Atualizar preferências do Session Manager (linha de comando)
O procedimento a seguir descreve como usar sua ferramenta da linha de comando preferencial para fazer alterações nas preferências do Session Manager do AWS Systems Manager para sua Conta da AWS na Região da AWS selecionada. Use o Session Manager para especificar opções para o registro em log de dados de sessão em um bucket do Amazon Simple Storage Service (Amazon S3) ou em um grupo de logs do Amazon CloudWatch Logs. Você também pode usar preferências do Session Manager para criptografar seus dados de sessão.
Como atualizar preferências do Session Manager (linha de comando)
-
Crie um arquivo JSON em sua máquina local com um nome, como
SessionManagerRunShell.jsone, em seguida, cole o conteúdo a seguir nesse arquivo.{ "schemaVersion": "1.0", "description": "Document to hold regional settings for Session Manager", "sessionType": "Standard_Stream", "inputs": { "s3BucketName": "", "s3KeyPrefix": "", "s3EncryptionEnabled": true, "cloudWatchLogGroupName": "", "cloudWatchEncryptionEnabled": true, "cloudWatchStreamingEnabled": false, "kmsKeyId": "", "runAsEnabled": true, "runAsDefaultUser": "", "idleSessionTimeout": "", "maxSessionDuration": "", "shellProfile": { "windows": "date", "linux": "pwd;ls" } } } -
Especifique em que local você deseja enviar dados de sessão. Você pode especificar o nome de um bucket do S3 (com um prefixo opcional) ou um nome de grupo de logs do CloudWatch Logs. Se você quiser criptografar ainda mais os dados entre o cliente local e os nós gerenciados, forneça o AWS KMS key a ser usado para a criptografia. Veja um exemplo a seguir.
{ "schemaVersion": "1.0", "description": "Document to hold regional settings for Session Manager", "sessionType": "Standard_Stream", "inputs": { "s3BucketName": "amzn-s3-demo-bucket", "s3KeyPrefix": "MyS3Prefix", "s3EncryptionEnabled": true, "cloudWatchLogGroupName": "MyLogGroupName", "cloudWatchEncryptionEnabled": true, "cloudWatchStreamingEnabled": false, "kmsKeyId": "MyKMSKeyID", "runAsEnabled": true, "runAsDefaultUser": "MyDefaultRunAsUser", "idleSessionTimeout": "20", "maxSessionDuration": "60", "shellProfile": { "windows": "MyCommands", "linux": "MyCommands" } } }nota
Se você não quiser criptografar dados de log da sessão, altere
trueparafalseems3EncryptionEnabled.Se você não estiver enviando logs para um bucket do Amazon S3 ou para um grupo de logs do CloudWatch Logs, se não quiser criptografar os dados da sessão ativa ou não quiser habilitar o suporte a Run As (Executar como) para as sessões em sua conta, exclua as linhas para essas opções. Certifique-se de que a última linha na seção
inputsnão termine com uma vírgula.Se você adicionar um ID de chave do KMS para criptografar dados de sessão, os usuários que iniciarem sessões e os nós gerenciados aos quais eles se conectarem deverão ter permissão para usar essa chave. Você fornece permissão para usar a chave KMS com o Session Manager por meio de políticas do IAM AWS Identity and Access Management. Para obter informações, consulte os seguintes tópicos:
-
Adicione permissões de AWS KMS para usuários na sua conta: Exemplo de políticas do IAM para Session Manager
-
Adicione permissões do AWS KMS para nós gerenciados na sua conta: Etapa 2: verificar ou adicionar permissões de instância para o Session Manager
-
-
Salve o arquivo.
-
No diretório em que você criou o arquivo JSON, execute o seguinte comando:
Se houver êxito, o comando gerará uma saída semelhante à seguinte.
{ "DocumentDescription": { "Status": "Updating", "Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE", "Name": "SSM-SessionManagerRunShell", "Tags": [], "DocumentType": "Session", "PlatformTypes": [ "Windows", "Linux" ], "DocumentVersion": "2", "HashType": "Sha256", "CreatedDate": 1537206341.565, "Owner": "111122223333", "SchemaVersion": "1.0", "DefaultVersion": "1", "DocumentFormat": "JSON", "LatestVersion": "2" } }
