• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la documentation Amazon CloudWatch Dashboard.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l'accès juste à temps avec Systems Manager
La configuration de l’accès aux nœuds en flux tendu avec Systems Manager impliquait plusieurs étapes. Vous devez d’abord choisir les cibles pour lesquelles vous souhaitez configurer l’accès aux nœuds en flux tendu. Les cibles comprennent les unités AWS Organizations organisationnelles (UO) et Régions AWS. Par défaut, les mêmes cibles que celles que vous avez choisies lors de la configuration de la console unifiée Systems Manager sont sélectionnées pour l'accès aux nœuds juste à temps. Vous pouvez choisir de configurer l'accès aux nœuds juste à temps pour toutes les mêmes cibles ou pour un sous-ensemble des cibles que vous avez spécifiées lors de la configuration de la console unifiée Systems Manager. L'ajout de nouvelles cibles qui n'ont pas été sélectionnées lors de la configuration de la console unifiée Systems Manager n'est pas pris en charge.
Vous allez ensuite créer des politiques d’approbation pour déterminer quand les connexions aux nœuds nécessitent une approbation manuelle et sont automatiquement approuvées. Les politiques d’approbation sont gérées par chaque compte de votre organisation. Vous pouvez également partager une politique depuis le compte d’administrateur délégué pour refuser explicitement l’approbation automatique des connexions à des nœuds spécifiques.
Note
La configuration de l’accès aux nœuds en flux tendu n’affecte pas les politiques ou préférences IAM existantes que vous avez configurées pour Session Manager. Vous devez supprimer l’autorisation pour l’action d’API StartSession dans vos politiques IAM afin de garantir que seul l’accès en flux tendu est utilisé lorsque les utilisateurs tentent de se connecter à vos nœuds. Après avoir configuré l’accès aux nœuds en flux tendu, nous vous recommandons de tester vos politiques d’approbation auprès d’un sous-ensemble d’utilisateurs et de nœuds afin de vérifier que vos politiques fonctionnent comme vous le souhaitez avant de supprimer les autorisations de Session Manager.
Prise en charge de l'authentification
Notez les informations suivantes concernant la prise en charge de l’authentification utilisée pour l’accès aux nœuds en flux tendu :
-
Just-in-time l'accès aux nœuds ne prend pas en charge le type Sign-On d'authentification unique lors de la connexion à Windows Server des instances avec Remote Desktop.
-
Seules AWS Security Token Service (AWS STS) les informations d'identification de sécurité
AssumeRoletemporaires sont prises en charge. Pour plus d’informations, consultez les rubriques suivantes dans le Guide de l’utilisateur IAM :
Les politiques IAM suivantes décrivent les autorisations nécessaires pour administrer et permettre aux utilisateurs de créer des demandes d’accès aux nœuds en flux tendu avec Systems Manager. Après avoir vérifié que vous disposez des autorisations requises pour utiliser l’accès aux nœuds en flux tendu avec Systems Manager, vous pouvez poursuivre le processus de configuration. Remplacez chaque example resource
placeholder par vos propres informations.
Note
Pour restreindre l’accès aux opérations d’API qui créent, mettent à jour ou suppriment des politiques d’approbation, utilisez la clé de condition ssm:DocumentType pour les types de document AutoApprovalPolicy et ManualApprovalPolicy . Les opérations d’API StartAccessRequest et GetAccessToken ne prennent pas en charge les clés de contexte globales suivantes :
-
aws:SourceVpc -
aws:SourceVpce -
aws:VpcSourceIp -
aws:UserAgent -
aws:MultiFactorAuthPresent
Pour plus d’informations sur les clés de contexte de condition pour Systems Manager, consultez la section Clés de condition pour AWS Systems Manager dans la Référence de l’autorisation de service.
La procédure suivante décrit comment effectuer la première étape de configuration pour l’accès aux nœuds en flux tendu.
Pour configurer l’accès aux nœuds en flux tendu
-
Connectez-vous au compte d’administrateur délégué de Systems Manager pour votre organisation.
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. -
Sélectionnez l'accès aux Just-in-time nœuds dans le volet de navigation.
-
Sélectionnez Activer la console unifiée.
-
Sélectionnez les régions dans lesquelles vous souhaitez activer l’accès aux nœuds en flux tendu. Par défaut, les régions que vous avez choisies lors de la configuration de la console unifiée Systems Manager sont sélectionnées pour l’accès aux nœuds en flux tendu. Le choix de nouvelles régions qui n’étaient pas sélectionnées lors de la configuration de la console unifiée Systems Manager n’est pas pris en charge.
-
Sélectionnez Activer l’accès aux nœuds en flux tendu.
L’utilisation de l’accès aux nœuds en flux tendu pendant 30 jours après l’activation de la fonctionnalité est gratuite. Après la période d’essai de 30 jours, l’accès aux nœuds en flux tendu est payant. Pour plus d’informations, consultez AWS Systems Manager Tarification
