Just-in-time Knotenzugriff mit Systems Manager

Systems Manager hilft Ihnen, die Sicherheit Ihrer Knoten zu verbessern, indem er just-in-timeden Zugriff unterstützt. Just-in-timeDer Knotenzugriff ermöglicht es Benutzern, temporären, zeitlich begrenzten Zugriff auf Knoten zu beantragen, den Sie nur dann genehmigen können, wenn der Zugriff wirklich benötigt wird. Dadurch entfällt die Notwendigkeit, seit langem bestehenden Zugriff auf Knoten bereitzustellen, die durch IAM-Richtlinien verwaltet werden. Darüber hinaus bietet Systems Manager Sitzungsaufzeichnungen für RDP-Sitzungen zu Windows Server Knoten, damit Sie Compliance-Anforderungen erfüllen, Ursachenanalysen durchführen und vieles mehr können. Um den just-in-time Knotenzugriff nutzen zu können, müssen Sie die einheitliche Systems Manager Manager-Konsole einrichten.

Mit dem just-in-time Knotenzugriff erstellen Sie detaillierte IAM-Richtlinien, um sicherzustellen, dass nur die Benutzer, denen Sie die Genehmigung erteilen, Zugriffsanfragen an Ihre Knoten stellen können. Anschließend erstellen Sie Genehmigungsrichtlinien, in denen die erforderlichen Genehmigungen für die Knotenverbindung definiert sind. Für den just-in-time Knotenzugriff gibt es Richtlinien für die automatische Genehmigung und die Richtlinien für die manuelle Genehmigung. Eine automatische Genehmigungsrichtlinie definiert, mit welchen Knoten Benutzer automatisch eine Verbindung herstellen können. Richtlinien für manuelle Genehmigungen definieren die Anzahl und die Stufen der manuellen Genehmigungen, die für den Zugriff auf die von Ihnen angegebenen Knoten erteilt werden müssen. Sie können auch eine Richtlinie zur Zugriffsverweigerung erstellen. Eine Zugriffsverweigerungsrichtlinie verhindert ausdrücklich die automatische Genehmigung von Zugriffsanforderungen an die von Ihnen angegebenen Knoten. Eine Richtlinie zum Verweigern des Zugriffs gilt für alle Konten in einer Organisation. AWS Organizations Richtlinien für die automatische Genehmigung und die manuelle Genehmigung gelten nur für die AWS-Konten und an dem Ort, an AWS-Regionen dem sie erstellt wurden.

Wenn ein Benutzer versucht, eine Verbindung zu einem Knoten herzustellen, wird er aufgefordert, einen Grund für den Knotenzugriff einzugeben. Anschließend werden Ihre Genehmigungsrichtlinien ausgewertet. Abhängig von Ihren Richtlinien stellen Benutzer entweder automatisch eine Verbindung zum Zielknoten her oder Systems Manager erstellt automatisch eine manuelle Genehmigungsanforderung im Namen des Anforderers. Die Genehmiger, die in der für den Knoten geltenden Richtlinie für die manuelle Genehmigung angegeben sind, werden über die Zugriffsanforderung informiert und können die Anforderung genehmigen oder ablehnen. Genehmigende und Anforderer können entweder per E-Mail oder über die Amazon-Q-Developer-Integration in Chat-Anwendungen wie Slack oder Microsoft Teams benachrichtigt werden. Systems Manager gewährt nur dann Zugriff auf angeforderte Knoten, wenn die angegebenen Genehmiger alle erforderlichen Genehmigungen erteilt haben. Sobald alle erforderlichen Genehmigungen eingegangen sind, kann der Benutzer für die Dauer des in der Genehmigungsrichtlinie angegebenen Zugriffsfensters beliebig viele Sitzungen auf dem Knoten starten. Systems Manager beendet just-in-time Knotenzugriffssitzungen nicht automatisch. Es hat sich bewährt, Werte für die maximale Sitzungsdauer und das Timeout bei Sitzungsinaktivität anzugeben. Diese Einstellungen verhindern, dass Benutzer auch nach Ablauf des Zeitraums, für den der Zugriff genehmigt wurde, mit Knoten verbunden bleiben.

Wir empfehlen, eine Kombination von Genehmigungsrichtlinien zu verwenden, um Knoten mit kritischeren Daten zu schützen und Benutzern gleichzeitig zu ermöglichen, sich ohne Eingreifen mit weniger kritischen Knoten zu verbinden. Sie können beispielsweise manuelle Genehmigungen für Zugriffsanforderungen an Datenbankknoten vorschreiben und Sitzungen für nicht-persistente Knoten der Präsentationsstufe automatisch genehmigen.

Systems Manager unterstützt den just-in-time Knotenzugriff für Benutzer, die mit IAM Identity Center oder IAM verbunden sind. Wenn ein Verbundbenutzer eine Zugriffsanforderung einreicht, gibt er den Zielknoten und den Grund an, warum eine Verbindung zum Knoten hergestellt werden muss. Systems Manager vergleicht die Benutzeridentität mit den Parametern, die in den Genehmigungsrichtlinien Ihrer Organisation definiert sind. Wenn die Richtlinienbedingungen für die automatische Genehmigung erfüllt sind oder Genehmigungsberechtigte Genehmigungen manuell erteilen, kann der Anforderer eine Verbindung zum Zielknoten herstellen. Wenn ein Benutzer versucht, eine Verbindung zu einem zugelassenen Knoten herzustellen, erstellt Systems Manager ein temporäres Token und verwendet es, um die Sitzung einzurichten.

Da der Systems Manager-Dienst die Authentifizierung für Zugriffsanforderungen und die Einrichtung von Sitzungen übernimmt, müssen Sie keine IAM-Richtlinien verwenden, um den Zugriff auf Ihre Knoten zu verwalten. Durch die Verwendung von just-in-time Knotenzugriff hilft Systems Manager Ihrem Unternehmen, ständigen Rechten ein Ende zu setzen, da Sie Benutzern nur das Erstellen von Zugriffsanfragen gestatten müssen, anstatt ihnen zu erlauben, Sitzungen mit dauerhaften Berechtigungen für Ihre Knoten zu starten. Um Ihnen zu helfen, die Compliance-Anforderungen zu erfüllen, speichert Systems Manager alle Zugriffsanforderungen ein Jahr lang. Systems Manager gibt auch EventBridge Ereignisse für den just-in-time Knotenzugriff bei fehlgeschlagenen Zugriffsanforderungen und Statusaktualisierungen für Zugriffsanforderungen für manuelle Genehmigungen aus. Weitere Informationen finden Sie unter Überwachung von Systems Manager Manager-Ereignissen mit Amazon EventBridge.