AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accès aux nœuds en flux tendu avec Systems Manager
Systems Manager vous aide à améliorer la sécurité de vos nœuds en prenant en charge l’accès en flux tendu. L’accès juste aux nœuds en flux tendu permet aux utilisateurs de demander un accès temporaire et limité dans le temps aux nœuds, que vous pouvez approuver lorsque cet accès est réellement nécessaire. Il n’est donc plus nécessaire de fournir un accès de longue durée aux nœuds gérés par les politiques IAM. En outre, Systems Manager fournit un enregistrement de session pour les sessions RDP vers les nœuds Windows Server afin de vous aider à répondre aux exigences de conformité, à effectuer une analyse de la cause racine, etc. Pour utiliser l’accès aux nœuds en flux tendu, vous devez configurer la console unifiée Systems Manager.
Avec l’accès aux nœuds en flux tendu, vous créez des politiques IAM granulaires pour garantir que seuls les utilisateurs autorisés peuvent soumettre des demandes d’accès à vos nœuds. Vous créez ensuite des politiques d’approbation qui définissent les approbations requises pour vous connecter à vos nœuds. Pour l’accès aux nœuds en flux tendu, il existe des politiques d’approbation automatique et des politiques d’approbation manuelle. Une politique d’approbation automatique définit les nœuds auxquels les utilisateurs peuvent se connecter automatiquement. Les politiques d’approbation manuelle définissent le nombre et les niveaux d’approbations manuelles qui doivent être fournis pour accéder aux nœuds que vous spécifiez. Vous pouvez également créer une politique de refus d’accès. Une politique de refus d’accès empêche explicitement l’approbation automatique des demandes d’accès aux nœuds que vous spécifiez. Une politique de refus d’accès s’applique à tous les comptes d’une organisation AWS Organizations. Les politiques d’approbation automatique et d’approbation manuelle s’appliquent uniquement aux Comptes AWS et Régions AWS où elles ont été créées.
Lorsqu’un utilisateur tente de se connecter à un nœud, il est invité à saisir le motif de son accès au nœud. Vos politiques d’approbation sont ensuite évaluées. Selon vos politiques, les utilisateurs se connectent automatiquement au nœud cible, ou Systems Manager crée automatiquement une demande d’approbation manuelle au nom du demandeur. Les approbateurs spécifiés dans la politique d’approbation manuelle qui s’applique au nœud sont ensuite informés de la demande d’accès et peuvent approuver ou refuser la demande. Les approbateurs et demandeurs peuvent être avertis par e-mail ou via Amazon Q Developer dans le cadre de l’intégration des applications de chat à Slack ou Microsoft Teams. Systems Manager n’accorde l’accès aux nœuds demandés que lorsque les approbateurs spécifiés fournissent toutes les approbations requises. Une fois que toutes les approbations requises ont été reçues, l’utilisateur peut démarrer autant de sessions sur le nœud que nécessaire pendant la durée de la fenêtre d’accès spécifiée dans la politique d’approbation. Systems Manager ne met pas automatiquement fin aux sessions d’accès aux nœuds en flux tendu. Il est recommandé de spécifier des valeurs pour la durée maximale de session et les préférences de délai d’inactivité des sessions. Ces préférences empêchent les utilisateurs de rester connectés aux nœuds au-delà de leur fenêtre d’accès approuvée.
Nous vous recommandons d’utiliser une combinaison de politiques d’approbation pour vous aider à sécuriser les nœuds contenant des données plus critiques tout en permettant aux utilisateurs de se connecter à des nœuds moins critiques sans intervention. Par exemple, vous pouvez exiger des approbations manuelles pour les demandes d’accès aux nœuds de base de données et approuver automatiquement les sessions pour les nœuds de niveau présentation non persistants.
Systems Manager prend en charge l’accès aux nœuds en flux tendu pour les utilisateurs fédérés avec IAM Identity Center ou IAM. Lorsqu’un utilisateur fédéré soumet une demande d’accès, il indique le nœud cible et la raison pour laquelle il doit se connecter au nœud. Systems Manager compare l’identité de l’utilisateur aux paramètres définis dans les politiques d’approbation de votre organisation. Lorsque les conditions de la politique d’approbation automatique sont remplies ou que les approbateurs fournissent manuellement des approbateurs, le demandeur peut se connecter au nœud cible. Lorsqu’un utilisateur tente de se connecter à un nœud approuvé, Systems Manager crée et utilise un jeton temporaire pour établir la session.
Étant donné que le service Systems Manager gère l’authentification des demandes d’accès et l’établissement des sessions, vous n’avez pas besoin d’utiliser les politiques IAM pour gérer l’accès à vos nœuds. En utilisant l’accès aux nœuds en flux tendu, Systems Manager aide votre organisation à se rapprocher de l’absence de privilèges permanents, car il vous suffit d’autoriser les utilisateurs à créer des demandes d’accès au lieu de les autoriser à démarrer des sessions avec des autorisations persistantes sur vos nœuds. Pour vous aider à répondre aux exigences de conformité, Systems Manager conserve toutes les demandes d’accès pendant un an. Systems Manager émet également des événements EventBridge pour un accès aux nœuds en flux tendu en cas d’échec des demandes d’accès et des mises à jour de statut pour les demandes d’accès soumises à des approbations manuelles. Pour de plus amples informations, consultez Surveillance d'événements Systems Manager avec Amazon EventBridge.
Rubriques
