View a markdown version of this page

Umstellen auf einen Just-in-Time-Knotenzugriff vom Session Manager - AWS Systems Manager
VoraussetzungenBewertungPlanungImplementierungsschritteTestmethodeBewährte Methoden für eine erfolgreiche Migration

• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der Amazon CloudWatch Dashboard-Dokumentation.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Umstellen auf einen Just-in-Time-Knotenzugriff vom Session Manager

Wenn Sie den Just-in-Time-Knotenzugriff aktivieren, nimmt Systems Manager keine Änderungen an Ihren vorhandenen Ressourcen für Session Manager vor. Dadurch wird sichergestellt, dass Ihre bestehende Umgebung nicht unterbrochen wird und Benutzer weiterhin Sitzungen starten können, während Sie Genehmigungsrichtlinien erstellen und validieren. Sobald Sie bereit sind, Ihre Genehmigungsrichtlinien zu testen, müssen Sie Ihre bestehenden IAM-Richtlinien ändern, um den Übergang zum Just-in-Time-Knotenzugriff abzuschließen. Dazu gehören das Hinzufügen der erforderlichen Berechtigungen für den Just-in-Time-Knotenzugriff zu Identitäten und das Entfernen der Genehmigung für den StartSession-API-Vorgang für Session Manager. Wir empfehlen, Genehmigungsrichtlinien mit einer Teilmenge von Identitäten und Knoten in einem AWS-Konto und zu testen. AWS-Region

Weitere Informationen zu den erforderlichen Berechtigungen für den Just-in-Time-Knotenzugriff finden Sie unter Just-in-Time-Zugriff mit Systems Manager einrichten.

Weitere Informationen zum Ändern und den IAM-Berechtigungen der Identität finden Sie unter Hinzufügen und Entfernen von IAM-Identitäts-Berechtigungen im IAM-Benutzerhandbuch.

Im Folgenden wird eine detaillierte Methode beschrieben, wie Sie vom Session Manager zum Just-in-Time-Knotenzugriff übergehen können.

Die Umstellung vom Session Manager auf Just-in-Time-Knotenzugriff erfordert sorgfältige Planung und Tests, um einen reibungslosen Übergang ohne Betriebsunterbrechung zu gewährleisten. In den folgenden Abschnitten wird beschrieben, wie Sie diesen Prozess abschließen können.

Voraussetzungen

Überprüfen Sie zu Beginn, ob Sie die folgenden Aufgaben ausgeführt haben:

  • Einrichten der vereinheitlichten Systems-Manager-Konsole.

  • Es wurde überprüft, ob Sie berechtigt sind, die IAM-Richtlinien in Ihrem Konto zu ändern.

  • Es wurden alle IAM-Richtlinien und -Rollen identifiziert, die derzeit Session Manager-Berechtigungen erteilen.

  • Es wurde Ihre aktuelle Session Manager-Konfiguration dokumentiert, einschließlich der Sitzungs- und Protokollierungseinstellungen.

Bewertung

Beurteilen Sie Ihre aktuelle Umgebung und skizzieren Sie das gewünschte Genehmigungsverhalten, indem Sie die folgenden Aufgaben ausführen:

  1. Inventarisieren Ihrer Knoten – Identifizieren Sie alle Knoten, auf die Benutzer derzeit über Session Manager zugreifen.

  2. Identifizieren von Benutzerzugriffsmustern – Dokumentieren Sie, welche Benutzer oder Rollen Zugriff auf welche Knoten benötigen und unter welchen Umständen.

  3. Zuordnen von Genehmigungsworkflows – Legen Sie fest, wer Zugriffsanforderungen für verschiedene Knotentypen genehmigen soll.

  4. Überprüfen der Tagging-Strategie – Stellen Sie sicher, dass Ihre Knoten ordnungsgemäß gekennzeichnet sind, um Ihre geplanten Genehmigungsrichtlinien zu unterstützen.

  5. Prüfen vorhandener IAM-Richtlinien – Identifizieren Sie alle Richtlinien, die Session Manager-Berechtigungen beinhalten.

Planung

Schrittweiser Ansatz

Bei der Umstellung vom Session Manager zum Just-in-Time-Knotenzugriff empfehlen wir, einen schrittweisen Ansatz wie den folgenden zu verwenden:

  1. Phase 1: Einrichtung und Konfiguration – Ermöglichen Sie den Just-in-Time-Knotenzugriff, ohne bestehende Session Manager-Berechtigungen zu ändern.

  2. Phase 2: Richtlinienentwicklung – Erstellen und testen Sie Genehmigungsrichtlinien für Ihre Knoten.

  3. Phase 3: Pilotmigration – Modifizieren einer kleinen Gruppe von unkritischen Knoten und Benutzern oder Rollen von Session Manager auf Just-in-Time-Knotenzugriff.

  4. Phase 4: Vollständige Migration – Schrittweise Migration aller verbleibenden Knoten und Benutzer oder Rollen.

Überlegungen zum Zeitplan

Berücksichtigen Sie bei der Erstellung Ihres Zeitplans für den Übergang vom Session Manager zu Just-in-Time-Knotenzugriff die folgenden Faktoren:

  • Nehmen Sie sich Zeit für die Schulung der Benutzer und die Anpassung an den neuen Genehmigungsablauf.

  • Planen Sie Migrationen in Zeiten geringerer betrieblicher Aktivität.

  • Schließen Sie Pufferzeit für Problembehebungen und Anpassungen mit ein.

  • Planen Sie einen Parallelbetrieb ein, in dem beide Systeme verfügbar sind.

Implementierungsschritte

Phase 1: Einrichtung und Konfiguration

  1. Aktivieren Sie den Just-in-Time-Knotenzugriff in der Systems-Manager-Konsole. Die detaillierten Schritte finden Sie unter Just-in-Time-Zugriff mit Systems Manager einrichten.

  2. Konfigurieren Sie die Sitzungseinstellungen für den Just-in-Time-Knotenzugriff so, dass sie Ihren aktuellen Session Manager-Einstellungen entsprechen. Weitere Informationen finden Sie unter Aktualisieren der Einstellungen für eine Just-in-Time-Knotenzugriffssitzung.

  3. Richten Sie Benachrichtigungseinstellungen für Zugriffsanforderungen ein. Weitere Informationen finden Sie unter Konfiguration von Benachrichtigungen für Just-in-Time-Zugriffsanforderungen.

  4. Wenn Sie RDP-Verbindungen zu Windows Server-Knoten verwenden, konfigurieren Sie die RDP-Aufzeichnung. Weitere Informationen finden Sie unter Aufzeichnen von RDP-Verbindungen.

Phase 2: Richtlinienentwicklung

  1. Erstellen Sie IAM-Richtlinien für Administratoren und Benutzer mit Just-in-Time-Knotenzugriff.

  2. Entwickeln Sie Genehmigungsrichtlinien auf der Grundlage Ihrer Sicherheitsanforderungen und Ihres Anwendungsfalls.

  3. Testen Sie Ihre Richtlinien in einer Nicht-Produktionsumgebung, um sicherzustellen, dass sie wie erwartet funktionieren.

Phase 3: Pilot-Migration

  1. Wählen Sie eine kleine Gruppe von Benutzern und unkritischen Knoten für das Pilotprojekt aus.

  2. Erstellen Sie neue IAM-Richtlinien für Pilotbenutzer, die Just-in-Time-Zugriffsberechtigungen für Knoten beinhalten.

  3. Entfernen Sie die Session Manager-Berechtigungen (ssm:StartSession) aus den IAM-Richtlinien der Pilotbenutzer.

  4. Schulen Sie Pilotbenutzer im neuen Workflow für Zugriffsanforderungen.

  5. Überwachen Sie das Pilotprojekt auf Probleme und holen Sie Feedback ein.

  6. Passen Sie die Richtlinien und Verfahren auf der Grundlage der Ergebnisse des Pilotprojekts an.

Beispiel für eine Änderung der IAM-Richtlinie für Pilotbenutzer

Ursprüngliche Richtlinie mit Session Manager-Berechtigungen:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

Geänderte Richtlinie für einen Just-in-Time-Knotenzugriff:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartAccessRequest",
        "ssm:GetAccessToken",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

Phase 4: Vollständige Migration

Entwickeln Sie einen Zeitplan für die stapelweise Migration der verbleibenden Benutzer und Knoten.

Testmethode

Führen Sie während des gesamten Migrationsprozesses die folgenden Tests durch:

  • Richtlinienvalidierung – Stellen Sie sicher, dass die Genehmigungsrichtlinien für die vorgesehenen Knoten und Benutzer gelten.

  • Workflow für Zugriffsanforderungen – Testen Sie den gesamten Workflow von der Zugriffsanforderung bis zur Sitzungseinrichtung sowohl für automatische Genehmigungsszenarien als auch für manuelle Genehmigungsszenarien.

  • Benachrichtigungen – Stellen Sie sicher, dass Genehmiger Benachrichtigungen über konfigurierte Kanäle (E-Mail, Slack, Microsoft Teams) erhalten.

  • Protokollierung und Überwachung – Stellen Sie sicher, dass Sitzungsprotokolle und Zugriffsanforderungen ordnungsgemäß erfasst und gespeichert werden.

Bewährte Methoden für eine erfolgreiche Migration

  • Frühzeitiges und häufiges Kommunizieren – Informieren Sie die Benutzer über den Zeitplan für die Migration und die Vorteile eines Just-in-Time-Knotenzugriffs.

  • Starten mit unkritischen Systemen – Beginnen Sie mit der Migration mit Entwicklungs- oder Testumgebungen, bevor Sie zur Produktion übergehen.

  • Dokumentieren von allem – Führen Sie detaillierte Aufzeichnungen über Ihre Genehmigungsrichtlinien, IAM-Richtlinienänderungen und Konfigurationseinstellungen.

  • Überwachen und Anpassen – Überwachen Sie kontinuierlich Zugriffsanforderungen und Genehmigungsworkflows und passen Sie die Richtlinien nach Bedarf an.

  • Etablieren von Governance – Richten Sie einen Prozess ein, mit dem die Genehmigungsrichtlinien regelmäßig überprüft und aktualisiert werden, wenn sich Ihre Umgebung ändert.