Benachrichtigungen für just-in-time Zugriffsanfragen konfigurieren - AWS Systems Manager

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benachrichtigungen für just-in-time Zugriffsanfragen konfigurieren

Sie können Systems Manager so konfigurieren, dass Benachrichtigungen gesendet werden, wenn ein Benutzer eine just-in-time Knotenzugriffsanfrage an die E-Mail-Adressen oder den Chat-Client für Genehmiger und den Anforderer erstellt. Die Benachrichtigung enthält den Grund für die vom Anforderer bereitgestellte Zugriffsanfrage, den AWS-Konto, AWS-Region, Status der Anfrage und die ID des Zielknotens. Derzeit unterstützt Systems Manager Slack und Microsoft Teams über die Integration mit Amazon Q Developer in Chat-Anwendungen. Wenn die Benachrichtigung über Chat-Client erfolgt, können die Genehmiger direkt mit den Zugriffsanforderungen interagieren. Sie müssen sich nicht mehr an der Konsole anmelden, um auf Zugriffsanforderungen zu reagieren.

Bevor Sie beginnen

Bevor Sie einen Chat-Client für Benachrichtigungen über den just-in-time Knotenzugriff konfigurieren, beachten Sie die folgende Anforderung:

  • Wenn Sie IAM-Rollen verwenden, um Benutzeridentitäten in Ihrem Konto zu verwalten, müssen Sie die E-Mail-Adressen der Genehmiger oder Anforderer, an die Sie Benachrichtigungen senden möchten, manuell mit der zugehörigen Rolle verknüpfen. Andernfalls können die vorgesehenen Empfänger nicht per E-Mail benachrichtigt werden.

In den folgenden Verfahren wird beschrieben, wie Benachrichtigungen für just-in-time Knotenzugriffsanforderungen konfiguriert werden.

Um einen Chat-Client für Benachrichtigungen über den just-in-time Knotenzugriff zu konfigurieren

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Einstellungen aus.

  3. Wählen Sie die Registerkarte Just-in-time Knotenzugriff aus.

  4. Wählen Sie im Abschnitt Chat die Option Neuen Client konfigurieren aus.

  5. Wählen Sie in der Dropdownliste Clienttyp auswählen den Typ des Chat-Clients aus, den Sie konfigurieren möchten, und wählen Sie Weiter aus.

  6. Sie werden aufgefordert, Amazon Q Developer den Zugriff auf Chat-Clients zu erlauben. Wählen Sie Zulassen aus.

  7. Geben Sie im Abschnitt Kanal konfigurieren die Informationen für Ihren Chat-Client-Kanal ein und wählen Sie die Arten von Benachrichtigungen aus, die Sie erhalten möchten.

  8. Wenn Sie Benachrichtigungen für Slack konfigurieren, laden Sie „@Amazon Q“ zu jedem Slack-Kanal ein, für den Benachrichtigungen konfiguriert werden.

  9. Wählen Kanal konfigurieren aus.

Anmerkung

Um approving/rejecting Zugriffsanfragen direkt von einem Slack-Channel aus zuzulassen, stellen Sie sicher, dass die IAM-Rolle, die mit dem Slack-Channel konfiguriert ist, über ssm:SendAutomationSignal Berechtigungen verfügt und über eine Vertrauensrichtlinie verfügt, die Chatbot einschließt:

{
            "Effect": "Allow",
            "Principal": {
                "Service": "chatbot.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
}
Um E-Mail-Benachrichtigungen für Benachrichtigungen über den Knotenzugriff zu konfigurieren just-in-time

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Einstellungen aus.

  3. Wählen Sie die Registerkarte Just-in-time Knotenzugriff aus.

  4. Wählen Sie im Bereich E-Mail die Option Bearbeiten aus.

  5. Wählen Sie E-Mails hinzufügen und dann die IAM-Rolle aus, der Sie E-Mail-Adressen manuell zuordnen möchten.

  6. Geben Sie eine E-Mail-Adresse in das Feld E-Mail-Adresse ein. Immer wenn eine Zugriffsanforderung erstellt wird, für die eine Genehmigung durch die von Ihnen angegebene IAM-Rolle erforderlich ist, werden die E-Mail-Adressen, die der Rolle zugeordnet sind, benachrichtigt.

  7. Wählen Sie E-Mail-Adresse hinzufügen aus.