Übergang zum just-in-time Knotenzugriff von Session Manager - AWS Systems Manager

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übergang zum just-in-time Knotenzugriff von Session Manager

Wenn Sie den just-in-time Knotenzugriff aktivieren, nimmt Systems Manager keine Änderungen an Ihren vorhandenen Ressourcen für vorSession Manager. Dadurch wird sichergestellt, dass Ihre bestehende Umgebung nicht unterbrochen wird und Benutzer weiterhin Sitzungen starten können, während Sie Genehmigungsrichtlinien erstellen und validieren. Sobald Sie bereit sind, Ihre Genehmigungsrichtlinien zu testen, müssen Sie Ihre bestehenden IAM-Richtlinien ändern, um den Übergang zum just-in-time Knotenzugriff abzuschließen. Dazu gehören das Hinzufügen der erforderlichen Berechtigungen für den just-in-time Knotenzugriff auf Identitäten und das Entfernen der Berechtigungen für den StartSession API-Vorgang für. Session Manager Wir empfehlen, Genehmigungsrichtlinien mit einer Teilmenge von Identitäten und Knoten in einem und zu testen. AWS-Konto AWS-Region

Weitere Hinweise zu den für den just-in-time Knotenzugriff erforderlichen Berechtigungen finden Sie unter. just-in-timeZugriff mit Systems Manager einrichten

Weitere Informationen zum Ändern und den IAM-Berechtigungen der Identität finden Sie unter Hinzufügen und Entfernen von IAM-Identitäts-Berechtigungen im IAM-Benutzerhandbuch.

Im Folgenden wird detailliert beschrieben, wie Sie von zum just-in-time Knotenzugriff wechseln könnenSession Manager.

Die Umstellung von Session Manager auf just-in-time Node Access erfordert sorgfältige Planung und Tests, um einen reibungslosen Übergang ohne Betriebsunterbrechung zu gewährleisten. In den folgenden Abschnitten wird beschrieben, wie Sie diesen Prozess abschließen können.

Voraussetzungen

Überprüfen Sie zu Beginn, ob Sie die folgenden Aufgaben ausgeführt haben:

  • Einrichten der vereinheitlichten Systems-Manager-Konsole.

  • Es wurde überprüft, ob Sie berechtigt sind, die IAM-Richtlinien in Ihrem Konto zu ändern.

  • Es wurden alle IAM-Richtlinien und -Rollen identifiziert, die derzeit Session Manager-Berechtigungen erteilen.

  • Es wurde Ihre aktuelle Session Manager-Konfiguration dokumentiert, einschließlich der Sitzungs- und Protokollierungseinstellungen.

Bewertung

Beurteilen Sie Ihre aktuelle Umgebung und skizzieren Sie das gewünschte Genehmigungsverhalten, indem Sie die folgenden Aufgaben ausführen:

  1. Inventarisieren Ihrer Knoten – Identifizieren Sie alle Knoten, auf die Benutzer derzeit über Session Manager zugreifen.

  2. Identifizieren von Benutzerzugriffsmustern – Dokumentieren Sie, welche Benutzer oder Rollen Zugriff auf welche Knoten benötigen und unter welchen Umständen.

  3. Zuordnen von Genehmigungsworkflows – Legen Sie fest, wer Zugriffsanforderungen für verschiedene Knotentypen genehmigen soll.

  4. Überprüfen der Tagging-Strategie – Stellen Sie sicher, dass Ihre Knoten ordnungsgemäß gekennzeichnet sind, um Ihre geplanten Genehmigungsrichtlinien zu unterstützen.

  5. Prüfen vorhandener IAM-Richtlinien – Identifizieren Sie alle Richtlinien, die Session Manager-Berechtigungen beinhalten.

Planung

Schrittweiser Ansatz

Beim Übergang vom Knotenzugriff Session Manager zum just-in-time Knotenzugriff empfehlen wir, einen schrittweisen Ansatz wie den folgenden zu verwenden:

  1. Phase 1: Einrichtung und Konfiguration — Aktivieren Sie den just-in-time Knotenzugriff, ohne bestehende Session Manager Berechtigungen zu ändern.

  2. Phase 2: Richtlinienentwicklung – Erstellen und testen Sie Genehmigungsrichtlinien für Ihre Knoten.

  3. Phase 3: Pilotmigration — Ändern Sie eine kleine Gruppe unkritischer Knoten und Benutzer oder Rollen vom Knotenzugriff Session Manager zum just-in-time Knotenzugriff.

  4. Phase 4: Vollständige Migration – Schrittweise Migration aller verbleibenden Knoten und Benutzer oder Rollen.

Überlegungen zum Zeitplan

Berücksichtigen Sie bei der Erstellung Ihres Zeitplans für den Übergang vom Knotenzugriff Session Manager zum just-in-time Knotenzugriff die folgenden Faktoren:

  • Nehmen Sie sich Zeit für die Schulung der Benutzer und die Anpassung an den neuen Genehmigungsablauf.

  • Planen Sie Migrationen in Zeiten geringerer betrieblicher Aktivität.

  • Schließen Sie Pufferzeit für Problembehebungen und Anpassungen mit ein.

  • Planen Sie einen Parallelbetrieb ein, in dem beide Systeme verfügbar sind.

Implementierungsschritte

Phase 1: Einrichtung und Konfiguration

  1. Aktivieren Sie den just-in-time Knotenzugriff in der Systems Manager Manager-Konsole. Die detaillierten Schritte finden Sie unter just-in-timeZugriff mit Systems Manager einrichten.

  2. Konfigurieren Sie die Sitzungseinstellungen für den just-in-time Knotenzugriff so, dass sie Ihren aktuellen Session Manager Einstellungen entsprechen. Weitere Informationen finden Sie unter Sitzungseinstellungen für den just-in-time Knotenzugriff aktualisieren.

  3. Richten Sie Benachrichtigungseinstellungen für Zugriffsanforderungen ein. Weitere Informationen finden Sie unter Benachrichtigungen für just-in-time Zugriffsanfragen konfigurieren.

  4. Wenn Sie RDP-Verbindungen zu Windows Server-Knoten verwenden, konfigurieren Sie die RDP-Aufzeichnung. Weitere Informationen finden Sie unter Aufzeichnen von RDP-Verbindungen.

Phase 2: Richtlinienentwicklung

  1. Erstellen Sie IAM-Richtlinien für Administratoren und Benutzer mit just-in-time Knotenzugriff.

  2. Entwickeln Sie Genehmigungsrichtlinien auf der Grundlage Ihrer Sicherheitsanforderungen und Ihres Anwendungsfalls.

  3. Testen Sie Ihre Richtlinien in einer Nicht-Produktionsumgebung, um sicherzustellen, dass sie wie erwartet funktionieren.

Phase 3: Pilot-Migration

  1. Wählen Sie eine kleine Gruppe von Benutzern und unkritischen Knoten für das Pilotprojekt aus.

  2. Erstellen Sie neue IAM-Richtlinien für Pilotbenutzer, die just-in-time Knotenzugriffsberechtigungen beinhalten.

  3. Entfernen Sie die Session Manager-Berechtigungen (ssm:StartSession) aus den IAM-Richtlinien der Pilotbenutzer.

  4. Schulen Sie Pilotbenutzer im neuen Workflow für Zugriffsanforderungen.

  5. Überwachen Sie das Pilotprojekt auf Probleme und holen Sie Feedback ein.

  6. Passen Sie die Richtlinien und Verfahren auf der Grundlage der Ergebnisse des Pilotprojekts an.

Beispiel für eine Änderung der IAM-Richtlinie für Pilotbenutzer

Ursprüngliche Richtlinie mit Session Manager-Berechtigungen:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

Geänderte Richtlinie für den just-in-time Knotenzugriff:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartAccessRequest",
        "ssm:GetAccessToken",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

Phase 4: Vollständige Migration

Entwickeln Sie einen Zeitplan für die stapelweise Migration der verbleibenden Benutzer und Knoten.

Testmethode

Führen Sie während des gesamten Migrationsprozesses die folgenden Tests durch:

  • Richtlinienvalidierung – Stellen Sie sicher, dass die Genehmigungsrichtlinien für die vorgesehenen Knoten und Benutzer gelten.

  • Workflow für Zugriffsanforderungen – Testen Sie den gesamten Workflow von der Zugriffsanforderung bis zur Sitzungseinrichtung sowohl für automatische Genehmigungsszenarien als auch für manuelle Genehmigungsszenarien.

  • Benachrichtigungen – Stellen Sie sicher, dass Genehmiger Benachrichtigungen über konfigurierte Kanäle (E-Mail, Slack, Microsoft Teams) erhalten.

  • Protokollierung und Überwachung – Stellen Sie sicher, dass Sitzungsprotokolle und Zugriffsanforderungen ordnungsgemäß erfasst und gespeichert werden.

Bewährte Methoden für eine erfolgreiche Migration

  • Kommunizieren Sie frühzeitig und häufig — Informieren Sie die Benutzer über den Zeitplan für die Migration und die Vorteile des just-in-time Knotenzugriffs.

  • Starten mit unkritischen Systemen – Beginnen Sie mit der Migration mit Entwicklungs- oder Testumgebungen, bevor Sie zur Produktion übergehen.

  • Dokumentieren von allem – Führen Sie detaillierte Aufzeichnungen über Ihre Genehmigungsrichtlinien, IAM-Richtlinienänderungen und Konfigurationseinstellungen.

  • Überwachen und Anpassen – Überwachen Sie kontinuierlich Zugriffsanforderungen und Genehmigungsworkflows und passen Sie die Richtlinien nach Bedarf an.

  • Etablieren von Governance – Richten Sie einen Prozess ein, mit dem die Genehmigungsrichtlinien regelmäßig überprüft und aktualisiert werden, wenn sich Ihre Umgebung ändert.