Passage à l'accès aux just-in-time nœuds depuis Session Manager - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Passage à l'accès aux just-in-time nœuds depuis Session Manager

Lorsque vous activez l'accès aux just-in-time nœuds, Systems Manager n'apporte aucune modification à vos ressources existantes pour Session Manager. Cela garantit que votre environnement existant n'est pas perturbé et que les utilisateurs peuvent continuer à démarrer des sessions pendant que vous créez et validez des politiques d'approbation. Une fois que vous êtes prêt à tester vos politiques d'approbation, vous devez modifier vos politiques IAM existantes pour terminer la transition vers l'accès aux just-in-time nœuds. Cela inclut l'ajout des autorisations requises pour l'accès des just-in-time nœuds aux identités et la suppression des autorisations pour le fonctionnement de l'StartSessionAPI pour Session Manager. Nous vous recommandons de tester les politiques d'approbation avec un sous-ensemble d'identités et de nœuds dans un Compte AWS et Région AWS.

Pour plus d'informations sur les autorisations requises pour accéder aux just-in-time nœuds, consultezConfiguration de just-in-time l'accès avec Systems Manager.

Pour plus d'informations sur la modification des autorisations IAM associées à l'identité, consultez la section Ajouter et supprimer des autorisations d'identité IAM dans le Guide de l'utilisateur IAM.

Ce qui suit décrit une méthode détaillée permettant de passer à l'accès aux just-in-time nœuds à partir de Session Manager.

Le passage du gestionnaire de session à l'accès aux just-in-time nœuds nécessite une planification et des tests minutieux afin de garantir une transition fluide sans perturber vos opérations. Les sections suivantes décrivent comment effectuer ce processus.

Prérequis

Avant de commencer, assurez-vous d'avoir effectué les tâches suivantes :

  • Configurez la console unifiée Systems Manager.

  • Vous avez vérifié que vous êtes autorisé à modifier les politiques IAM de votre compte.

  • Identification de toutes les politiques et de tous les rôles IAM actuellement accordés Session Manager autorisations.

  • A documenté votre situation actuelle Session Manager configuration, y compris les préférences de session et les paramètres de journalisation.

Évaluation

Évaluez votre environnement actuel et définissez les comportements d'approbation souhaités en effectuant les tâches suivantes :

  1. Inventaire de vos nœuds : identifiez tous les nœuds auxquels les utilisateurs accèdent actuellement Session Manager.

  2. Identifiez les modèles d'accès des utilisateurs : documentez quels utilisateurs ou rôles ont besoin d'accéder à quels nœuds et dans quelles circonstances.

  3. Cartographiez les flux de travail d'approbation : déterminez qui doit approuver les demandes d'accès pour les différents types de nœuds.

  4. Passez en revue la stratégie de balisage : assurez-vous que vos nœuds sont correctement étiquetés pour prendre en charge vos politiques d'approbation planifiées.

  5. Audit des politiques IAM existantes - Identifiez toutes les politiques qui incluent Session Manager autorisations.

Planification

Stratégie progressive

Lorsque vous passez de Session Manager pour accéder aux just-in-time nœuds, nous vous recommandons d'utiliser une approche progressive telle que la suivante :

  1. Phase 1 : Installation et configuration - Activer l'accès aux just-in-time nœuds sans modifier les nœuds existants Session Manager autorisations.

  2. Phase 2 : élaboration de politiques - Créez et testez des politiques d'approbation pour vos nœuds.

  3. Phase 3 : migration pilote - Modifiez un petit groupe de nœuds et d'utilisateurs ou de rôles non critiques depuis Session Manager à l'accès aux just-in-time nœuds.

  4. Phase 4 : Migration complète - Migrez progressivement tous les nœuds et utilisateurs ou rôles restants.

Considérations relatives au calendrier

Tenez compte des facteurs suivants lors de la création de votre chronologie à partir de laquelle vous souhaitez passer Session Manager à l'accès au just-in-time nœud :

  • Prévoyez du temps pour la formation des utilisateurs et l'adaptation au nouveau flux de travail d'approbation.

  • Planifiez les migrations pendant les périodes de faible activité opérationnelle.

  • Incluez le temps tampon pour le dépannage et les ajustements.

  • Prévoyez une période de fonctionnement parallèle pendant laquelle les deux systèmes seront disponibles.

Étapes d’implémentation

Phase 1 : Installation et configuration

  1. Activez l'accès aux just-in-time nœuds dans la console Systems Manager. Pour obtenir des instructions complètes, consultez Configuration de just-in-time l'accès avec Systems Manager.

  2. Configurez les préférences de session pour l'accès aux just-in-time nœuds en fonction de vos préférences actuelles Session Manager paramètres. Pour de plus amples informations, veuillez consulter Mettre à jour les préférences de session d'accès aux just-in-time nœuds.

  3. Configurez les préférences de notification pour les demandes d'accès. Pour de plus amples informations, veuillez consulter Configuration des notifications pour les demandes just-in-time d'accès.

  4. Si vous utilisez des connexions RDP pour Windows Server nœuds, configurez l'enregistrement RDP. Pour de plus amples informations, veuillez consulter Enregistrement des connexions RDP.

Phase 2 : Élaboration de politiques

  1. Créez des politiques IAM pour les administrateurs et les utilisateurs d'accès aux just-in-time nœuds.

  2. Développez des politiques d'approbation en fonction de vos exigences de sécurité et de votre cas d'utilisation.

  3. Testez vos politiques dans un environnement hors production pour vous assurer qu'elles fonctionnent comme prévu.

Phase 3 : migration pilote

  1. Sélectionnez un petit groupe d'utilisateurs et de nœuds non critiques pour le projet pilote.

  2. Créez de nouvelles politiques IAM pour les utilisateurs pilotes qui incluent des autorisations d'accès aux just-in-time nœuds.

  3. Remove (suppression) Session Manager autorisations (ssm:StartSession) issues des politiques IAM des utilisateurs pilotes.

  4. Formez les utilisateurs pilotes au nouveau flux de travail des demandes d'accès.

  5. Surveillez le pilote pour détecter les problèmes et collectez des commentaires.

  6. Ajustez les politiques et les procédures en fonction des résultats du projet pilote.

Exemple de modification de la politique IAM pour les utilisateurs pilotes

Politique initiale avec Session Manager autorisations :

{
                      "Version": "2012-10-17",
                      "Statement": [
                          {
                              "Effect": "Allow",
                              "Action": [
                                  "ssm:StartSession",
                                  "ssm:ResumeSession",
                                  "ssm:TerminateSession"
                              ],
                              "Resource": "*"
                          }
                      ]
                  }

Politique modifiée pour l'accès aux just-in-time nœuds :

{
                      "Version": "2012-10-17",
                      "Statement": [
                          {
                              "Effect": "Allow",
                              "Action": [
                                  "ssm:StartAccessRequest",
                                  "ssm:GetAccessToken",
                                  "ssm:ResumeSession",
                                  "ssm:TerminateSession"
                              ],
                              "Resource": "*"
                          }
                      ]
                  }

Phase 4 : Migration complète

Élaborez un calendrier pour la migration par lots des utilisateurs et des nœuds restants.

Méthodologie de test

Tout au long du processus de migration, effectuez les tests suivants :

  • Validation des politiques : vérifiez que les politiques d'approbation s'appliquent correctement aux nœuds et aux utilisateurs prévus.

  • Flux de travail des demandes d'accès : testez l'ensemble du flux de travail, de la demande d'accès à l'établissement de la session, pour les scénarios d'approbation automatique et d'approbation manuelle.

  • Notifications - Vérifiez que les approbateurs reçoivent les notifications via les canaux configurés (e-mail, Slack, Microsoft Teams).

  • Journalisation et surveillance : vérifiez que les journaux de session et les demandes d'accès sont correctement capturés et stockés.

Les meilleures pratiques pour une migration réussie

  • Communiquez tôt et souvent : informez les utilisateurs du calendrier de migration et des avantages de l'accès aux just-in-time nœuds.

  • Commencez par les systèmes non critiques : commencez la migration par des environnements de développement ou de test avant de passer à la production.

  • Tout documenter : conservez des enregistrements détaillés de vos politiques d'approbation, des modifications des politiques IAM et des paramètres de configuration.

  • Surveiller et ajuster - Surveillez en permanence les demandes d'accès et les flux de travail d'approbation, en ajustant les politiques selon les besoins.

  • Établissez une gouvernance : créez un processus permettant de revoir et de mettre à jour régulièrement les politiques d'approbation en fonction de l'évolution de votre environnement.