firma. OpenDataChannel Correzione di **bug: correggi** i problemi di checkstyle per supportare la nuova versione di Go. |
| 1.2.707.0 | 6 febbraio 2025 | **Miglioramento**: aggiornamento della versione Go alla 1.23 nel Dockerfile. Aggiornamento della fase di configurazione della versione nel README. |
| 1,2,694,0 | 20 novembre 2024 | Correzione di **bug**: modifica annullata che aggiungeva credenziali alle richieste. OpenDataChannel |
| 1.2.688.0 | 6 novembre 2024 | **Questa versione è stata resa obsoleta il 20 novembre 2024.** **Miglioramenti**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/systems-manager/latest/userguide/plugin-version-history.html) |
| 1.2.6770 | 10 ottobre 2024 | **Miglioramento**: aggiunto il supporto per il passaggio della versione del plugin con richieste. OpenDataChannel |
| 1.2.650.0 | 2 luglio 2024 | **Miglioramento: aggiornato** a 1.54.10. aws-sdk-go**Correzione di bug**: riformati commenti per gofmt check. |
| 1.2.633,0 | 30 maggio 2024 | Miglioramento: è stato aggiornato il Dockerfile per utilizzare un'immagine Amazon Elastic Container Registry (Amazon ECR). |
| 1,2553,0 | 10 gennaio 2024 | Miglioramento: pacchetti Golang aggiornati aws-sdk-go e dipendenti. |
| 1.2,536,0 | 04 dicembre 2023 | Miglioramento: è stato aggiunto il supporto per il passaggio di una risposta [StartSession](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartSession.html)API come variabile di ambiente a. session-manager-plugin |
| 1.2.497.0 | 1° agosto 2023 | Miglioramento: Go SDK aggiornato alla versione 1.44.302. |
| 1,2,463,0 | 15 marzo 2023 | Miglioramento: aggiunto il supporto Mac with Apple silicon per Apple Mac (M1) nel programma di installazione del bundle macOS e nel programma di installazione firmato. |
| 1,2398,0 | 14 ottobre 2022 | Miglioramento: supporto per la versione golang 1.17. Aggiorna il session-manager-plugin runner predefinito per macOS per usare python3. Aggiorna il percorso di importazione da SSMCLI a. session-manager-plugin |
| 1.2.339.0 | 16 giugno 2022 | Correzione di bug: correzione del timeout della sessione inattiva per le sessioni di porta. |
| 1,2331,0 | 27 maggio 2022 | Correzione di bug: correzione della chiusura prematura delle sessioni della porta quando il server locale non si connette prima del timeout. |
| 1,2,323,0 | 19 maggio 2022 | Correzione di bug: disabilita smux keep alive per utilizzare la funzione di timeout della sessione inattiva. |
| 1,2312,0 | 31 marzo 2022 | Miglioramento: supporta più tipi di payload dei messaggi di output. |
| 1,2295,0 | 12 gennaio 2022 | Correzione di bug: sessioni sospese causate dal client che invia nuovamente i dati del flusso quando l'agente diventa inattivo e i log errati per i messaggi di start\$1publication e pause\$1publication. |
| 1,2279,0 | 27 ottobre 2021 | Miglioramento: packaging in formato zip per la piattaforma Windows. |
| 1,2245,0 | 19 agosto 2021 | Miglioramento: Aggiornamento di aws-sdk-go alla versione più recente (v1.40.17) per supportare AWS IAM Identity Center. |
| 1,2234,0 | 26 luglio 2021 | Risoluzione dei bug: Gestione dello scenario di una sessione terminata improvvisamente nel tipo di sessione interattiva. |
| 12,205,0 | 10 giugno 2021 | Miglioramento: è stato aggiunto il supporto per il programma di installazione firmato macOS. |
| 1,2,54,0 | 29 gennaio 2021 | Miglioramento: è stato aggiunto il supporto per l'esecuzione di sessioni in modalità di esecuzione. NonInteractiveCommands |
| 1.2.30.0 | 24 novembre 2020 | **Miglioramento**: (solo le sessioni di inoltro delle porte) Miglioramento delle prestazioni complessive. |
| 1.2.7.0 | 15 ottobre 2020 | **Miglioramento**: (solo le sessioni di inoltro delle porte) latenza ridotta e prestazioni complessive migliorate. |
| 1.1.61.0 | 17 aprile 2020 | **Miglioramento**: aggiunto il supporto ARM per Linux e Ubuntu Server. |
| 1.1.54.0 | 6 gennaio 2020 | **Correzione di bug**: gestione dello scenario di race condition dei pacchetti che vengono rilasciati quando il plug-in Session Manager non è pronto. |
| 1.1.50.0 | 19 novembre 2019 | **Miglioramento**: Aggiunto il supporto per l'inoltro di una porta a un socket unix locale. |
| 1.1.35.0 | 7 novembre 2019 | **Miglioramento**: (solo sessioni di port forwarding) Invia un TerminateSession comando a quando l'utente locale preme. SSM Agent `Ctrl+C` |
| 1.1.33.0 | 26 settembre 2019 | Miglioramento: (solo sessioni di inoltro alla porta) invia un segnale di disconnessione al server quando il client rimuove la connessione TCP. |
| 1.1.31.0 | 6 settembre 2019 | Miglioramento: aggiorna per mantenere aperta la sessione di inoltro alla porta finché il server remoto non chiude la connessione. |
| 1.1.26.0 | 30 luglio 2019 | **Miglioramento**: aggiornamento per limitare la velocità di trasferimento dei dati durante una sessione. |
| 1.1.23.0 | 09 luglio 2019 | **Miglioramento**: aggiunta del supporto per l'esecuzione di sessioni SSH utilizzando Session Manager. |
| 1.1.17.0 | 4 aprile 2019 | **Miglioramento**: aggiunta del supporto per ulteriore crittografia dei dati delle sessioni utilizzando AWS Key Management Service (AWS KMS). |
| 1.0.37.0 | 20 settembre 2018 | **Miglioramento**: correzione di bug per la versione Windows. |
| 1.0.0.0 | 11 settembre 2018 | Versione iniziale del plug-in Session Manager. |
# Installa il plugin Session Manager su Windows
Puoi installare il plugin di Session Manager su Windows Vista o versione successiva utilizzando il programma di installazione autonomo.
Quando vengono rilasciati gli aggiornamenti, è necessario ripetere il processo di installazione per ottenere la versione più recente del plug-in Session Manager.
**Nota**
Osservare le seguenti informazioni.
Il programma di installazione del plugin di Session Manager necessita dei diritti di amministratore per installare il plug-in.
Per ottenere risultati ottimali, ti consigliamo di avviare sessioni sui client Windows utilizzando Windows PowerShell versione 5 o successiva. In alternativa, puoi utilizzare la shell Command in Windows 10. Il plugin Session Manager supporta solo PowerShell e la shell Command. Gli strumenti a riga di comando di terze parti potrebbero non essere compatibili con il plug-in.
**Per installare il plug-in Session Manager utilizzando il programma di installazione EXE**
1. Scaricare il programma di installazione utilizzando l'URL seguente.
```
https://s3.amazonaws.com/session-manager-downloads/plugin/latest/windows/SessionManagerPluginSetup.exe
```
In alternativa, è possibile scaricare una versione compressa del programma di installazione utilizzando il seguente URL.
```
https://s3.amazonaws.com/session-manager-downloads/plugin/latest/windows/SessionManagerPlugin.zip
```
1. Esegui il programma di installazione scaricato e segui le istruzioni sullo schermo. Se hai scaricato la versione compressa del programma di installazione, devi prima decomprimere il programma di installazione.
Lasciare vuota la casella del percorso di installazione per installare il plug-in nella directory di default.
+ `%PROGRAMFILES%\Amazon\SessionManagerPlugin\bin\`
1. Verificare che l'installazione sia stata effettuata correttamente. Per informazioni, consulta [Verificare l'installazione del plugin Session Manager](install-plugin-verify.md).
**Nota**
Se Windows non è in grado di trovare l'eseguibile, potrebbe essere necessario aprire nuovamente il prompt dei comandi o aggiungere manualmente la directory di installazione alla variabile di ambiente `PATH`. Per ulteriori informazioni relative alla risoluzione di problemi, consultare [Il plug-in di Session Manager non viene aggiunto automaticamente al percorso della riga di comando (Windows)](session-manager-troubleshooting.md#windows-plugin-env-var-not-set).
# Installa il plugin Session Manager su macOS
Scegli uno dei seguenti argomenti per installare il plug-in di Session Manager su macOS.
**Nota**
Il programma di installazione firmato è un file `.pkg` firmato. Il programma di installazione in bundle utilizza un file `.zip`. Una volta decompresso il file, puoi installare il plug-in utilizzando il file binario.
## Installazione di plug-in Session Manager su macOS con il programma di installazione firmato
Questa sezione descrive come installare il plugin di Session Manager su macOS utilizzando il programma di installazione firmato.
**Per installare il plug-in Session Manager utilizzando il programma di installazione firmato (macOS)**
1. Scaricare il programma di installazione firmato.
------
#### [ x86\$164 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac/session-manager-plugin.pkg" -o "session-manager-plugin.pkg"
```
------
#### [ Mac con processore Apple ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac_arm64/session-manager-plugin.pkg" -o "session-manager-plugin.pkg"
```
------
1. Esegui i comandi di installazione. Se il comando fa errore, verifica che la cartella `/usr/local/bin` esista. In caso contrario, creala ed esegui nuovamente il comando.
```
sudo installer -pkg session-manager-plugin.pkg -target /
sudo ln -s /usr/local/sessionmanagerplugin/bin/session-manager-plugin /usr/local/bin/session-manager-plugin
```
1. Verificare che l'installazione sia stata effettuata correttamente. Per informazioni, consulta [Verificare l'installazione del plugin Session Manager](install-plugin-verify.md).
## Installa il plugin Session Manager su macOS
Questa sezione descrive come installare il plugin di Session Manager su macOS utilizzando il programma di installazione in bundle.
**Importante**
Prendi nota delle seguenti informazioni importanti.
Per impostazione predefinita, il programma di installazione richiede l'accesso sudo per l'esecuzione, poiché lo script installa il plug-in nella directory di sistema di `/usr/local/sessionmanagerplugin`. Se non vuoi installare il plugin usando sudo, aggiorna manualmente lo script di installazione per installare il plugin in una directory che non richiede l'accesso sudo.
Non supporta l’installazione in percorsi che contengono spazi.
**Per installare il plug-in Session Manager mediante il programma di installazione in bundle (macOS)**
1. Scarica il programma di installazione in bundle.
------
#### [ x86\$164 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac/sessionmanager-bundle.zip" -o "sessionmanager-bundle.zip"
```
------
#### [ Mac con processore Apple ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac_arm64/sessionmanager-bundle.zip" -o "sessionmanager-bundle.zip"
```
------
1. Decomprimi il pacchetto.
```
unzip sessionmanager-bundle.zip
```
1. Eseguire il comando di installazione.
```
sudo ./sessionmanager-bundle/install -i /usr/local/sessionmanagerplugin -b /usr/local/bin/session-manager-plugin
```
**Nota**
Il plugin richiede Python 3.10 o successivo. Per default, lo script di installazione viene eseguito con la versione di Python di default del sistema. Se è installata una versione alternativa di Python e si intende utilizzare questa per installare il Session Manager, eseguire lo script del programma di installazione con tale versione dal percorso assoluto dell'eseguibile di Python. Di seguito è riportato un esempio di :
```
sudo /usr/local/bin/python3.11 sessionmanager-bundle/install -i /usr/local/sessionmanagerplugin -b /usr/local/bin/session-manager-plugin
```
Il programma di installazione installa il Session Manager in `/usr/local/sessionmanagerplugin` e crea il collegamento simbolico `session-manager-plugin` nella directory `/usr/local/bin`. Ciò elimina la necessità di specificare la directory di installazione nella variabile `$PATH` dell'utente.
Per vedere una spiegazione delle opzioni `-i` e `-b`, usa l'opzione `-h`.
```
./sessionmanager-bundle/install -h
```
1. Verificare che l'installazione sia stata effettuata correttamente. Per informazioni, consulta [Verificare l'installazione del plugin Session Manager](install-plugin-verify.md).
**Nota**
Per disinstallare il plugin, esegui i due comandi riportati di seguito nell'ordine visualizzato.
```
sudo rm -rf /usr/local/sessionmanagerplugin
```
```
sudo rm /usr/local/bin/session-manager-plugin
```
# Installa il plug-in di Session Manager su Linux
Questa sezione include informazioni sulla verifica della firma del pacchetto del programma di installazione del plug-in di Session Manager e sull'installazione del plug-in nelle seguenti distribuzioni Linux:
+ Amazon Linux 2
+ AL2023
+ RHEL
+ Debian Server
+ Ubuntu Server
**Topics**
+ [Verifica la firma del plug-in di Session Manager](install-plugin-linux-verify-signature.md)
+ [Installa il plug-in di Session Manager su Amazon Linux 2, Amazon Linux 2023 e distribuzioni Red Hat Enterprise Linux](install-plugin-linux.md)
+ [Installazione del plug-in Session Manager su Debian Server e Ubuntu Server](install-plugin-debian-and-ubuntu.md)
# Verifica la firma del plug-in di Session Manager
I pacchetti del programma di installazione RPM e Debian del plug-in di Session Manager per le istanze Linux sono firmati crittograficamente. È possibile utilizzare una chiave pubblica per verificare che il plug-in binario e il pacchetto siano originali e non modificati. Se i file sono in qualche modo danneggiati o alterati, la verifica non va a buon fine. È possibile verificare la firma del programma di installazione tramite lo strumento GNU Privacy Guard (GPG). Le seguenti informazioni sono relative alle versioni 1.2.707.0 o successive del plug-in di Session Manager.
Completa i seguenti passaggi, per verificare la firma del pacchetto del programma di installazione del plug-in di Session Manager.
**Topics**
+ [Passaggio 1: scarica il pacchetto del programma di installazione del plug-in diSession Manager](#install-plugin-linux-verify-signature-installer-packages)
+ [Passaggio 2: scarica il file di firma associato](#install-plugin-linux-verify-signature-packages)
+ [Passaggio 3: installa lo strumento GPG](#install-plugin-linux-verify-signature-packages-gpg)
+ [Passaggio 4: verifica il pacchetto del programma di installazione del plug-in di Session Manager in un server Linux](#install-plugin-linux-verify-signature-packages)
## Passaggio 1: scarica il pacchetto del programma di installazione del plug-in diSession Manager
Scarica il pacchetto del programma di installazione del plug-in di Session Manager che desideri verificare.
**Amazon Linux 2 AL2023 e pacchetti RHEL RPM**
------
#### [ x86\$164 ]
```
curl -o "session-manager-plugin.rpm" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm"
```
------
#### [ ARM64 ]
```
curl -o "session-manager-plugin.rpm" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm"
```
------
**Pacchetti Debian Server e Deb Ubuntu Server**
------
#### [ x86\$164 ]
```
curl -o "session-manager-plugin.deb" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb"
```
------
#### [ ARM64 ]
```
curl -o "session-manager-plugin.deb" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb"
```
------
## Passaggio 2: scarica il file di firma associato
Dopo aver scaricato il pacchetto del programma di installazione, scarica il file di firma associato per la verifica del pacchetto. Per fornire un ulteriore livello di protezione contro la copia o l'uso non autorizzati del file session-manager-plugin binario all'interno del pacchetto, offriamo anche firme binarie, che puoi utilizzare per convalidare singoli file binari. Puoi scegliere di utilizzare queste firme binarie in base alle tue esigenze di sicurezza.
**Amazon Linux 2 AL2023 e pacchetti di RHEL firma**
------
#### [ x86\$164 ]
Pacchetto:
```
curl -o "session-manager-plugin.rpm.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm.sig"
```
File binario:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.sig"
```
------
#### [ ARM64 ]
Pacchetto:
```
curl -o "session-manager-plugin.rpm.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm.sig"
```
File binario:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.sig"
```
------
**Debian Server e pacchetti di firma Deb Ubuntu Server**
------
#### [ x86\$164 ]
Pacchetto:
```
curl -o "session-manager-plugin.deb.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb.sig"
```
File binario:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.sig"
```
------
#### [ ARM64 ]
Pacchetto:
```
curl -o "session-manager-plugin.deb.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb.sig"
```
File binario:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.sig"
```
------
## Passaggio 3: installa lo strumento GPG
Per verificare la firma del plug-in di Session Manager, è necessario che sul sistema sia installato lo strumento GNU Privacy Guard (GPG). Il processo di verifica richiede la versione 2.1 o successiva di GPG. Puoi verificare la tua versione GPG eseguendo il comando seguente:
```
gpg --version
```
Se la tua versione di GPG è precedente alla 2.1, aggiornala prima di continuare con il processo di verifica. Per la maggior parte dei sistemi, puoi aggiornare lo strumento GPG usando il tuo gestore di pacchetti. Ad esempio, su versioni di Amazon e RHEL supportate, puoi utilizzare i seguenti comandi:
```
sudo yum update
sudo yum install gnupg2
```
Sui sistemi Ubuntu Server e Debian Server supportati, puoi utilizzare i seguenti comandi:
```
sudo apt-get update
sudo apt-get install gnupg2
```
Assicurati di avere la versione GPG richiesta prima di continuare con il processo di verifica.
## Passaggio 4: verifica il pacchetto del programma di installazione del plug-in di Session Manager in un server Linux
Utilizza la procedura seguente per verificare il pacchetto del programma di installazione del plug-in di Session Manager in un server Linux.
**Nota**
Amazon Linux 2 non supporta la versione 2.1 o successiva dello strumento GPG. Se la seguente procedura non funziona sulle tue istanze Amazon Linux 2, verifica la firma su una piattaforma diversa prima di installarla sulle tue istanze Amazon Linux 2.
1. Copia la seguente chiave pubblica e salvala in un file denominato session-manager-plugin .gpg.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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=2DQm
-----END PGP PUBLIC KEY BLOCK-----
```
1. Importa la chiave pubblica nel tuo keyring. Il valore della chiave restituito dovrebbe essere `2C4D4AFF6F6757EE`.
```
$ gpg --import session-manager-plugin.gpg
gpg: key 2C4D4AFF6F6757EE: public key "AWS SSM Session Manager (AWS Systems Manager Session Manager Plugin Linux Signer Key)" imported
gpg: Total number processed: 1
gpg: imported: 1
```
1. Per verificare l'impronta digitale, esegui il seguente comando.
```
gpg --fingerprint 2C4D4AFF6F6757EE
```
L'impronta digitale per l'output dell'impronta digitale deve corrispondere a quanto riportato di seguito.
```
7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
```
```
pub nistp256 2025-01-22 [SC]
7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
uid [ unknown] AWS SSM Session Manager (AWS Systems Manager Session Manager Plugin Linux Signer Key)
```
Se l'impronta digitale non corrisponde, non installare il plug-in. Contatto. Supporto AWS
1. Verificare la firma del pacchetto di installazione. Sostituisci *signature-filename* e *downloaded-plugin-filename* con i valori specificati durante il download del file della firma e session-manager-plugin, come indicato nella tabella precedente di questo argomento.
```
gpg --verify signature-filename downloaded-plugin-filename
```
Ad esempio, per l'architettura x86\$164 in Amazon Linux 2, il comando è il seguente:
```
gpg --verify session-manager-plugin.rpm.sig session-manager-plugin.rpm
```
Questo comando restituisce un output simile al seguente.
```
gpg: Signature made Mon Feb 3 20:08:32 2025 UTC gpg: using ECDSA key 2C4D4AFF6F6757EE
gpg: Good signature from "AWS Systems Manager Session Manager (AWS Systems Manager Session Manager Plugin Linux Signer Key)" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
```
Se l'output include la frase `BAD signature`, controllare di avere eseguito la procedura correttamente. Se continui a ricevere questa risposta, contatta Supporto AWS e non installare il pacchetto. Il messaggio di avviso relativo all'attendibilità non indica che la firma non sia valida, ma soltanto che la chiave pubblica non è stata verificata. Una chiave è considerata attendibile solo se è stata firmata dall'utente o da un firmatario fidato. Se l'output include la frase `Can't check signature: No public key`, verifica di aver scaricato il plug-in di Session Manager con la versione 1.2.707.0 o successiva.
# Installa il plug-in di Session Manager su Amazon Linux 2, Amazon Linux 2023 e distribuzioni Red Hat Enterprise Linux
Utilizza la seguente procedura per installare il Session Manager plug-in su Amazon Linux 2, Amazon Linux 2023 (AL2023) e RHEL distribuzioni.
1. Scarica e installa il pacchetto RPM del plugin Session Manager.
------
#### [ x86\$164 ]
Su Amazon Linux 2 e RHEL 7 eseguire il seguente comando:
```
sudo yum install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm
```
Nelle AL2023 versioni RHEL 8 e 9, esegui il seguente comando:
```
sudo dnf install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm
```
------
#### [ ARM64 ]
Su Amazon Linux 2 e RHEL 7 eseguire il seguente comando:
```
sudo yum install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm
```
Nei AL2023 giorni RHEL 8 e 9, esegui il seguente comando:
```
sudo dnf install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm
```
------
1. Verificare che l'installazione sia stata effettuata correttamente. Per informazioni, consulta [Verificare l'installazione del plugin Session Manager](install-plugin-verify.md).
**Nota**
Se desideri disinstallare il plugin, esegui `sudo yum erase session-manager-plugin -y`
# Installazione del plug-in Session Manager su Debian Server e Ubuntu Server
1. Scaricare il pacchetto deb del plug-in Session Manager:
------
#### [ x86\$164 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb" -o "session-manager-plugin.deb"
```
------
#### [ ARM64 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb" -o "session-manager-plugin.deb"
```
------
1. Eseguire il comando di installazione.
```
sudo dpkg -i session-manager-plugin.deb
```
1. Verificare che l'installazione sia stata effettuata correttamente. Per informazioni, consulta [Verificare l'installazione del plugin Session Manager](install-plugin-verify.md).
**Nota**
Se si desidera disinstallare il plugin, eseguire `sudo dpkg -r session-manager-plugin`
# Verificare l'installazione del plugin Session Manager
Per verificare che il plug-in Session Manager sia stato installato, esegui il comando riportato di seguito.
```
session-manager-plugin
```
Se l'installazione è stata completata, viene restituito il seguente messaggio.
```
The Session Manager plugin is installed successfully. Use the AWS CLI to start a session.
```
È anche possibile testare l'installazione eseguendo il comando [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html) riportato di seguito in [AWS Command Line Interface](https://aws.amazon.com/cli/) (AWS CLI). Nel comando seguente, sostituisci *instance-id* con le tue informazioni.
```
aws ssm start-session --target instance-id
```
Questo comando funzionerà solo se hai installato e configurato e se l' AWS CLISession Manageramministratore ti ha concesso le autorizzazioni IAM necessarie per accedere al nodo gestito di destinazione utilizzandoSession Manager.
# Plugin di Session Manager su GitHub
Il codice sorgente per il plug-in di Session Manager è disponibile su [https://github.com/aws/session-manager-plugin](https://github.com/aws/session-manager-plugin) in modo da adattare il plug-in per soddisfare le proprie esigenze. Ti consigliamo di inviare le [richieste pull](https://github.com/aws/session-manager-plugin/blob/mainline/CONTRIBUTING.md) per le modifiche da includere. Tuttavia, Amazon Web Services attualmente non fornisce il supporto per eseguire copie modificate di questo software.
# (Facoltativo) Attivare la registrazione del plug-in Session Manager
Il plug-in Session Manager include un'opzione per abilitare la registrazione per le sessioni che esegui. Per impostazione predefinita, la registrazione è disattivata.
Se abiliti la registrazione, il plug-in Session Manager crea un file di log sia per le attività dell'applicazione (`session-manager-plugin.log`) sia per gli errori (`errors.log`) sul tuo computer locale.
**Topics**
+ [Attivare la registrazione per il plug-in Session Manager (Windows)](#configure-logs-windows)
+ [Abilitazione della registrazione per il plug-in Session Manager (Linux e macOS)](#configure-logs-linux)
## Attivare la registrazione per il plug-in Session Manager (Windows)
1. Individuare il file `seelog.xml.template` per il plugin.
Il percorso predefinito è `C:\Program Files\Amazon\SessionManagerPlugin\seelog.xml.template`.
1. Modificare il nome del file in `seelog.xml`.
1. Aprire il file e modificare `minlevel="off"` in `minlevel="info"` o `minlevel="debug"`.
**Nota**
Per impostazione predefinita, le voci di log relative all'apertura di un canale di dati e alla riconnessione delle sessioni sono registrate nel livello **INFO**. Le voci del flusso di dati (pacchetti e relativa conferma) sono registrate nel livello **DEBUG**.
1. Modificare altre opzioni di configurazione in base alle proprie esigenze. Le opzioni che è possibile modificare includono:
+ **Livello di debug**: è possibile modificare il livello di debug da `formatid="fmtinfo"` a `formatid="fmtdebug"`.
+ **Opzioni relative ai file di log**: è possibile modificare le opzioni relative ai file di log, inclusa la posizione in cui vengono archiviati i log, ad eccezione dei nomi dei file.
**Importante**
Non modificare i nomi dei file, altrimenti la registrazione non funzionerà correttamente.
```
```
1. Salvare il file.
## Abilitazione della registrazione per il plug-in Session Manager (Linux e macOS)
1. Individuare il file `seelog.xml.template` per il plugin.
Il percorso predefinito è `/usr/local/sessionmanagerplugin/seelog.xml.template`.
1. Modificare il nome del file in `seelog.xml`.
1. Aprire il file e modificare `minlevel="off"` in `minlevel="info"` o `minlevel="debug"`.
**Nota**
Per impostazione predefinita, le voci di log relative all'apertura di canali di dati e alla riconnessione delle sessioni sono registrate nel livello **INFO**. Le voci del flusso di dati (pacchetti e relativa conferma) sono registrate nel livello **DEBUG**.
1. Modificare altre opzioni di configurazione in base alle proprie esigenze. Le opzioni che è possibile modificare includono:
+ **Livello di debug**: è possibile modificare il livello di debug da `formatid="fmtinfo"` a `outputs formatid="fmtdebug"`.
+ **Opzioni relative ai file di log**: è possibile modificare le opzioni relative ai file di log, inclusa la posizione in cui vengono archiviati i log, ad eccezione dei nomi dei file.
**Importante**
Non modificare i nomi dei file, altrimenti la registrazione non funzionerà correttamente.
```
```
**Importante**
Se si utilizza la directory di default specificata per l'archiviazione dei log, è necessario eseguire i comandi di sessione utilizzando **sudo** o fornire l'accesso completo in lettura e scrittura alla directory in cui è installato il plugin. Per by-passare queste limitazioni, modifica il percorso in cui vengono archiviati i log.
1. Salvare il file.
# Avvio di una sessione
Puoi utilizzare la AWS Systems Manager console, la console Amazon Elastic Compute Cloud (Amazon EC2), AWS Command Line Interface il AWS CLI() o SSH per avviare una sessione.
**Topics**
+ [Avvio di una sessione (console Systems Manager)](#start-sys-console)
+ [Avvio di una sessione (console Amazon EC2 )](#start-ec2-console)
+ [Avvio di una sessione (AWS CLI)](#sessions-start-cli)
+ [Avvio di una sessione (SSH)](#sessions-start-ssh)
+ [Avvio di una sessione (inoltro alla porta)](#sessions-start-port-forwarding)
+ [Avvio di una sessione (inoltro alla porta a un host remoto)](#sessions-remote-port-forwarding)
+ [Avvio di una sessione (comandi interattivi e non interattivi)](#sessions-start-interactive-commands)
## Avvio di una sessione (console Systems Manager)
Puoi utilizzare la AWS Systems Manager console per avviare una sessione con un nodo gestito nel tuo account.
**Nota**
Prima di avviare una sessione, assicurati di aver completato la procedura di configurazione per Session Manager. Per informazioni, consulta [Configurazione di Session Manager](session-manager-getting-started.md).
**Per avviare una sessione (console Systems Manager)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Scegliere **Start session (Avvia sessione)**.
1. (Facoltativo) Inserisci una descrizione della sessione nel campo **Motivo della sessione**.
1. Per **Istanze di destinazione**, scegli il pulsante di opzione a sinistra del nodo gestito a cui desideri connetterti.
Se il nodo che desideri non è presente nell'elenco o se selezioni un nodo e ricevi un errore di configurazione, consulta [Nodo gestito non disponibile o non configurato per Session Manager](session-manager-troubleshooting.md#session-manager-troubleshooting-instances) per la procedura di risoluzione dei problemi.
1. Scegli **Avvia sessione** per avviare immediatamente la sessione.
oppure
Scegli **Avanti** per le opzioni di sessione.
1. (Facoltativo) Per **Documento di sessione**, seleziona il documento che desideri eseguire all'inizio della sessione. Se il documento supporta i parametri di runtime, è possibile inserire uno o più valori separati da virgole in ogni campo dei parametri.
1. Scegli **Next (Successivo)**.
1. Scegliere **Start session (Avvia sessione)**.
Una volta creata la connessione, è possibile eseguire i comandi bash (Linux e macOS) o i comandi PowerShell (Windows) come per qualsiasi altro tipo di connessione.
**Importante**
Se desideri consentire agli utenti di specificare un documento all'avvio delle sessioni nella console di Session Manager, tieni presente quanto segue:
Devi concedere agli utenti le autorizzazioni `ssm:GetDocument` e `ssm:ListDocuments` nella loro policy IAM. Per ulteriori informazioni, consulta [Concedere l'accesso ai documenti di sessione personalizzati nella console](getting-started-restrict-access-examples.md#grant-access-documents-console-example).
La console supporta solo i documenti di sessione il cui `sessionType` è definito come `Standard_Stream`. Per ulteriori informazioni, consulta [Schema documento di sessione](session-manager-schema.md).
## Avvio di una sessione (console Amazon EC2 )
È possibile utilizzare la console Amazon Elastic Compute Cloud (Amazon EC2) per avviare una sessione con un'istanza nel tuo account.
**Nota**
Se ricevi un errore che indica che non sei autorizzato a eseguire una o più operazioni Systems Manager (`ssm:command-name`), devi contattare il tuo amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso. Chiedere a tale persona di aggiornare le policy per consentire l'avvio delle sessioni dalla console Amazon EC2. Se sei un amministratore, consulta [Policy IAM di esempio per Session Manager](getting-started-restrict-access-quickstart.md) per ulteriori informazioni.
**Avvio di una sessione (console Amazon EC2)**
1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.
1. Selezionare l’istanza, quindi scegliere **Collegarsi**.
1. Per **Connection Method (Metodo di connessione)**, scegliere **Session Manager**.
1. Scegli **Connetti**.
Una volta creata la connessione, è possibile eseguire i comandi bash (Linux e macOS) o i comandi PowerShell (Windows) come per qualsiasi altro tipo di connessione.
## Avvio di una sessione (AWS CLI)
Installa e configura AWS Command Line Interface (AWS CLI), se non l'hai già fatto.
Per informazioni, consulta la pagina [Installazione o aggiornamento della versione più recente di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
Prima di avviare una sessione, assicurati di aver completato la procedura di configurazione per Session Manager. Per informazioni, consulta [Configurazione di Session Manager](session-manager-getting-started.md).
Per utilizzare i comandi AWS CLI to run session, il Session Manager plugin deve essere installato anche sul computer locale. Per informazioni, consulta [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md).
Per avviare una sessione utilizzando il AWS CLI, esegui il comando seguente sostituendolo *instance-id* con le tue informazioni.
```
aws ssm start-session \
--target instance-id
```
Per informazioni sulle altre opzioni utilizzabili con il **start-session** comando, [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)consultate la AWS Systems Manager sezione del AWS CLI Command Reference.
## Avvio di una sessione (SSH)
Per avviare una sessione SSH Session Manager, la versione 2.3.672.0 o successiva di SSM Agent deve essere installata sul nodo gestito.
**Requisiti di connessione SSH**
Prendi nota dei seguenti requisiti e limitazioni per le connessioni di sessione che utilizzano SSH tramiteSession Manager:
+ Il tuo nodo gestito di destinazione deve essere configurato per supportare le connessioni SSH. Per ulteriori informazioni, consulta [(Facoltativo) Abilitare e controllare le autorizzazioni per le connessioni SSH tramite Session Manager](session-manager-getting-started-enable-ssh-connections.md).
+ È necessario connettere l'utente sull'account del nodo gestito associato al certificato PEM (Privacy Enhanced Mail), non l'account `ssm-user` utilizzato per altri tipi di connessioni di sessione. Ad esempio, nelle istanze EC2 per Linux e macOS, l'utente predefinito è `ec2-user`. Per informazioni sull'identificazione dell'utente di default per ogni tipo di istanza, consulta [Ottenere informazioni sull'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connection-prereqs.html#connection-prereqs-get-info-about-instance) nella *Guida per l'utente di Amazon EC2*.
+ La registrazione non è disponibile per sessioni Session Manager che si connettono tramite inoltro porta o SSH. Questo perché SSH crittografa tutti i dati della sessione all'interno della connessione TLS sicura stabilita tra gli Session Manager endpoint AWS CLI e funge Session Manager solo da tunnel per le connessioni SSH.
**Nota**
Prima di avviare una sessione, assicurati di aver completato la procedura di configurazione per Session Manager. Per informazioni, consulta [Configurazione di Session Manager](session-manager-getting-started.md).
Per avviare una sessione tramite SSH, esegui il comando riportato di seguito. Sostituisci ogni *example resource placeholder* con le tue informazioni.
```
ssh -i /path/my-key-pair.pem username@instance-id
```
**Suggerimento**
Quando avvii una sessione tramite SSH, è possibile copiare i file locali nel nodo gestito di destinazione usando il formato di comando seguente.
```
scp -i /path/my-key-pair.pem /path/ExampleFile.txt username@instance-id:~
```
Per informazioni sulle altre opzioni che è possibile utilizzare con il **start-session** comando, vedere la AWS Systems Manager sezione del Command [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)Reference. AWS CLI
## Avvio di una sessione (inoltro alla porta)
Per avviare una sessione di inoltro porta Session Manager, la versione 2.3.672.0 o successiva di SSM Agent deve essere installata sul nodo gestito.
**Nota**
Prima di avviare una sessione, assicurati di aver completato la procedura di configurazione per Session Manager. Per informazioni, consulta [Configurazione di Session Manager](session-manager-getting-started.md).
Per utilizzare i comandi AWS CLI per eseguire la sessione, è necessario installare il Session Manager plug-in sul computer locale. Per informazioni, consulta [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md).
A seconda del sistema operativo e dello strumento da riga di comando, il posizionamento delle virgolette può variare e potrebbero essere necessari caratteri di escape.
Per avviare una sessione di inoltro alla porta, esegui il comando seguente dalla CLI: Sostituisci ogni *example resource placeholder* con le tue informazioni.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name AWS-StartPortForwardingSession \
--parameters '{"portNumber":["80"], "localPortNumber":["56789"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name AWS-StartPortForwardingSession ^
--parameters portNumber="3389",localPortNumber="56789"
```
------
`portNumber` rappresenta la porta remota sul nodo gestito a cui desideri reindirizzare il traffico della sessione. Ad esempio, è possibile specificare la porta `3389` per connetterti a un nodo Windows utilizzando il protocollo RDP (Remote Desktop Protocol). Se non specifichi il parametro `portNumber`, Session Manager utilizza `80` come valore predefinito.
`localPortNumber` è la porta del computer locale da cui inizia il traffico, ad esempio `56789`. Questo valore è ciò che immetti quando ti connetti a un nodo gestito utilizzando un client. Ad esempio, **localhost:56789**.
Per informazioni sulle altre opzioni utilizzabili con il **start-session** comando, [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)consultate la AWS Systems Manager sezione del AWS CLI Command Reference.
Per ulteriori informazioni sulle sessioni di inoltro delle porte, consulta [Inoltro della porta tramite AWS Systems ManagerSession Manager](https://aws.amazon.com/blogs/aws/new-port-forwarding-using-aws-system-manager-sessions-manager/) nel *Blog di notizie AWS *.
## Avvio di una sessione (inoltro alla porta a un host remoto)
Per avviare una sessione di inoltro alla porta Session Manager a un host remoto, sul nodo gestito deve essere installata la versione 3.1.1374.0 o successiva di SSM Agent. Non è necessario che l'host remoto sia gestito da Systems Manager.
**Nota**
Prima di avviare una sessione, assicurati di aver completato la procedura di configurazione per Session Manager. Per informazioni, consulta [Configurazione di Session Manager](session-manager-getting-started.md).
Per utilizzare i comandi AWS CLI per eseguire la sessione, è necessario installare il Session Manager plug-in sul computer locale. Per informazioni, consulta [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md).
A seconda del sistema operativo e dello strumento da riga di comando, il posizionamento delle virgolette può variare e potrebbero essere necessari caratteri di escape.
Per avviare una sessione di inoltro alla porta, esegui il comando seguente dalla AWS CLI: Sostituisci ogni *example resource placeholder* con le tue informazioni.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name AWS-StartPortForwardingSessionToRemoteHost \
--parameters '{"host":["mydb.example.us-east-2.rds.amazonaws.com"],"portNumber":["3306"], "localPortNumber":["3306"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name AWS-StartPortForwardingSessionToRemoteHost ^
--parameters host="mydb.example.us-east-2.rds.amazonaws.com",portNumber="3306",localPortNumber="3306"
```
------
Il valore `host` rappresenta il nome host o l'indirizzo IP dell'host remoto a cui vuoi connetterti. I requisiti generali di connettività e risoluzione dei nomi tra il nodo gestito e l'host remoto continuano a essere validi.
`portNumber` rappresenta la porta remota sul nodo gestito a cui desideri reindirizzare il traffico della sessione. Ad esempio, è possibile specificare la porta `3389` per connetterti a un nodo Windows utilizzando il protocollo RDP (Remote Desktop Protocol). Se non specifichi il parametro `portNumber`, Session Manager utilizza `80` come valore predefinito.
`localPortNumber` è la porta del computer locale da cui inizia il traffico, ad esempio `56789`. Questo valore è ciò che immetti quando ti connetti a un nodo gestito utilizzando un client. Ad esempio, **localhost:56789**.
Per informazioni sulle altre opzioni utilizzabili con il **start-session** comando, [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)consultate la AWS Systems Manager sezione del AWS CLI Command Reference.
### Avvio di una sessione con un'attività Amazon ECS
Session Manager supporta l'avvio di una sessione di inoltro della porta con un'attività all'interno di un cluster Amazon Elastic Container Service (Amazon ECS). Per farlo, abilita ECS Exec. Per ulteriori informazioni, consulta [Monitoraggio dei container del servizio Amazon Elastic Container con ECS Exec](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-exec.html) nella *Guida per gli sviluppatori del servizio Amazon Elastic Container*.
A tale scopo, è necessario aggiornare il ruolo dell'attività in IAM per includere le seguenti autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
}
]
}
```
------
Per avviare una sessione di inoltro alla porta con un'attività Amazon ECS, esegui il comando seguente dalla AWS CLI. Sostituisci ogni *example resource placeholder* con le tue informazioni.
**Nota**
Rimuovi i simboli < e > dal parametro `target`. Questi simboli vengono forniti solo a scopo di chiarimento per il lettore.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target ecs:__ \
--document-name AWS-StartPortForwardingSessionToRemoteHost \
--parameters '{"host":["URL"],"portNumber":["port_number"], "localPortNumber":["port_number"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target ecs:__ ^
--document-name AWS-StartPortForwardingSessionToRemoteHost ^
--parameters host="URL",portNumber="port_number",localPortNumber="port_number"
```
------
## Avvio di una sessione (comandi interattivi e non interattivi)
Prima di avviare una sessione, assicurati di aver completato la procedura di configurazione per Session Manager. Per informazioni, consulta [Configurazione di Session Manager](session-manager-getting-started.md).
Per utilizzare i comandi AWS CLI per eseguire la sessione, il Session Manager plug-in deve essere installato anche sul computer locale. Per informazioni, consulta [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md).
Per avviare una sessione di comando interattivo, esegui il comando seguente: Sostituisci ogni *example resource placeholder* con le tue informazioni.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name CustomCommandSessionDocument \
--parameters '{"logpath":["/var/log/amazon/ssm/amazon-ssm-agent.log"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name CustomCommandSessionDocument ^
--parameters logpath="/var/log/amazon/ssm/amazon-ssm-agent.log"
```
------
Per informazioni sulle altre opzioni utilizzabili con il **start-session** comando, [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)consultate la AWS Systems Manager sezione del AWS CLI Command Reference.
**Ulteriori informazioni**
+ [Usa l'inoltro della porta in AWS Systems Manager Session Manager per connetterti a host remoti](https://aws.amazon.com/blogs/mt/use-port-forwarding-in-aws-systems-manager-session-manager-to-connect-to-remote-hosts/)
+ [Inoltro delle porte delle istanze Amazon EC2 con AWS Systems Manager](https://aws.amazon.com/blogs/mt/amazon-ec2-instance-port-forwarding-with-aws-systems-manager/)
+ [Gestisci le risorse Microsoft AD AWS gestite con il Session Manager port forwarding](https://aws.amazon.com/blogs/mt/manage-aws-managed-microsoft-ad-resources-with-session-manager-port-forwarding/)
+ [Inoltro porta utilizzando AWS Systems ManagerSession Manager](https://aws.amazon.com/blogs/aws/new-port-forwarding-using-aws-system-manager-sessions-manager/) sul *Blog di notizie AWS *.
# Terminare una sessione
È possibile terminare una sessione iniziata nel proprio account utilizzando la console AWS Systems Manager o la AWS Command Line Interface (AWS CLI). [Se si fa clic sul pulsante **Termina** per una sessione nella console o si richiama l'azione API TerminateSession](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_TerminateSession.html) utilizzando la AWS CLI, Session Manager termina definitivamente la sessione e chiude la connessione dati tra il client di Session Manager e l'SSM Agent sul nodo gestito. Non è possibile riprendere una sessione terminata.
Se non vi è alcuna attività utente in una sessione aperta per 20 minuti, lo stato di inattività attiva un timeout. non richiama TerminateSession, ma chiude il canale sottostante. Non è possibile riprendere una sessione chiusa a causa di un timeout di inattività.
Si consiglia sempre di terminare una sessione in modo esplicito utilizzando il `terminate-session` comando, quando si utilizza ilAWS CLI, o il pulsante **Termina** quando si utilizza la console. (I pulsanti **Termina** si trovano sia nella finestra della sessione che nella pagina principale Session Manager della console). Se chiudi solo un browser o una finestra di comando, la sessione rimane elencata come **Attiva** nella console per 30 giorni. Quando non si termina esplicitamente una sessione o quando una sessione scade, tutti i processi in esecuzione sul nodo gestito in quel momento continueranno a essere eseguiti.
**Topics**
+ [Per terminare una sessione (console)](#stop-sys-console)
+ [Terminare una sessione (AWS CLI)](#stop-cli)
## Per terminare una sessione (console)
È possibile utilizzare la console AWS Systems Manager per terminare una sessione nel tuo account.
**Per terminare una sessione (console)**
1. Aprire la console AWS Systems Manager all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Per **Sessions (Sessioni)**, scegliere il pulsante di opzione a sinistra della sessione da terminare.
1. Scegliere **Terminate (Termina)**.
## Terminare una sessione (AWS CLI)
Per terminare una sessione tramite AWS CLI, esegui il comando riportato di seguito. Sostituisci *session-id* con le tue informazioni.
```
aws ssm terminate-session \
--session-id session-id
```
Per ulteriori informazioni sul comando **terminate-session**, vedi [https://docs.aws.amazon.com/cli/latest/reference/ssm/terminate-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/terminate-session.html) nella sezione AWS Systems Manager della Guida di riferimento ai comandi di AWS CLI.
# Visualizzazione della cronologia delle sessioni
È possibile utilizzare la AWS Systems Manager console o il AWS Command Line Interface (AWS CLI) per visualizzare le informazioni sulle sessioni nel proprio account. Nella console, puoi visualizzare i dettagli della sessione come i seguenti:
+ L'ID della sessione
+ Quale utente si è connesso a un nodo gestito attraverso una sessione
+ L'ID del nodo gestito
+ Quando è iniziata e terminata la sessione
+ Lo stato della sessione
+ Il percorso specificato per l'archiviazione dei log delle sessioni (se abilitata)
Utilizzando AWS CLI, puoi visualizzare un elenco di sessioni nel tuo account, ma non i dettagli aggiuntivi disponibili nella console.
Per informazioni sul controllo e delle informazioni relative alla cronologia della sessione, consulta [Abilitazione e disabilitazione della registrazione di sessione](session-manager-logging.md).
**Topics**
+ [Visualizzazione della cronologia delle sessioni (console)](#view-console)
+ [Visualizzazione della cronologia delle sessioni (AWS CLI)](#view-history-cli)
## Visualizzazione della cronologia delle sessioni (console)
Puoi utilizzare la AWS Systems Manager console per visualizzare i dettagli sulle sessioni del tuo account.
**Visualizzazione della cronologia delle sessioni (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Scegli la scheda **Cronologia delle sessioni**.
oppure
Se la home page si apre per prima Session Manager, scegli **Configura preferenze**, quindi scegli la scheda **Cronologia delle sessioni**.
## Visualizzazione della cronologia delle sessioni (AWS CLI)
Per visualizzare un elenco di sessioni nel tuo account utilizzando il AWS CLI, esegui il comando seguente.
```
aws ssm describe-sessions \
--state History
```
**Nota**
Questo comando restituisce solo i risultati per le connessioni alle destinazioni avviate utilizzando Session Manager. Non elenca le connessioni effettuate tramite altri mezzi, ad esempio Remote Desktop Protocol (RDP) o Secure Shell Protocol (SSH).
Per informazioni sulle altre opzioni che è possibile utilizzare con il **describe-sessions** comando, vedere [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-sessions.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-sessions.html)la AWS Systems Manager sezione della Guida ai AWS CLI comandi.
# Attività di registrazione delle sessioni
Oltre a fornire informazioni sulle sessioni correnti e completate nella console Systems Manager, Session Manager fornisce le opzioni per la verifica e la registrazione dell'attività delle sessioni nell' Account AWS tramite AWS CloudTrail.
CloudTrail acquisisce le chiamate API di sessione tramite la console Systems Manager, AWS Command Line Interface (AWS CLI) e Systems Manager SDK. Puoi visualizzare le informazioni sulla CloudTrail console o archiviarle in un bucket Amazon Simple Storage Service (Amazon S3) specificato. Un bucket Amazon S3 viene utilizzato per tutti i CloudTrail log del tuo account. Per ulteriori informazioni, consulta [Registrazione delle chiamate AWS Systems Manager API con AWS CloudTrail](monitoring-cloudtrail-logs.md).
**Nota**
[Per un'analisi ricorrente, storica e analitica dei tuoi file di registro, prendi in considerazione la possibilità di interrogare i CloudTrail log utilizzando CloudTrail Lake o una tabella gestita da te.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) *Per ulteriori informazioni, consulta [Interrogare i AWS CloudTrail log](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html) nella Guida per l'utente.AWS CloudTrail *
## Monitoraggio dell'attività della sessione tramite Amazon EventBridge (console)
Con EventBridge, puoi configurare regole per rilevare quando avvengono modifiche alle AWS risorse. È possibile creare una regola per rilevare quando un utente della tua organizzazione avvia o termina una sessione e quindi, ad esempio, ricevere una notifica sull'evento tramite Amazon SNS.
EventBridge il supporto per Session Manager si basa sui record delle operazioni API che sono stati registrati da CloudTrail. (È possibile utilizzare l' CloudTrail integrazione con EventBridge per rispondere alla maggior parte AWS Systems Manager degli eventi.) Le azioni eseguite all'interno di una sessione, ad esempio un `exit` comando, che non effettuano una chiamata API non vengono rilevate da EventBridge.
La procedura seguente illustra come avviare le notifiche tramite Amazon Simple Notification Service (Amazon SNS) quando si verifica un evento API Session Manager, ad esempio **StartSession**.
**Per monitorare l'attività della sessione utilizzando Amazon EventBridge (console)**
1. Creare un argomento Amazon SNS da utilizzare per l'invio di notifiche quando si verifica l'evento del Session Manager che si desidera monitorare.
Per ulteriori informazioni, consulta la pagina [Creazione di un argomento](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.
1. Crea una EventBridge regola per richiamare il target Amazon SNS per il tipo Session Manager di evento che desideri monitorare.
Per informazioni su come creare la regola, consulta la sezione [Creazione di EventBridge regole Amazon che reagiscono agli eventi](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) nella *Amazon EventBridge User Guide*.
Durante la procedura per la creazione della regola, effettuare le selezioni seguenti:
+ Per **AWS **, scegli **Systems Manager**.
+ Per il **tipo di evento**, scegli **AWS API Call through CloudTrail**.
+ Scegli **Operazioni specifiche**, quindi immetti i comandi del Session Manager (uno alla volta) per cui si desidera ricevere le notifiche. Puoi scegliere **StartSession****ResumeSession**, e**TerminateSession**. (EventBridge non supporta `Get*` ` List*` i `Describe*` comandi e.)
+ Per **Seleziona una destinazione**, scegli **Argomento SNS**. Per **Argomento**, scegli il nome dell'argomento Amazon SNS creato nella Fase 1.
Per ulteriori informazioni, consulta la *[Amazon EventBridge User Guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/)* e la *[Amazon Simple Notification Service Getting Started Guide](https://docs.aws.amazon.com/sns/latest/gsg/)*.
# Abilitazione e disabilitazione della registrazione di sessione
La registrazione di sessione registra le informazioni sulle sessioni correnti e completate nella console di Systems Manager. È inoltre possibile registrare nell' Account AWS i dettagli sui comandi eseguiti durante le sessioni. Registrare le sessione consente di:
+ Creare e memorizzare i log delle sessioni a scopo di archiviazione.
+ Generare un report che mostra i dettagli di ogni connessione effettuata ai tuoi nodi gestiti tramite il Session Manager negli ultimi 30 giorni.
+ Genera notifiche per la registrazione della sessione nelle tue notifiche Account AWS, come quelle di Amazon Simple Notification Service (Amazon SNS).
+ Avvia automaticamente un'altra azione su una AWS risorsa come risultato di azioni eseguite durante una sessione, come l'esecuzione di una AWS Lambda funzione, l'avvio di una AWS CodePipeline pipeline o l'esecuzione di un documento. AWS Systems Manager Run Command
**Importante**
Tieni presenti i seguenti requisiti e limitazioni su Session Manager:
Session Manager registra i comandi immessi e il loro output durante una sessione a seconda delle preferenze di sessione. Per evitare che i dati sensibili, ad esempio le password, vengano visualizzati nei registri di sessione, è consigliabile utilizzare i seguenti comandi quando si immettono dati sensibili durante una sessione.
```
stty -echo; read passwd; stty echo;
```
```
$Passwd = Read-Host -AsSecureString
```
Se utilizzi Windows Server 2012 o versione precedente, i dati nei log potrebbero non essere formattati in modo ottimale. Ti consigliamo di usare Windows Server 2012 R2 o versione successiva per ottimizzare il formato dei log.
Se utilizzi i nodi gestiti Linux o macOS, assicurati che sia installata l'utilità schermo. In caso contrario, i dati di registro potrebbero essere troncati. Su Amazon Linux AL2 2.023 eUbuntu Server, l'utilità screen è installata per impostazione predefinita. Per installare lo schermo manualmente, a seconda della versione di Linux, esegui `sudo yum install screen` o `sudo apt-get install screen`.
La registrazione non è disponibile per sessioni Session Manager che si connettono tramite port forwarding o SSH. Questo perché SSH crittografa tutti i dati della sessione all'interno della connessione TLS sicura stabilita tra gli Session Manager endpoint AWS CLI e gli endpoint e funge Session Manager solo da tunnel per le connessioni SSH.
Per ulteriori informazioni sulle autorizzazioni necessarie per utilizzare Amazon S3 o CloudWatch Amazon Logs per la registrazione dei dati della sessione, consulta. [Creazione di un ruolo IAM con autorizzazioni per Amazon S3 Session Manager CloudWatch e Logs (console)](getting-started-create-iam-instance-profile.md#create-iam-instance-profile-ssn-logging)
Per ulteriori informazioni sulle opzioni di controllo e registrazione per il Session Manager, consulta i seguenti argomenti.
**Topics**
+ [Streaming dei dati delle sessioni tramite Amazon CloudWatch Logs (console)](session-manager-logging-cwl-streaming.md)
+ [Registrazione dei dati delle sessioni mediante Amazon S3 (console)](session-manager-logging-s3.md)
+ [Registrazione dei dati della sessione tramite Amazon CloudWatch Logs (console)](session-manager-logging-cloudwatch-logs.md)
+ [Configurazione della registrazione di sessione su disco](session-manager-logging-disk.md)
+ [Impostazione della durata di archiviazione del log temporaneo di Session Manager su disco](session-manager-logging-disk-retention.md)
+ [Disabilitazione della Session Manager registrazione in CloudWatch Logs e Amazon S3](session-manager-enable-and-disable-logging.md)
# Streaming dei dati delle sessioni tramite Amazon CloudWatch Logs (console)
Puoi inviare un flusso continuo di log dei dati di sessione ad Amazon CloudWatch Logs. I dettagli essenziali, come i comandi che un utente ha eseguito in una sessione, l'ID dell'utente che ha eseguito i comandi e i timestamp di quando i dati della sessione vengono trasmessi in streaming a CloudWatch Logs, vengono inclusi durante lo streaming dei dati della sessione. Durante lo streaming dei dati di sessione, i log sono formattati in JSON per consentire l'integrazione con le soluzioni di registrazione esistenti. I dati della sessione di streaming non sono supportati per i comandi interattivi.
**Nota**
Per trasmettere i dati di sessione da nodi gestiti Windows Server, è necessario disporre di PowerShell 5.1 o versione successiva installata. Per impostazione predefinita, Windows Server 2016 e versioni successive hanno installato la versione di PowerShell richiesta. Tuttavia, Windows Server 2012 e 2012 R2 non hanno la versione di PowerShell richiesta installata per impostazione predefinita. Se PowerShell non è stato ancora aggiornato nei nodi gestiti Windows Server 2012 o 2012 R2, è possibile farlo utilizzando Run Command. Per informazioni sull'aggiornamento di PowerShell utilizzando Run Command, consulta [Aggiornamento tramite PowerShell Run Command](run-command-tutorial-update-software.md#rc-console-pwshexample).
**Importante**
Se hai configurato l'impostazione dei criteri di **PowerShell trascrizione** sui nodi Windows Server gestiti, non sarai in grado di trasmettere in streaming i dati della sessione.
**Per trasmettere i dati della sessione utilizzando Amazon CloudWatch Logs (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Seleziona la casella di controllo accanto a **Abilita** nella sezione **CloudWatch Registrazione.**
1. Seleziona l'opzione **Log delle sessioni di streaming**.
1. (Consigliato) Seleziona la casella di controllo accanto a **Consenti solo gruppi di CloudWatch log crittografati**. Se questa opzione è attivata, i dati di log vengono crittografati utilizzando la chiave di crittografia lato server specificata per il gruppo di log. Se non desideri crittografare i dati di registro inviati ai CloudWatch registri, deseleziona la casella di controllo. È inoltre necessario deselezionare la casella di controllo se la crittografia non è abilitata nel gruppo di log.
1. Per **CloudWatch i log**, per specificare il gruppo di log CloudWatch Logs esistente nel gruppo in cui Account AWS caricare i log delle sessioni, seleziona una delle seguenti opzioni:
+ Immetti il nome di un gruppo di log nella casella di testo che è già stato creato nell'account per archiviare i dati di log della sessione.
+ **Esplora gruppi di log**: seleziona un gruppo di log che è già stato creato nel tuo account per archiviare i dati di log della sessione.
1. Scegli **Save** (Salva).
# Registrazione dei dati delle sessioni mediante Amazon S3 (console)
Puoi scegliere di archiviare i dati di log delle sessioni in un bucket Amazon Simple Storage Service (Amazon S3) di tua scelta a scopi di debug e risoluzione dei problemi. L'opzione predefinita comporta l'invio dei log a un bucket Amazon S3 crittografato. La crittografia viene eseguita utilizzando la chiave specificata per il bucket, una AWS KMS key chiave Amazon S3 Server-Side Encryption (SSE) (AES-256).
**Importante**
Quando si utilizzano bucket in stile hosting virtuale con Secure Sockets Layer (SSL), il certificato jolly SSL confronta solo i bucket che non contengono punti. Per risolvere questo problema, utilizzare HTTP o scrivere una logica di verifica del certificato personalizzata. Consigliamo di non utilizzare punti (".") nei nomi dei bucket quando si utilizzano bucket in stile hosting virtuale.
**Crittografia bucket Amazon S3**
Per inviare i log al tuo bucket Amazon S3 con la crittografia, nel bucket deve essere abilitata la crittografia. Per ulteriori informazioni sulla crittografia del bucket Amazon S3, consulta [Crittografia di default di Amazon S3 per bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html).
**Chiave gestita dal cliente**
Se utilizzi una chiave KMS da te gestita per crittografare il tuo bucket, il profilo dell'istanza IAM collegato alle tue istanze deve disporre di autorizzazioni esplicite per leggere la chiave. Se utilizzi una Chiave gestita da AWS, l'istanza non richiede questa autorizzazione esplicita. Per ulteriori informazioni su come fornire al profilo dell'istanza l'accesso a utilizzare la chiave, consulta [Consenti agli utenti della chiave di utilizzare la chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) nella *Guida per sviluppatori AWS Key Management Service *.
Segui questa procedura per configurare il Session Manager per archiviare i registri delle sessioni in un bucket Amazon S3.
**Nota**
Puoi anche utilizzare il AWS CLI per specificare o modificare il bucket Amazon S3 a cui vengono inviati i dati della sessione. Per informazioni, consulta [Aggiornamento delle preferenze Session Manager (riga di comando)](getting-started-configure-preferences-cli.md).
**Per registrare i dati delle sessioni mediante Amazon S3 (console)**
1. Apri la AWS Systems Manager console all'indirizzo. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Seleziona la casella di controllo accanto ad **Abilitazione** sotto **Registrazione S3**.
1. (Opzione consigliata) Selezionare la casella di controllo accanto a **Consenti solo bucket S3 crittografati**. Se questa opzione è attivata, i dati di log vengono crittografati utilizzando la chiave di crittografia lato server specificata per il bucket. Se non si desidera crittografare i dati di log inviati a Amazon S3, deselezionare la casella di controllo. Se la crittografia non è abilitata nel bucket S3, è necessario anche deselezionare la casella di controllo.
1. Per **Nome bucket S3**, seleziona una delle opzioni seguenti:
**Nota**
Consigliamo di non utilizzare punti (".") nei nomi dei bucket quando si utilizzano bucket in stile hosting virtuale. Per ulteriori informazioni su come formattare i nomi dei bucket Amazon S3, consulta [Restrizioni e limitazioni dei bucket](https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules) nella *Guida per gli utenti di Amazon Simple Storage Service*.
+ **Scegli un bucket nell'elenco**: seleziona un bucket Amazon S3 che è già stato creato nel proprio account per archiviare i dati di log delle sessioni.
+ **Immetti un nome di bucket nella casella di testo**: immetti il nome del bucket Amazon S3 che è già stato creato nell'account per archiviare i dati di log delle sessioni.
1. (Facoltativo) Per **Prefisso della chiave S3**, immetti il nome di una cartella nuova o esistente per archiviare i log nel bucket selezionato.
1. Scegli **Salva**.
Per ulteriori informazioni su Simple Storage Service (Amazon S3) e i bucket Amazon S3, consulta *[Guida per l'utente di Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)* e *[Guida per l'utente di Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)*.
# Registrazione dei dati della sessione tramite Amazon CloudWatch Logs (console)
Con Amazon CloudWatch Logs, puoi monitorare, archiviare e accedere a file di registro da diversi Servizi AWS file. Puoi inviare i dati dei log di sessione a un gruppo di log CloudWatch Logs per scopi di debug e risoluzione dei problemi. L'opzione predefinita comporta l'invio dei dati di log con la crittografia utilizzando la chiave KMS, ma puoi trasmettere i dati al gruppo di log con o senza crittografia.
Segui questi passaggi per configurare AWS Systems Manager Session Manager l'invio dei dati del registro di sessione a un gruppo di log di CloudWatch Logs al termine delle sessioni.
**Nota**
È inoltre possibile utilizzare il AWS CLI per specificare o modificare il gruppo di log CloudWatch Logs a cui vengono inviati i dati della sessione. Per informazioni, consulta [Aggiornamento delle preferenze Session Manager (riga di comando)](getting-started-configure-preferences-cli.md).
**Per registrare i dati della sessione utilizzando Amazon CloudWatch Logs (console)**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Seleziona la casella di controllo accanto a **Abilita** nella sezione **CloudWatch Registrazione.**
1. Seleziona l'opzione **Carica log della sessione**.
1. (Consigliato) Seleziona la casella di controllo accanto a **Consenti solo gruppi di CloudWatch log crittografati**. Se questa opzione è attivata, i dati di log vengono crittografati utilizzando la chiave di crittografia lato server specificata per il gruppo di log. Se non desideri crittografare i dati di registro inviati ai CloudWatch registri, deseleziona la casella di controllo. È inoltre necessario deselezionare la casella di controllo se la crittografia non è abilitata nel gruppo di log.
1. Per **CloudWatch i log**, per specificare il gruppo di log CloudWatch Logs esistente nel gruppo in cui Account AWS caricare i log delle sessioni, seleziona una delle seguenti opzioni:
+ **Scegli un gruppo di log nell'elenco**: seleziona un gruppo di log che è già stato creato nel tuo account per archiviare i dati di log della sessione.
+ **Immetti un nome di bucket nella casella di testo**: immetti il nome di un gruppo di log che è già stato creato nell'account per archiviare i dati di log della sessione.
1. Scegli **Save** (Salva).
Per ulteriori informazioni sull'utilizzo dei CloudWatch log, consulta la *[Amazon CloudWatch Logs User](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)* Guide.
# Configurazione della registrazione di sessione su disco
Dopo aver abilitato Session Manager la registrazione su Amazon S3, tutti i comandi eseguiti durante una sessione (e l'output risultante da tali comandi) vengono registrati in un file temporaneo sul disco dell'istanza di destinazione. CloudWatch Il file temporaneo è denominato `ipcTempFile.log`.
`ipcTempFile.log` è controllato dal parametro `SessionLogsDestination` nel file di configurazione dell'SSM Agent. Questo parametro accetta i seguenti valori:
+ **disco***: se specifichi questo parametro e la registrazione della sessione su Amazon S3 è abilitataSSM Agent, crea `ipcTempFile.log` il file di registro temporaneo e registra i comandi e l'output della sessione su disco. CloudWatch * Session Managercarica questo registro su S3 o durante CloudWatch o dopo la sessione, a seconda della configurazione di registrazione. Il log viene quindi eliminato in base alla durata specificata per il parametro di configurazione `SessionLogsRetentionDurationHours` di SSM Agent.
*Se specifichi questo parametro e la registrazione della sessione su Amazon S3 è disabilitataSSM Agent, registra comunque la cronologia dei comandi e l'output nel file. CloudWatch * `ipcTempFile.log` Il file verrà eliminato in base alla durata specificata per il parametro di configurazione `SessionLogsRetentionDurationHours` di SSM Agent.
+ **none***: se specifichi questo parametro e la registrazione della sessione su Amazon S3 è abilitata, la registrazione su disco funziona esattamente come se avessi specificato il parametro. CloudWatch * `disk` SSM Agentrichiede il file temporaneo quando la registrazione della sessione su Amazon S3 CloudWatch o Amazon S3 è abilitata.
*Se specifichi questo parametro e la registrazione della sessione su Amazon S3 è disabilitataSSM Agent, non crea `ipcTempFile.log` il file. CloudWatch *
Utilizza la seguente procedura per abilitare o disabilitare la creazione del file di log `ipcTempFile.log` temporaneo su disco all'avvio di una sessione.
**Per abilitare o disabilitare la creazione del file di log temporaneo di Session Manager su disco**
1. Installa l'SSM Agent sull'istanza o esegui l'aggiornamento alla versione 3.2.2086 o successiva. Per informazioni su come verificare il numero della versione dell'agente, consulta [Verifica del numero di versione di SSM Agent](ssm-agent-get-version.md). Per informazioni su come installare manualmente l'agente, individua la procedura per il sistema operativo nelle seguenti sezioni:
+ [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per Linux](manually-install-ssm-agent-linux.md)
+ [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per macOS](manually-install-ssm-agent-macos.md)
+ [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per Windows Server](manually-install-ssm-agent-windows.md)
1. Connettiti all'istanza e individua il file `amazon-ssm-agent.json` nella seguente posizione.
+ **Linux:/**/etc/amazon/ssm
+ **macOS**: /opt/aws/ssm/
+ **Windows Server**: C:\$1Program Files\$1Amazon\$1SSM
Se il file `amazon-ssm-agent.json` non esiste, copia i contenuti di `amazon-ssm-agent.json.template` in un nuovo file nella stessa directory. Assegna un nome al nuovo file `amazon-ssm-agent.json`.
1. Specifica tra `none` or `disk` per il parametro `SessionLogsDestination`. Salvare le modifiche.
1. [Riavviare](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-status-and-restart.html) SSM Agent.
Se si specifica `disk` per il parametro `SessionLogsDestination`, è possibile verificare che l'SSM Agent crei il file di log temporaneo avviando una nuova sessione, per poi posizionare `ipcTempFile.log` nella seguente posizione:
+ **Linux**://var/lib/amazon/ssm*target ID*/sessione/orchestrazione/ /Standard\$1Stream/ *session ID* .log ipcTempFile
+ **macOS**: opt/aws/ssm/data*target ID*/*session ID*/sessione/orchestrazione/ ipcTempFile /Standard\$1Stream/ .log
+ **Windows Server**: C:\$1\$1 AmazonProgramData\$1 SSM\$1\$1\$1 sessioneInstanceData\$1 orchestrazione*target ID*\$1\$1 Standard\$1Stream*session ID*\$1 .log ipcTempFile
**Nota**
Per impostazione predefinita, il file di log temporaneo viene salvato sull'istanza per 14 giorni.
Per aggiornare il parametro `SessionLogsDestination` su più istanze, è consigliato creare un documento SSM che specifichi la nuova configurazione. È quindi possibile utilizzare Systems Manager Run Command per implementare la modifica sulle istanze. Per ulteriori informazioni, consulta [Scrivere i propri](https://aws.amazon.com/blogs/mt/writing-your-own-aws-systems-manager-documents/) documenti (blog) e. AWS Systems Manager [Esecuzione di comandi su nodi gestiti](running-commands.md)
# Impostazione della durata di archiviazione del log temporaneo di Session Manager su disco
Dopo aver abilitato Session Manager la registrazione su Amazon S3, tutti i comandi eseguiti durante una sessione (e l'output risultante da tali comandi) vengono registrati in un file temporaneo sul disco dell'istanza di destinazione. CloudWatch Il file temporaneo è denominato `ipcTempFile.log`. Durante una sessione o dopo il suo completamento, Session Manager carica questo registro temporaneo su uno o su S3. CloudWatch Il log temporaneo viene quindi eliminato in base alla durata specificata per il parametro di configurazione SSM Agent `SessionLogsRetentionDurationHours`. Per impostazione predefinita, il file di log temporaneo viene salvato sull'istanza per 14 giorni nella seguente posizione:
+ **Linux**://sessione/orchestrazione/ var/lib/amazon/ssm /Standard\$1Stream/ *target ID* .log *session ID* ipcTempFile
+ **macOS**: opt/aws/ssm/data*target ID*/*session ID*/sessione/orchestrazione/ ipcTempFile /Standard\$1Stream/ .log
+ **Windows Server**: C:\$1\$1 AmazonProgramData\$1 SSM\$1\$1\$1 sessioneInstanceData\$1 orchestrazione*target ID*\$1\$1 Standard\$1Stream*session ID*\$1 .log ipcTempFile
Utilizza la procedura seguente per modificare la durata di archiviazione del file di log temporaneo di Session Manager su disco.
**Per regolare la durata di archiviazione del file `ipcTempFile.log` su disco**
1. Connettiti all'istanza e individua il file `amazon-ssm-agent.json` nella seguente posizione.
+ **etc/amazon/ssmLinux://**
+ **macOS**: /opt/aws/ssm/
+ **Windows Server**: C:\$1Program Files\$1Amazon\$1SSM
Se il file `amazon-ssm-agent.json` non esiste, copia i contenuti di `amazon-ssm-agent.json.template` in un nuovo file nella stessa directory. Assegna un nome al nuovo file `amazon-ssm-agent.json`.
1. Modifica il valore di `SessionLogsRetentionDurationHours` nel numero di ore desiderato. Se `SessionLogsRetentionDurationHours` è impostato su 0, il file di log temporaneo viene creato durante la sessione ed eliminato al termine della stessa. Questa impostazione dovrebbe garantire che il file di log non persista dopo la fine della sessione.
1. Salvare le modifiche.
1. [Riavviare](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-status-and-restart.html) SSM Agent.
# Disabilitazione della Session Manager registrazione in CloudWatch Logs e Amazon S3
È possibile utilizzare la console Systems Manager o AWS CLI disabilitare la registrazione delle sessioni nel proprio account.
**Per disabilitare la registrazione di sessione (console)**
1. Aprire la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Session Manager**.
1. Scegli la scheda **Preferenze**, quindi seleziona **Modifica**.
1. Per disabilitare CloudWatch la registrazione, nella sezione **CloudWatch Registrazione**, deseleziona la casella di controllo **Abilita.**
1. Per disabilitare la registrazione di S3, nella sezione **Registrazione di S3**, deseleziona la casella di controllo **Abilita**.
1. Scegli **Save** (Salva).
**Per disabilitare la registrazione di sessione (AWS CLI)**
Per disabilitare la registrazione delle sessioni utilizzando il AWS CLI, segui le istruzioni riportate in. [Aggiornamento delle preferenze Session Manager (riga di comando)](getting-started-configure-preferences-cli.md)
Nel file JSON, assicurati che gli input `s3BucketName` e `cloudWatchLogGroupName` non contengano valori. Esempio:
```
"inputs": {
"s3BucketName": "",
...
"cloudWatchLogGroupName": "",
...
}
```
In alternativa, per disabilitare la registrazione, è possibile rimuovere tutti gli input `S3*` e `cloudWatch*` dal file JSON.
**Nota**
A seconda della configurazione, dopo la disattivazione CloudWatch di S3, è possibile che su disco venga ancora generato un file di registro temporaneo da. SSM Agent Per informazioni su come disabilitare la registrazione su disco, consulta [Configurazione della registrazione di sessione su disco](session-manager-logging-disk.md).
# Schema documento di sessione
Le informazioni seguenti descrivono gli elementi dello schema di un documento di sessione .AWS Systems Manager Session Managerutilizza i documenti di sessione per determinare quale tipo di sessione avviare, ad esempio una sessione standard, una sessione di inoltro alla porta o una sessione per eseguire un comando interattivo.
[schemaVersion](#version)
Versione dello schema del documento di sessione. I documenti delle sessioni supportano solo la versione 1.0.
Tipo: string
Campo obbligatorio: sì
[description](#descript)
Descrizione specificata per il documento di sessione. Ad esempio, «Documento per avviare la sessione di inoltro della porta con Session Manager>>.
Tipo: string
Campo obbligatorio: no
[sessionType](#type)
Il tipo di sessione che il documento di sessione viene utilizzato per stabilire.
Tipo: string
Campo obbligatorio: sì
Valori validi: `InteractiveCommands`\$1 `NonInteractiveCommands`\$1 `Port`\$1 `Standard_Stream`
[inputs](#in)
Preferenze di sessione da utilizzare per le sessioni stabilite utilizzando questo documento di sessione. Questo elemento è necessario per i documenti di sessione utilizzati per creare sessioni `Standard_Stream`.
Tipo: StringMap
Campo obbligatorio: no
[s3BucketName](#bucket)
Il bucket Amazon Simple Storage Service (Amazon S3) a cui desideri inviare i registri delle sessioni al termine delle sessioni.
Tipo: string
Campo obbligatorio: no
[s3KeyPrefix](#prefix)
Il prefisso da utilizzare quando si inviano i registri al bucket Amazon S3 specificato nell'input `s3BucketName`. Per ulteriori informazioni sull'utilizzo di un prefisso condiviso con gli oggetti archiviati in Amazon S3, consulta [Come si utilizzano le cartelle in un bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/using-folders.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
Tipo: string
Campo obbligatorio: no
[s3EncryptionEnabled](#s3Encrypt)
Se impostato su `true`, il bucket Amazon S3 specificato nell'input `s3BucketName` deve essere crittografato.
Tipo: Booleano
Campo obbligatorio: sì
[cloudWatchLogGroupName](#logGroup)
Il nome del gruppo Amazon CloudWatch Logs (CloudWatch Logs) a cui si desidera inviare i registri di sessione al termine delle sessioni.
Tipo: string
Campo obbligatorio: no
[cloudWatchEncryptionEnabled](#cwEncrypt)
Se impostato su `true`, il gruppo di registro specificato nell'input `cloudWatchLogGroupName` deve essere crittografato.
Tipo: Booleano
Campo obbligatorio: sì
[cloudWatchStreamingEnabled](#cwStream)
Se impostato su `true`, un flusso continuo di registri di dati delle sessioni viene inviato al gruppo di registro specificato nell'input `cloudWatchLogGroupName`. Se impostati su`false`, i registri delle sessioni vengono inviati al gruppo di registri specificato nella `cloudWatchLogGroupName` alla fine delle sessioni.
Tipo: Booleano
Campo obbligatorio: sì
[kmsKeyId](#kms)
L'ID del AWS KMS key da utilizzare per crittografare ulteriormente i dati tra i computer client locali e i nodi gestiti Amazon Elastic Compute Cloud (Amazon EC2) a cui ti connetti.
Tipo: string
Campo obbligatorio: no
[runAsEnabled](#run)
Se impostato su `true`, è necessario specificare un account utente esistente nei nodi gestiti a cui ci si connetterà nell'input `runAsDefaultUser`. In caso contrario, le sessioni non verranno avviate. Per impostazione predefinita, le sessioni vengono avviate utilizzando `ssm-user` creato dall'account AWS Systems Manager SSM Agent. La funzionalità Esegui come è supportata solo per la connessione ai nodi gestiti .
Tipo: Booleano
Campo obbligatorio: sì
[runAsDefaultUser](#runUser)
Il nome dell'account utente con cui avviare le sessioni sui nodi gestiti Linux quando l'input macOS è impostato su . L'account utente specificato per questo input deve esistere nei nodi gestiti a cui ci si connetterà; in caso contrario, le sessioni non verranno avviate.
Tipo: string
Campo obbligatorio: no
[idleSessionTimeout](#timeout)
La quantità di tempo di inattività che si desidera consentire prima del termine di una sessione. Questo input viene misurato in minuti.
Tipo: string
Valori validi: 1-60
Campo obbligatorio: no
[maxSessionDuration](#maxDuration)
La quantità di tempo che si desidera permettere prima del termine di una sessione. Questo input viene misurato in minuti.
Tipo: string
Valori validi: 1-1440
Campo obbligatorio: no
[shellProfile](#shell)
Le preferenze specificate per il sistema operativo da applicare alle sessioni quali le preferenze della shell, le variabili di ambiente, le directory di lavoro e l'esecuzione di più comandi all'avvio di una sessione.
Tipo: StringMap
Campo obbligatorio: no
[windows](#win)
Le preferenze della shell, le variabili di ambiente, le directory di lavoro e i comandi specificati per le sessioni sui nodi gestiti Windows Server.
Tipo: string
Campo obbligatorio: no
[linux](#lin)
Le preferenze della shell, le variabili di ambiente, le directory di lavoro e i comandi specificati per le sessioni sui nodi gestiti .
Tipo: string
Campo obbligatorio: no
[parameters](#param)
Una struttura che definisce i parametri accettati dal documento. ì Per ulteriori informazioni su come specificare i parametri del documento, consulta **Parametri di definizione del processo** nella [Elementi di dati di primo livello](documents-syntax-data-elements-parameters.md#top-level). Per i parametri a cui fai spesso riferimento, è consigliabile archiviare questi parametri in Systems Manager Parameter Store e farvi riferimento. Puoi fare riferimento ai parametri `String`, `StringList` e Parameter Store in questa sezione di un documento. Puoi fare riferimento ai parametri Parameter Store `SecureString` in questa sezione di un documento. È possibile fare riferimento a un parametro Parameter Store utilizzando il seguente formato.
```
{{ssm:parameter-name}}
```
Per ulteriori informazioni su Parameter Store, consulta [AWS Systems Manager Parameter Store](systems-manager-parameter-store.md).
Tipo: StringMap
Campo obbligatorio: no
[properties](#props)
Un oggetto i cui valori specificati vengono utilizzati nell' operazione API `StartSession`.
Per i documenti di sessione utilizzati per sessioni `InteractiveCommands`, l'oggetto proprietà include i comandi da eseguire nei sistemi operativi specificati. Puoi inoltre determinare se i comandi vengono eseguiti come `root` utilizzando la proprietà booleana `runAsElevated`. Per ulteriori informazioni consulta [Limitare l'accesso ai comandi in una sessione](session-manager-restrict-command-access.md).
Per i documenti di sessione utilizzati per sessioni `Port`, l'oggetto proprietà contiene il numero di porta verso cui deve essere reindirizzato il traffico. Per un esempio, consulta il documento di Sessione tipo `Port` più avanti in questo argomento.
Tipo: StringMap
Campo obbligatorio: no
Esempio di documento di sessione tipo `Standard_Stream`
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to hold regional settings for Session Manager
sessionType: Standard_Stream
inputs:
s3BucketName: ''
s3KeyPrefix: ''
s3EncryptionEnabled: true
cloudWatchLogGroupName: ''
cloudWatchEncryptionEnabled: true
cloudWatchStreamingEnabled: true
kmsKeyId: ''
runAsEnabled: true
runAsDefaultUser: ''
idleSessionTimeout: '20'
maxSessionDuration: '60'
shellProfile:
windows: ''
linux: ''
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "",
"s3KeyPrefix": "",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": true,
"kmsKeyId": "",
"runAsEnabled": true,
"runAsDefaultUser": "",
"idleSessionTimeout": "20",
"maxSessionDuration": "60",
"shellProfile": {
"windows": "date",
"linux": "pwd;ls"
}
}
}
```
------
Esempio di documento di sessione tipo `InteractiveCommands`
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to view a log file on a Linux instance
sessionType: InteractiveCommands
parameters:
logpath:
type: String
description: The log file path to read.
default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
properties:
linux:
commands: "tail -f {{ logpath }}"
runAsElevated: true
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to view a log file on a Linux instance",
"sessionType": "InteractiveCommands",
"parameters": {
"logpath": {
"type": "String",
"description": "The log file path to read.",
"default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
"allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
}
},
"properties": {
"linux": {
"commands": "tail -f {{ logpath }}",
"runAsElevated": true
}
}
}
```
------
Esempio di documento di sessione tipo `Port`
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to open given port connection over Session Manager
sessionType: Port
parameters:
paramExample:
type: string
description: document parameter
properties:
portNumber: anyPortNumber
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to open given port connection over Session Manager",
"sessionType": "Port",
"parameters": {
"paramExample": {
"type": "string",
"description": "document parameter"
}
},
"properties": {
"portNumber": "anyPortNumber"
}
}
```
------
Esempio di documento di sessione con caratteri speciali
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Example document with quotation marks
sessionType: InteractiveCommands
parameters:
Test:
type: String
description: Test Input
maxChars: 32
properties:
windows:
commands: |
$Test = '{{ Test }}'
$myVariable = \"Computer name is $env:COMPUTERNAME\"
Write-Host "Test variable: $myVariable`.`nInput parameter: $Test"
runAsElevated: false
```
------
#### [ JSON ]
```
{
"schemaVersion":"1.0",
"description":"Test document with quotation marks",
"sessionType":"InteractiveCommands",
"parameters":{
"Test":{
"type":"String",
"description":"Test Input",
"maxChars":32
}
},
"properties":{
"windows":{
"commands":[
"$Test = '{{ Test }}'",
"$myVariable = \\\"Computer name is $env:COMPUTERNAME\\\"",
"Write-Host \"Test variable: $myVariable`.`nInput parameter: $Test\""
],
"runAsElevated":false
}
}
}
```
------
# Risoluzione dei problemi relativi a Session Manager
Utilizza le informazioni seguenti per risolvere i problemi relativi a AWS Systems Manager Session Manager.
**Topics**
+ [AccessDeniedException quando si chiama l' TerminateSession operazione](#session-manager-troubleshooting-access-denied-exception)
+ [Il processo documentale è fallito improvvisamente: l'operatore documentale è scaduto](#session-manager-troubleshooting-document-worker-timed-out)
+ [Session Manager non si connette dalla console Amazon EC2](#session-manager-troubleshooting-EC2-console)
+ [Nessuna autorizzazione ad avviare una sessione](#session-manager-troubleshooting-start-permissions)
+ [SSM Agent non online](#session-manager-troubleshooting-agent-not-online)
+ [Nessuna autorizzazione a modificare le preferenze delle sessioni](#session-manager-troubleshooting-preferences-permissions)
+ [Nodo gestito non disponibile o non configurato per Session Manager](#session-manager-troubleshooting-instances)
+ [Plug-in Session Manager non trovato](#plugin-not-found)
+ [Il plug-in di Session Manager non viene aggiunto automaticamente al percorso della riga di comando (Windows)](#windows-plugin-env-var-not-set)
+ [Il plug-in Session Manager non risponde](#plugin-unresponsive)
+ [TargetNotConnected](#ssh-target-not-connected)
+ [Dopo l'avvio di una sessione viene visualizzata una schermata vuota](#session-manager-troubleshooting-start-blank-screen)
+ [Il nodo gestito non risponde durante le sessioni di esecuzione prolungata](#session-manager-troubleshooting-log-retention)
+ [Si è verificato un errore (InvalidDocument) durante la chiamata dell'operazione StartSession](#session-manager-troubleshooting-invalid-document)
## AccessDeniedException quando si chiama l' TerminateSession operazione
**Problema**: quando si tenta di terminare una sessione, Systems Manager restituisce il seguente errore:
```
An error occurred (AccessDeniedException) when calling the TerminateSession operation:
User: is not authorized to perform: ssm:TerminateSession on resource:
because no identity-based policy allows the ssm:TerminateSession action.
```
**Soluzione A: verifica che la [versione più recente del Session Manager plugin](https://docs.aws.amazon.com/systems-manager/latest/userguide/plugin-version-history.html) sia installata sul nodo**
Immetti il seguente comando nel terminale e premi Invio.
```
session-manager-plugin --version
```
**Soluzione B: installa o reinstalla l'ultima versione del plug-in**
Per ulteriori informazioni, consulta [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md).
**Soluzione C: tentativo di ristabilire una connessione al nodo**
Verifica che il nodo risponda alle richieste. Prova a ristabilire la sessione. Oppure, se necessario, apri la console Amazon EC2 e verifica lo stato dell'istanza è in esecuzione.
## Il processo documentale è fallito improvvisamente: l'operatore documentale è scaduto
**Problema**: quando si avvia una sessione su un host Linux, Systems Manager restituisce il seguente errore:
```
document process failed unexpectedly: document worker timed out,
check [ssm-document-worker]/[ssm-session-worker] log for crash reason
```
Se è stata configurata la registrazione dell'SSM Agent, come descritto in [Visualizzazione dei log di SSM Agent](ssm-agent-logs.md), è possibile visualizzare maggiori dettagli nel log di debug. Per questo problema, Session Manager mostra la seguente voce di log:
```
failed to create channel: too many open files
```
Questo errore indica in genere che ci sono troppi processi di lavoro Session Manager in esecuzione e che il sistema operativo sottostante ha raggiunto un limite. Sono disponibili due opzioni per la risoluzione di questo problema.
**Soluzione A: aumenta il limite di notifica dei file del sistema operativo**
È possibile aumentare il limite eseguendo il comando seguente da un host Linux separato. Questo comando utilizza Systems Manager Run Command. Il valore specificato fa aumentare `max_user_instances` fino a 8192. Questo valore è notevolmente superiore al valore predefinito di 128, ma non affaticherà le risorse dell'host:
```
aws ssm send-command --document-name AWS-RunShellScript \
--instance-id i-02573cafcfEXAMPLE --parameters \
"commands=sudo sysctl fs.inotify.max_user_instances=8192"
```
**Soluzione B: diminuire le notifiche relative ai file utilizzate da Session Manager nell'host di destinazione **
Esegui il comando seguente da un host Linux separato per elencare le sessioni in esecuzione sull'host di destinazione:
```
aws ssm describe-sessions --state Active --filters key=Target,value=i-02573cafcfEXAMPLE
```
Esamina l'output del comando per identificare le sessioni che non sono più necessarie. È possibile terminare tali sessioni eseguendo il comando seguente da un host Linux separato:
```
aws ssm terminate-session —session-id session ID
```
Facoltativamente, quando non ci sono più sessioni in esecuzione sul server remoto, è possibile liberare risorse aggiuntive eseguendo il comando seguente da un host Linux separato. Questo comando termina tutti i processi di Session Manager in esecuzione sull'host remoto e, di conseguenza, tutte le sessioni sull'host remoto. Prima di eseguire questo comando, verifica che non ci siano sessioni in corso che desideri mantenere:
```
aws ssm send-command --document-name AWS-RunShellScript \
--instance-id i-02573cafcfEXAMPLE --parameters \
'{"commands":["sudo kill $(ps aux | grep ssm-session-worker | grep -v grep | awk '"'"'{print $2}'"'"')"]}'
```
## Session Manager non si connette dalla console Amazon EC2
**Problema**: dopo aver creato una nuova istanza, il pulsante **Connettiti** > **Session Manager** nella console Amazon Elastic Compute Cloud (Amazon EC2) non ti offre la possibilità di connetterti.
**Soluzione A: crea un profilo di istanza**: se non l'hai già fatto (come indicato nelle informazioni nella scheda **Session Manager** nella console EC2), crea un profilo di istanza AWS Identity and Access Management (IAM) utilizzando. Quick Setup Quick Setupè uno strumento in. AWS Systems Manager
Session Manager richiede un profilo dell'istanza IAM per connettersi all'istanza. È possibile creare un profilo dell'istanza e assegnarlo all'istanza creando una [configurazione di gestione dell'host](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) con Quick Setup. Una *configurazione di gestione dell'host* crea un profilo dell'istanza con le autorizzazioni richieste e lo assegna all'istanza. Una configurazione di gestione dell'host abilita anche altri strumenti di Systems Manager e crea ruoli IAM per l'esecuzione di tali strumenti. L'utilizzo di Quick Setup o degli strumenti abilitati dalla configurazione di gestione dell'host è gratuito. [Apri Quick Setup e crea una configurazione di gestione dell'host](https://console.aws.amazon.com/systems-manager/quick-setup/create-configuration&configurationType=SSMHostMgmt).
**Importante**
Dopo aver creato la configurazione di gestione dell'host, Amazon EC2 può impiegare alcuni minuti per registrare la modifica e aggiornare la scheda **Session Manager**. Se la scheda non mostra il pulsante **Connetti** dopo due o tre minuti, riavvia l'istanza. Dopo il riavvio, se ancora non vedi l'opzione per la connessione, apri [Configurazione rapida](https://console.aws.amazon.com/systems-manager/quick-setup/create-configuration&configurationType=SSMHostMgmt) e verifica che esista una sola configurazione di gestione dell'host. Se ne esistono due, elimina la configurazione precedente e attendi qualche minuto.
Se non riesci ancora a connetterti dopo aver creato una configurazione di gestione dell'host o se ricevi un errore, incluso un errore relativo a SSM Agent, consulta una delle seguenti soluzioni:
+ [Soluzione B: nessun errore, ma non riesci ancora a connetterti](#session-manager-troubleshooting-EC2-console-no-error)
+ [Soluzione C: errore relativo alla mancanza di SSM Agent](#session-manager-troubleshooting-EC2-console-no-agent)
### Soluzione B: nessun errore, ma non riesci ancora a connetterti
Se hai creato la configurazione di gestione dell'host, hai aspettato diversi minuti prima di provare a connetterti e non riesci ancora a connetterti, potrebbe essere necessario applicare manualmente la configurazione di gestione dell'host all'istanza. Utilizza la procedura seguente per aggiornare una configurazione di gestione dell'host di Quick Setup e applicare le modifiche a un'istanza.
**Per aggiornare una configurazione di gestione dell'host utilizzando Quick Setup**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel pannello di navigazione, scegli **Quick Setup**.
1. Nell'elenco **Configurazioni**, scegli la configurazione **Gestione host** che hai creato.
1. Scegli **Operazioni**, quindi **Modifica configurazione**.
1. Nella parte inferiore della sezione **Destinazioni**, in **Scegli come destinare le istanze**, scegli **Manuale**.
1. Nella sezione **Istanze**, scegli l'istanza che hai creato.
1. Scegli **Aggiorna**.
Attendi qualche minuto che EC2 aggiorni la scheda **Session Manager**. Se ancora non riesci a connetterti o se ricevi un errore, esamina le soluzioni rimanenti per questo problema.
### Soluzione C: errore relativo alla mancanza di SSM Agent
Se non sei riuscito a creare una configurazione di gestione dell'host utilizzando Quick Setup o se hai ricevuto un errore relativo alla SSM Agent mancata installazione, potresti dover eseguire l'installazione manualmente SSM Agent sull'istanza. SSM Agentè un software Amazon che consente a Systems Manager di connettersi alla tua istanza utilizzandoSession Manager. SSM Agentè installato per impostazione predefinita sulla maggior parte delle Amazon Machine Images (AMIs). Se l'istanza è stata creata da un'AMI non standard o da un'AMI precedente, potrebbe essere necessario installare manualmente l'agente. Per la procedura di installazione di SSM Agent, consulta il seguente argomento che corrisponde al sistema operativo dell'istanza.
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-windows.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-windows.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-macos.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-macos.html)
+ [AlmaLinux](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-alma.html)
+ [Amazon Linux 2 e AL2023](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-al2.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-oracle.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-oracle.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rhel.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rhel.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rocky.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rocky.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-ubuntu.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-ubuntu.html)
Per problemi con SSM Agent, vedi [Risoluzione dei problemi relativi a SSM Agent](troubleshooting-ssm-agent.md).
## Nessuna autorizzazione ad avviare una sessione
**Problema**: tenti di avviare una sessione, ma il sistema indica che non disponi delle autorizzazioni necessarie.
+ **Soluzione**: un amministratore di sistema non ti ha concesso le autorizzazioni relative alle policy AWS Identity and Access Management (IAM) per l'avvio delle Session Manager sessioni. Per informazioni, consulta [Controllo dell'accesso della sessione utente alle istanze](session-manager-getting-started-restrict-access.md).
## SSM Agent non online
**Problema**: compare un messaggio nella scheda dell'istanza Amazon EC2 **Session Manager** che indica: ''SSM Agent non è online. L'SSM Agent non è riuscito a connettersi a un endpoint di Systems Manager per registrarsi con il servizio.''
**Soluzione**: SSM Agent è il software Amazon che viene eseguito su istanze Amazon EC2 in modo da consentire a Session Manager di connettersi. Se viene visualizzato questo errore, significa che l'SSM Agent non è in grado di stabilire una connessione con l'endpoint di Systems Manager. È possibile che l'origine del problema sia costituita da restrizioni del firewall, problemi di routing o mancanza di connessione Internet. Per risolvere il problema, esaminare i problemi di connettività di rete. Per ulteriori informazioni, consultare [Risoluzione dei problemi relativi a SSM Agent](troubleshooting-ssm-agent.md) e [Risoluzione dei problemi relativi alla disponibilità dei nodi gestiti](fleet-manager-troubleshooting-managed-nodes.md). Per informazioni sugli endpoint di Systems Manager, consulta [Endpoint e quote di AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html) nel Documento di riferimento generale ad AWS .
## Nessuna autorizzazione a modificare le preferenze delle sessioni
**Problema**: tenti di aggiornare le preferenze globali delle sessioni della tua organizzazione, ma il sistema indica che non disponi delle autorizzazioni necessarie.
+ **Soluzione**: un amministratore di sistema non ti ha concesso le autorizzazioni di policy IAM per l'impostazione delle preferenze del Session Manager. Per informazioni, consulta [Concedere o negare a un utente le autorizzazioni per aggiornare le preferenze del Session Manager](preference-setting-permissions.md).
## Nodo gestito non disponibile o non configurato per Session Manager
**Problema 1**: desideri avviare una sessione dalla pagina della console **Start a session (Avvia una sessione)**, ma non sono presenti nodi gestiti nell'elenco.
+ **Soluzione A**: il nodo gestito a cui desideri connetterti potrebbe non essere stato configurato AWS Systems Manager. Per ulteriori informazioni, consulta [Configurazione della console unificata di Systems Manager per un'organizzazione](systems-manager-setting-up-organizations.md).
**Nota**
Se AWS Systems Manager SSM Agent è già in esecuzione su un nodo gestito quando colleghi il profilo dell'istanza IAM, potrebbe essere necessario riavviare l'agente prima che l'istanza venga elencata nella pagina **Avvia una console di sessione**.
+ **Soluzione B**: la configurazione proxy applicata al SSM Agent sul tuo nodo gestito potrebbe essere corretta Se la configurazione del proxy non è corretta, il nodo gestito non sarà in grado di raggiungere gli endpoint del servizio necessari oppure il nodo potrebbe fare riferimento a un sistema operativo diverso a Systems Manager. Per ulteriori informazioni, consultare [Configurazione di SSM Agent per l'utilizzo di un proxy sui nodi Linux](configure-proxy-ssm-agent.md) e [Configurazione di SSM Agent per utilizzare un proxy per le istanze Windows Server](configure-proxy-ssm-agent-windows.md).
**Problema 2**: un nodo gestito che desideri connettere si trova nell'elenco nella pagina della console **Avvia una sessione**, ma la pagina segnala che "L'istanza selezionata non è configurata per l'uso di Session Manager."
+ **Soluzione A**: il nodo gestito è stato configurato per l'uso con il servizio di Systems Manager, ma il profilo dell'istanza IAM collegato al nodo potrebbe non includere le autorizzazioni per lo strumento di Session Manager. Per informazioni, consulta la sezione [Verifica o creazione di un profilo dell'istanza IAM con autorizzazioni Session Manager](session-manager-getting-started-instance-profile.md).
+ **Soluzione B**: il nodo gestito non esegue una versione dell'SSM Agent che supporta il Session Manager. Aggiorna l'SSM Agent sul nodo alla versione 2.3.68.0 o successiva.
Aggiorna l'SSM Agent manualmente su un nodo gestito seguendo la procedura descritta nei passi [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per Windows Server](manually-install-ssm-agent-windows.md), [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per Linux](manually-install-ssm-agent-linux.md) o [Installazione e disinstallazione manuale di SSM Agent su istanze EC2 per macOS](manually-install-ssm-agent-macos.md), a seconda del sistema operativo in uso.
In alternativa, utilizza il documento Run Command `AWS-UpdateSSMAgent` per aggiornare la versione dell'agente su uno o più nodi gestiti alla volta. Per informazioni, consulta [Aggiornamento di SSM Agent utilizzando Run Command](run-command-tutorial-update-software.md#rc-console-agentexample).
**Suggerimento**
Per mantenere sempre aggiornato l'agente, consigliamo di aggiornare SSM Agent alla versione più recente in base a una pianificazione automatizzata che potrai definire attraverso uno dei metodi seguenti:
Esegui `AWS-UpdateSSMAgent` nell'ambito di un'associazione State Manager. Per informazioni, consulta [Procedura dettagliata: aggiorna SSM Agent automaticamente con AWS CLI](state-manager-update-ssm-agent-cli.md).
Esegui `AWS-UpdateSSMAgent` all'interno di una finestra di manutenzione. Per ulteriori informazioni sull'uso delle finestre di manutenzione, consulta [Crea e gestisci finestre di manutenzione utilizzando la console](sysman-maintenance-working.md) e [Tutorial: Creare e configurare una finestra di manutenzione utilizzando il AWS CLI](maintenance-windows-cli-tutorials-create.md).
+ **Soluzione C**: il nodo gestito non può raggiungere gli endpoint del servizio necessari. È possibile migliorare il livello di sicurezza dei nodi gestiti utilizzando gli endpoint di interfaccia forniti da AWS PrivateLink per connettersi agli endpoint Systems Manager. L'alternativa all'utilizzo di un endpoint di interfaccia è l'abilitazione dell'accesso a Internet in uscita sui nodi gestiti. Per ulteriori informazioni, consulta [Utilizzare PrivateLink per configurare un endpoint VPC](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-privatelink.html) per. Session Manager
+ **Soluzione D**: il nodo gestito dispone di risorse di memoria o CPU limitate. Sebbene il nodo gestito possa essere funzionale, se non dispone di risorse sufficienti, non è possibile stabilire una sessione. Per ulteriori informazioni, consulta [Risoluzione di problemi relativi a un'istanza irraggiungibile](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-console.html).
## Plug-in Session Manager non trovato
Per utilizzare i comandi AWS CLI per eseguire la sessione, il Session Manager plug-in deve essere installato anche sul computer locale. Per informazioni, consulta [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md).
## Il plug-in di Session Manager non viene aggiunto automaticamente al percorso della riga di comando (Windows)
Quando installi il plug-in di Session Manager su Windows, l'eseguibile `session-manager-plugin` dovrebbe essere aggiunto automaticamente alla variabile di ambiente `PATH` del sistema operativo. Se il comando ha esito negativo quando lo esegui per verificare se il plug-in Session Manager è stato installato correttamente (`aws ssm start-session --target instance-id`), potrebbe essere necessario impostarlo manualmente utilizzando la seguente procedura.
**Modifica della variabile PATH (Windows)**
1. Premi il tasto Windows e immetti **environment variables**.
1. Scegli **Modifica variabili di ambiente per l'account**.
1. Scegli **PATH** e quindi **Modifica**.
1. Aggiungi percorsi al campo **Valore variabile**, separati da punti e virgola, come illustrato in questo esempio: *`C:\existing\path`*;*`C:\new\path`*
*`C:\existing\path`*rappresenta il valore già presente nel campo. *`C:\new\path`*rappresenta il percorso da aggiungere, come illustrato nell'esempio seguente.
+ **Computer a 64 bit**: `C:\Program Files\Amazon\SessionManagerPlugin\bin\`
1. Fai doppio clic su **OK** per applicare le nuove impostazioni.
1. Chiudi gli eventuali prompt di comando in esecuzione e riapri.
## Il plug-in Session Manager non risponde
Durante una sessione di inoltro della porta, il traffico potrebbe interrompere l'inoltro se nel computer locale è installato un software antivirus. In alcuni casi, il software antivirus interferisce con il plug-in Session Manager che causa deadlock del processo. Per risolvere il problema, consentire o escludere il plug-in Session Manager dal software antivirus. Per informazioni sul percorso di installazione predefinito del plug-in Session Manager, consulta [Installa il Session Manager plugin per AWS CLI](session-manager-working-with-install-plugin.md).
## TargetNotConnected
**Problema**: si tenta di avviare una sessione, ma il sistema restituisce il messaggio di errore «Si è verificato un errore (TargetNotConnected) durante la chiamata all' StartSession operazione: *InstanceID* non è connesso».
+ **Soluzione A**: questo errore viene restituito quando il nodo gestito di destinazione specificato per la sessione non è completamente configurato per l'utilizzo con Session Manager. Per informazioni, consulta [Configurazione di Session Manager](session-manager-getting-started.md).
+ **Soluzione B**: questo errore viene restituito anche se si tenta di avviare una sessione su un nodo gestito che si trova in un altro Account AWS o Regione AWS.
## Dopo l'avvio di una sessione viene visualizzata una schermata vuota
**Problema**: avvii una sessione e Session Manager visualizza una schermata vuota.
+ **Soluzione A**: questo problema può verificarsi quando il volume principale del nodo gestito è pieno. A causa della mancanza di spazio su disco, SSM Agent sul nodo gestito smette di funzionare. Per risolvere questo problema, usa Amazon CloudWatch per raccogliere metriche e log dai sistemi operativi. Per informazioni, consulta [Raccogli metriche, log e tracce con l' CloudWatch agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) nella *Amazon CloudWatch User* Guide.
+ **Soluzione B**: se è stato effettuato l'accesso alla console utilizzando un collegamento che include una coppia endpoint e regione non corrispondente, potrebbe essere visualizzata una schermata vuota. Ad esempio, nel seguente URL della console, `us-west-2` è l'endpoint specificato, ma `us-west-1` è la Regione AWS specificata:
```
https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
```
+ **Soluzione C**: il nodo gestito si connette a Systems Manager tramite endpoint VPC e Session Manager le tue preferenze scrivono l'output della sessione su un bucket Amazon S3 o un gruppo di log CloudWatch Amazon Logs, ma nel VPC non esiste un endpoint gateway `logs` o `s3` un endpoint di interfaccia. Un endpoint `s3` nel formato **`com.amazonaws.region.s3`** è necessario se i nodi gestiti si connettono a Systems Manager utilizzando gli endpoint VPC e le preferenze Session Manager scrivono l'output di sessione in un bucket Amazon S3. In alternativa, **`com.amazonaws.region.logs`**è necessario un `logs` endpoint in questo formato se i nodi gestiti si connettono a Systems Manager utilizzando endpoint VPC e le Session Manager preferenze scrivono l'output della sessione in CloudWatch un gruppo di log Logs. Per ulteriori informazioni, consulta [Creazione degli endpoint VPC per Systems Manager](setup-create-vpc.md#create-vpc-endpoints).
+ **Soluzione D**: il gruppo di log o il bucket Amazon S3 specificato nelle preferenze di sessione è stato eliminato. Per risolvere questo problema, aggiornare le preferenze di sessione con un gruppo di log valido o un bucket S3.
+ **Soluzione E**: il gruppo di log o il bucket Amazon S3 specificato nelle preferenze di sessione non è crittografato, ma hai impostato la proprietà`cloudWatchEncryptionEnabled` o input `s3EncryptionEnabled` a `true`. Per risolvere questo problema, aggiorna le preferenze di sessione con un gruppo di log o un bucket Amazon S3 crittografato oppure imposta la proprietà `cloudWatchEncryptionEnabled` o input `s3EncryptionEnabled` a `false`. Questo scenario è applicabile solo ai clienti che creano preferenze di sessione utilizzando gli strumenti a riga di comando.
## Il nodo gestito non risponde durante le sessioni di esecuzione prolungata
**Problema**: il nodo gestito non risponde o si arresta in modo anomalo durante una sessione di esecuzione prolungata.
**Soluzione**: riduci la durata di conservazione dei log SSM Agent di Session Manager.
**Riduzione della durata di conservazione dei log SSM Agent delle sessioni**
1. Individua il plug-in `amazon-ssm-agent.json.template` nella directory `/etc/amazon/ssm/` per Linux o `C:\Program Files\Amazon\SSM` per Windows.
1. Copia il contenuto di `amazon-ssm-agent.json.template` in un nuovo file nella stessa directory denominata `amazon-ssm-agent.json`.
1. Ridurre il valore di default del valore `SessionLogsRetentionDurationHours` nella proprietà `SSM` e salva il file.
1. Riavvia l'SSM Agent.
## Si è verificato un errore (InvalidDocument) durante la chiamata dell'operazione StartSession
**Problema**: quando avvii una sessione utilizzando la AWS CLI, visualizzi l'errore seguente.
```
An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.
```
**Soluzione**: il documento SSM specificato per il parametro `--document-name` non è un documento di *Sessione*. Utilizza la procedura seguente per visualizzare un elenco di documenti di sessione nella Console di gestione AWS.
**Visualizzazione di un elenco di documenti di sessione**
1. Apri la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Nel riquadro di navigazione, scegli **Documenti**.
1. Nell'elenco **Categorie**, scegli **Documenti di sessione**.