AWS Systems Manager Session Manager - AWS Systems Manager
Comment mon organisation peut-elle tirer parti de Session Manager ?À qui est destiné Session Manager ?Quelles sont les principales fonctionnalités Session Manager ?Qu'est-ce qu'une session ?

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Systems Manager Session Manager

Session Managerest un AWS Systems Manager outil entièrement géré. Vous pouvez ainsi gérer vos instances Amazon Elastic Compute Cloud (Amazon EC2), vos appareils périphériques, vos serveurs sur site et vos machines virtuelles (VMs). Session Manager Vous pouvez utiliser soit un shell interactif basé sur un navigateur en un clic, soit le AWS Command Line Interface ().AWS CLISession Managerfournit une gestion sécurisée des nœuds sans qu'il soit nécessaire d'ouvrir des ports entrants, de gérer des hôtes bastions ou de gérer des clés SSH. Session Managervous permet également de vous conformer aux politiques d'entreprise qui exigent un accès contrôlé aux nœuds gérés, des pratiques de sécurité strictes et des journaux contenant les détails d'accès aux nœuds, tout en fournissant aux utilisateurs finaux un accès multiplateforme en un clic à vos nœuds gérés. Pour vos premiers pas dans Session Manager, ouvrez Systems Manager console. Dans le panneau de navigation, sélectionnez Session Manager.

Comment mon organisation peut-elle tirer parti de Session Manager ?

Session Manager offre les avantages suivants :

  • Contrôle centralisé des accès aux nœuds gérés à l'aide de politiques IAM

    Les administrateurs disposent d'un point central pour accorder et révoquer les accès aux nœuds gérés. En utilisant uniquement des politiques AWS Identity and Access Management (IAM), vous pouvez contrôler quels utilisateurs ou groupes individuels de votre organisation peuvent utiliser Session Manager et à quels nœuds gérés ils peuvent accéder.

  • Aucun port entrant ouvert et aucune nécessité d'ouvrir des hôtes bastion ou des clés SSH

    En laissant les ports SSH et les ports PowerShell distants ouverts sur vos nœuds gérés, vous augmentez considérablement le risque que des entités y exécutent des commandes malveillantes ou non autorisées. Session Manager vous aide à renforcer votre niveau de sécurité en vous permettant de fermer ces ports entrants, et d'éviter ainsi de gérer les clés SSH et les certificats, les hôtes bastion ainsi que les zones de reroutage.

  • Accès en un clic aux nœuds gérés depuis la console et la CLI

    À l'aide de la AWS Systems Manager EC2 console ou de la console Amazon, vous pouvez démarrer une session en un seul clic. À l'aide du AWS CLI, vous pouvez également démarrer une session qui exécute une seule commande ou une séquence de commandes. Étant donné que les autorisations d'accès aux nœuds gérés sont fournies via des politiques IAM et non des clés SSH ou autres mécanismes, le temps de connexion est considérablement réduit.

  • Connectez-vous à la fois aux EC2 instances Amazon et aux nœuds non EC2 gérés dans des environnements hybrides et multicloud

    Vous pouvez vous connecter à la fois à des instances Amazon Elastic Compute Cloud (Amazon EC2) et à EC2 des non-nœuds dans votre environnement hybride et multicloud.

    Pour vous connecter à des EC2 non-nœuds en utilisantSession Manager, vous devez d'abord activer le niveau d'instances avancées. L'utilisation du niveau d'instance avancé est payante. Cependant, la connexion aux EC2 instances à l'aide deSession Manager. Pour plus d'informations, consultez Configuration des niveaux d'instance.

  • Réacheminement de port

    Redirigez n'importe quel port de votre nœud géré distant vers un port local sur un client. Après cela, connectez-vous au port local et accédez à l'application serveur qui s'exécute sur le nœud.

  • Prise en charge multiplateforme de Windows, Linux et macOS

    Session Manager prend en charge Windows, Linux et macOS à partir d'un simple outil. Par exemple, vous n'avez pas besoin d'utiliser un client SSH pour les nœuds gérés Linux et macOS, ni une connexion RDP pour les nœuds gérés Windows Server.

  • Journalisation de l’activité de session

    Pour satisfaire aux exigences opérationnelles ou de sécurité de votre organisation, vous pouvez avoir besoin de fournir un enregistrement des différentes connexions à vos nœuds gérés et des commandes qui y ont été exécutées. Vous pouvez également recevoir des notifications lorsqu'un utilisateur de votre organisation démarre ou termine une activité de session.

    Des fonctionnalités de journalisation sont fournies via l’intégration aux Services AWS suivants :

    • AWS CloudTrail— AWS CloudTrail capture les informations relatives aux appels d'Session ManagerAPI effectués dans votre compte Compte AWS et les écrit dans des fichiers journaux qui sont stockés dans un bucket Amazon Simple Storage Service (Amazon S3) que vous spécifiez. Un compartiment est utilisé pour tous les CloudTrail journaux de votre compte. Pour de plus amples informations, veuillez consulter Journalisation des appels d'API AWS Systems Manager avec AWS CloudTrail.

    • Amazon Simple Storage Service : vous pouvez choisir de stocker les données des journaux de session dans le compartiment Amazon S3 de votre choix à des fins de débogage et de résolution des problèmes. Les données des journaux peuvent être envoyées à votre compartiment Amazon S3 avec ou sans chiffrement à l'aide de votre AWS KMS key. Pour de plus amples informations, veuillez consulter Journalisation des données de session avec Amazon S3 (console).

    • Amazon CloudWatch Logs — CloudWatch Logs vous permet de surveiller, de stocker et d'accéder à des fichiers journaux provenant de différents sites Services AWS. Vous pouvez envoyer les données du journal de session à un groupe de CloudWatch journaux de journaux à des fins de débogage et de résolution des problèmes. Les données de journal peuvent être envoyées à votre groupe de journaux avec ou sans AWS KMS chiffrement à l'aide de votre clé KMS. Pour de plus amples informations, veuillez consulter Enregistrement des données de session à l'aide d'Amazon CloudWatch Logs (console).

    • Amazon EventBridge et Amazon Simple Notification Service : vous EventBridge permettent de définir des règles pour détecter les modifications apportées aux AWS ressources que vous spécifiez. Vous pouvez créer une règle pour détecter le démarrage ou l'arrêt d'une session par un utilisateur de votre organisation, puis recevoir une notification via Amazon SNS (par exemple, un SMS ou un e-mail) à propos de l'événement. Vous pouvez également configurer un CloudWatch événement pour lancer d'autres réponses. Pour de plus amples informations, veuillez consulter Surveillance de l'activité de session avec Amazon EventBridge (console).

    Note

    La journalisation n'est pas disponible pour les sessions Session Manager qui se connectent via le réacheminement de port ou SSH. En effet, le protocole SSH chiffre toutes les données de session au sein de la connexion TLS sécurisée établie entre les Session Manager points de terminaison AWS CLI et et sert Session Manager uniquement de tunnel pour les connexions SSH.

À qui est destiné Session Manager ?

  • Tout AWS client qui souhaite améliorer son niveau de sécurité, réduire ses frais opérationnels en centralisant le contrôle d'accès sur les nœuds gérés et réduire l'accès aux nœuds entrants.

  • Les experts en sécurité de l'information qui souhaitent surveiller et suivre l'accès aux nœuds et leur activité, fermer les ports entrants sur les nœuds gérés ou autoriser les connexions à des nœuds gérés sans adresse IP publique.

  • Administrateurs qui souhaitent accorder et révoquer des accès à partir d'un point central, et fournir aux utilisateurs une solution unique pour les nœuds gérés Linux, macOS et Windows Server.

  • Les utilisateurs qui souhaitent se connecter à un nœud géré en un seul clic depuis le navigateur ou AWS CLI sans avoir à fournir de clés SSH.

Quelles sont les principales fonctionnalités Session Manager ?

  • Prise en charge de nœuds gérés Windows Server, Linux et macOS

    Session Managervous permet d'établir des connexions sécurisées avec vos instances Amazon Elastic Compute Cloud (EC2), vos appareils périphériques, vos serveurs sur site et vos machines virtuelles (VMs). Pour obtenir une liste des types de systèmes d'exploitation pris en charge, consultez Configuration de Session Manager.

    Note

    La prise en charge de Session Manager pour les machines sur site est assurée pour le niveau d'instances avancées uniquement. Pour plus d'informations, consultez Activation du niveau d'instances avancées.

  • Accès aux fonctionnalités de Session Manager via la console, l'interface de ligne de commande et le kit SDK

    Vous pouvez utiliser les Session Manager de l'une des façons suivantes :

    La console AWS Systems Manager inclut l'accès à toutes les fonctionnalités de Session Manager pour les administrateurs et les utilisateurs finaux. Vous pouvez effectuer n'importe quelle tâche liée à vos sessions via la console Systems Manager.

    La EC2 console Amazon permet aux utilisateurs finaux de se connecter à des EC2 instances pour lesquelles ils ont obtenu des autorisations de session.

    L'AWS CLI inclut l'accès aux fonctionnalités Session Manager pour les utilisateurs finaux. Vous pouvez démarrer une session, consulter la liste des sessions et y mettre fin définitivement en utilisant le AWS CLI.

    Note

    Pour utiliser les commandes AWS CLI d'exécution de session, vous devez utiliser la version 1.16.12 de la CLI (ou ultérieure) et vous devez avoir installé le Session Manager plug-in sur votre machine locale. Pour plus d'informations, consultez Installation du plug-in Session Manager pour l'AWS CLI. Pour afficher le pluginGitHub, voir session-manager-plugin.

  • Contrôle d'accès IAM

    Les politiques IAM vous permettent de contrôler quels membres de votre organisation peuvent démarrer des sessions sur les nœuds gérés et à quels nœuds ils peuvent accéder. Vous pouvez également fournir un accès temporaire à vos nœuds gérés. Par exemple, vous pouvez accorder à un ingénieur de garde (ou à un groupe d'ingénieurs de garde) l'accès aux serveurs de production uniquement pendant la durée de leur rotation.

  • Prise en charge de la journalisation

    Session Manager vous offre des fonctionnalités d’historique de session de journalisation dans votre Compte AWS via l’intégration à d’autres Services AWS. Pour plus d'informations, consultez Journalisation de l’activité de session et Activation et désactivation de l’enregistrement de la session.

  • Profils de shell configurables

    Session Manager vous propose des options de configuration des préférences de session. Ces profils personnalisables vous permettent de définir des préférences telles que les préférences du shell, les variables d'environnement, les répertoires de travail et l'exécution de plusieurs commandes au démarrage d'une session.

  • Prise en charge du chiffrement des données clés des clients

    Vous pouvez configurer Session Manager pour chiffrer les journaux de données de session que vous envoyez à un bucket Amazon Simple Storage Service (Amazon S3) ou que vous diffusez vers CloudWatch un groupe de journaux de journaux. Vous pouvez également configurer Session Manager pour chiffrer davantage les données transmises entre les ordinateurs clients et vos nœuds gérés pendant vos sessions. Pour obtenir des informations, consultez Activation et désactivation de l’enregistrement de la session et Configurer les préférences de session.

  • AWS PrivateLink prise en charge des nœuds gérés sans adresses IP publiques

    Vous pouvez également configurer des points de terminaison VPC pour Systems Manager afin de AWS PrivateLink sécuriser davantage vos sessions. AWS PrivateLink limite tout le trafic réseau entre vos nœuds gérés, Systems Manager et Amazon EC2 vers le réseau Amazon. Pour plus d'informations, consultez Améliorer la sécurité des EC2 instances en utilisant des points de terminaison VPC pour Systems Manager.

  • Tunnelisation

    Dans une session, utilisez un document de type session AWS Systems Manager (SSM) pour canaliser le trafic, tel que le protocole HTTP ou un protocole personnalisé, entre un port local sur un ordinateur client et un port distant sur un nœud géré.

  • Commandes interactives

    Créez un document SSM de type session qui utilise une session pour exécuter de manière interactive une seule commande, ce qui vous permet de gérer les opérations pouvant être effectuées par les utilisateurs sur un nœud géré.

Qu'est-ce qu'une session ?

Une session est une connexion établie à un nœud géré en utilisant Session Manager. Les sessions sont basées sur un canal de communication bidirectionnel sécurisé entre le client (vous) et l'instance gérée à un nœud géré qui diffuse les entrées et les sorties pour les commandes. Le trafic entre un client et un nœud géré est chiffré via TLS 1.2, et les demandes de création de la connexion sont signées via Sigv4. Cette communication bidirectionnelle permet le bash interactif et PowerShell l'accès aux nœuds gérés. Vous pouvez également utiliser une clé AWS Key Management Service (AWS KMS) pour chiffrer davantage les données au-delà du chiffrement TLS par défaut.

Supposons par exemple que John est un ingénieur de garde dans votre service informatique. Il reçoit la notification d'un problème qui lui exige de se connecter à distance à un nœud géré. Il peut s'agir par exemple d'une panne qui nécessite d'être réparée, ou d'une directive pour modifier une option de configuration simple sur un nœud. À l' AWS Systems Manager aide de la EC2 console, de la console Amazon ou du AWS CLI, John démarre une session le connectant au nœud géré, exécute des commandes sur le nœud nécessaire pour effectuer la tâche, puis met fin à la session.

Lorsque John envoie la première commande pour démarrer la session, le service Session Manager authentifie son ID, vérifie les autorisations qui lui ont été accordées par une politique IAM, vérifie les paramètres de configuration (par exemple, les limites autorisées pour les sessions), et envoie un message à l'SSM Agent pour ouvrir la connexion bidirectionnelle. Une fois la connexion établie et après que John ait saisi la commande suivante, le résultat de la commande de l'SSM Agent est chargé vers ce canal de communication et renvoyé vers son ordinateur local.

Rubriques