Just-in-Time-Knotenzugriff mit Systems Manager

Nutzen Sie den Just-in-Time-Zugriff von Systems Manager, um die Sicherheit Ihrer Knoten zu verbessern. Der Just-in-Time-Zugriff auf Knoten ermöglicht es Benutzern, temporären, zeitgebundenen Zugriff auf Knoten anzufordern, den Sie nur genehmigen können, wenn der Zugriff wirklich benötigt wird. Dadurch entfällt die Notwendigkeit, permanenten Zugriff auf Knoten zu gewähren, die durch IAM-Richtlinien verwaltet werden. Darüber hinaus bietet Systems Manager Sitzungsaufzeichnungen für RDP-Sitzungen auf Windows Server-Knoten, um Sie bei der Erfüllung von Compliance-Anforderungen, der Durchführung von Ursachenanalysen und vielem mehr zu unterstützen. Um den Just-in-Time-Knotenzugriff zu nutzen, müssen Sie die vereinheitlichte Systems Manager-Konsole einrichten.

Mit dem Just-in-Time-Knotenzugriff erstellen Sie detaillierte IAM-Richtlinien, die dafür sorgen, dass nur die Benutzer, denen Sie die Genehmigung erteilen, Knotenzugriffsanforderungen stellen können. Anschließend erstellen Sie Genehmigungsrichtlinien, in denen die erforderlichen Genehmigungen für die Knotenverbindung definiert sind. Für den Just-in-Time-Knotenzugriff gibt es Richtlinien für die automatische Genehmigung und für die manuelle Genehmigung. Eine automatische Genehmigungsrichtlinie definiert, mit welchen Knoten Benutzer automatisch eine Verbindung herstellen können. Richtlinien für manuelle Genehmigungen definieren die Anzahl und die Stufen der manuellen Genehmigungen, die für den Zugriff auf die von Ihnen angegebenen Knoten erteilt werden müssen. Sie können auch eine Richtlinie zur Zugriffsverweigerung erstellen. Eine Zugriffsverweigerungsrichtlinie verhindert ausdrücklich die automatische Genehmigung von Zugriffsanforderungen an die von Ihnen angegebenen Knoten. Eine Zugriffsverweigerungsrichtlinie gilt für alle Konten in einer AWS Organizations-Organisation. Richtlinien für die automatische Genehmigung und die manuelle Genehmigung gelten nur für die AWS-Konten und AWS-Regionen an dem Ort, an dem sie erstellt wurden.

Wenn ein Benutzer versucht, eine Verbindung zu einem Knoten herzustellen, wird er aufgefordert, einen Grund für den Knotenzugriff einzugeben. Anschließend werden Ihre Genehmigungsrichtlinien ausgewertet. Abhängig von Ihren Richtlinien stellen Benutzer entweder automatisch eine Verbindung zum Zielknoten her oder Systems Manager erstellt automatisch eine manuelle Genehmigungsanforderung im Namen des Anforderers. Die Genehmiger, die in der für den Knoten geltenden Richtlinie für die manuelle Genehmigung angegeben sind, werden über die Zugriffsanforderung informiert und können die Anforderung genehmigen oder ablehnen. Genehmigende und Anforderer können entweder per E-Mail oder über die Amazon-Q-Developer-Integration in Chat-Anwendungen wie Slack oder Microsoft Teams benachrichtigt werden. Systems Manager gewährt nur dann Zugriff auf angeforderte Knoten, wenn die angegebenen Genehmiger alle erforderlichen Genehmigungen erteilt haben. Sobald alle erforderlichen Genehmigungen eingegangen sind, kann der Benutzer für die Dauer des in der Genehmigungsrichtlinie angegebenen Zugriffsfensters beliebig viele Sitzungen auf dem Knoten starten. Systems Manager beendet Just-in-Time-Knotenzugriffssitzungen nicht automatisch. Es hat sich bewährt, Werte für die maximale Sitzungsdauer und das Timeout bei Sitzungsinaktivität anzugeben. Diese Einstellungen verhindern, dass Benutzer auch nach Ablauf des Zeitraums, für den der Zugriff genehmigt wurde, mit Knoten verbunden bleiben.

Wir empfehlen, eine Kombination von Genehmigungsrichtlinien zu verwenden, um Knoten mit kritischeren Daten zu schützen und Benutzern gleichzeitig zu ermöglichen, sich ohne Eingreifen mit weniger kritischen Knoten zu verbinden. Sie können beispielsweise manuelle Genehmigungen für Zugriffsanforderungen an Datenbankknoten vorschreiben und Sitzungen für nicht-persistente Knoten der Präsentationsstufe automatisch genehmigen.

Systems Manager unterstützt Just-in-Time-Knotenzugriff für Benutzer, die mit IAM Identity Center oder IAM verbunden sind. Wenn ein Verbundbenutzer eine Zugriffsanforderung einreicht, gibt er den Zielknoten und den Grund an, warum eine Verbindung zum Knoten hergestellt werden muss. Systems Manager vergleicht die Benutzeridentität mit den Parametern, die in den Genehmigungsrichtlinien Ihrer Organisation definiert sind. Wenn die Richtlinienbedingungen für die automatische Genehmigung erfüllt sind oder Genehmigungsberechtigte Genehmigungen manuell erteilen, kann der Anforderer eine Verbindung zum Zielknoten herstellen. Wenn ein Benutzer versucht, eine Verbindung zu einem zugelassenen Knoten herzustellen, erstellt Systems Manager ein temporäres Token und verwendet es, um die Sitzung einzurichten.

Da der Systems Manager-Dienst die Authentifizierung für Zugriffsanforderungen und die Einrichtung von Sitzungen übernimmt, müssen Sie keine IAM-Richtlinien verwenden, um den Zugriff auf Ihre Knoten zu verwalten. Der Just-in-Time-Knotenzugriff von Systems Manager ist eine Möglichkeit, wie Ihre Organisation die permanente Vergabe von Zugriffsrechten vermeiden kann, da Sie Benutzern nur das Erstellen von Zugriffsanforderungen gestatten müssen, anstatt ihnen zu erlauben, Sitzungen mit dauerhaften Zugriffsrechten auf Ihre Knoten zu starten. Um Ihnen zu helfen, die Compliance-Anforderungen zu erfüllen, speichert Systems Manager alle Zugriffsanforderungen ein Jahr lang. Systems Manager versendet außerdem EventBridge-Ereignisse für den Just-in-Time-Knotenzugriff bei fehlgeschlagenen Zugriffsanforderungen und Statusaktualisierungen für Zugriffsanforderungen für manuelle Genehmigungen. Weitere Informationen finden Sie unter Überwachung von Systems Manager-Ereignissen mit Amazon EventBridge.