• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Systems Manager Session Manager
Session Manageradalah AWS Systems Manager alat yang dikelola sepenuhnya. DenganSession Manager, Anda dapat mengelola instans Amazon Elastic Compute Cloud (Amazon EC2), perangkat edge, server lokal, dan mesin virtual (). VMs Anda dapat menggunakan shell berbasis browser satu-klik interaktif atau (). AWS Command Line Interface AWS CLISession Managermenyediakan manajemen node yang aman tanpa perlu membuka port masuk, memelihara host bastion, atau mengelola kunci SSH. Session Managerjuga memungkinkan Anda untuk mematuhi kebijakan perusahaan yang memerlukan akses terkontrol ke node terkelola, praktik keamanan yang ketat, dan log dengan detail akses node, sambil memberikan pengguna akhir akses lintas platform satu klik sederhana ke node terkelola Anda. Untuk memulaiSession Manager, buka [konsol Systems Manager](https://console.aws.amazon.com/systems-manager/session-manager). Di panel navigasi, pilih **Session Manager**.
## Bagaimana bisa Session Manager menguntungkan organisasi saya?
Session Managermenawarkan manfaat ini:
+ **Kontrol akses terpusat ke node terkelola menggunakan kebijakan IAM**
Administrator memiliki satu tempat untuk memberikan dan mencabut akses ke node terkelola. Dengan hanya menggunakan kebijakan AWS Identity and Access Management (IAM), Anda dapat mengontrol pengguna atau grup individu mana di organisasi Anda yang dapat digunakan Session Manager dan node terkelola mana yang dapat mereka akses.
+ **Tidak ada port masuk yang terbuka dan tidak perlu mengelola host bastion atau kunci SSH**
Membiarkan port SSH masuk dan PowerShell port jarak jauh terbuka di node terkelola Anda sangat meningkatkan risiko entitas menjalankan perintah yang tidak sah atau berbahaya pada node yang dikelola. Session Managermembantu Anda meningkatkan postur keamanan Anda dengan membiarkan Anda menutup port masuk ini, membebaskan Anda dari mengelola kunci dan sertifikat SSH, host benteng, dan kotak lompat.
+ **Akses sekali klik ke node terkelola dari konsol dan CLI**
Menggunakan AWS Systems Manager konsol atau konsol Amazon EC2, Anda dapat memulai sesi dengan satu klik. Dengan menggunakan AWS CLI, Anda juga dapat memulai sesi yang menjalankan satu perintah atau urutan perintah. Karena izin untuk node terkelola disediakan melalui kebijakan IAM alih-alih kunci SSH atau mekanisme lainnya, waktu koneksi sangat berkurang.
+ **[Connect ke instans Amazon EC2 dan node terkelola non-EC2 di lingkungan hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types)**
[Anda dapat terhubung ke instans Amazon Elastic Compute Cloud (Amazon EC2) dan node non-EC2 di lingkungan hybrid dan multicloud Anda.](operating-systems-and-machine-types.md#supported-machine-types)
Untuk terhubung ke node non-EC2 menggunakanSession Manager, Anda harus terlebih dahulu mengaktifkan tingkat instance lanjutan. **Ada biaya untuk menggunakan tingkat instance lanjutan.** Namun, tidak ada biaya tambahan untuk terhubung ke instans EC2 menggunakan. Session Manager Untuk informasi, lihat [Mengonfigurasi tingkat instans](fleet-manager-configure-instance-tiers.md).
+ **Penerusan port**
Arahkan ulang port apa pun di dalam node terkelola Anda ke port lokal pada klien. Setelah itu, sambungkan ke port lokal dan akses aplikasi server yang berjalan di dalam node.
+ **Dukungan lintas platform untukWindows,Linux, dan macOS**
Session Managermemberikan dukungan untukWindows,Linux, dan macOS dari satu alat. Misalnya, Anda tidak perlu menggunakan klien SSH untuk Linux dan macOS mengelola node atau koneksi RDP untuk Windows Server node terkelola.
+ **Aktivitas sesi logging**
Untuk memenuhi persyaratan operasional atau keamanan di organisasi Anda, Anda mungkin perlu memberikan catatan koneksi yang dibuat ke node terkelola dan perintah yang dijalankan pada node tersebut. Anda juga dapat menerima pemberitahuan jika pengguna di organisasi Anda memulai atau mengakhiri aktivitas sesi.
Kemampuan logging disediakan melalui integrasi dengan yang berikut Layanan AWS:
+ **AWS CloudTrail**— AWS CloudTrail menangkap informasi tentang panggilan Session Manager API yang dilakukan di Anda Akun AWS dan menuliskannya ke file log yang disimpan di bucket Amazon Simple Storage Service (Amazon S3) S3 yang Anda tentukan. Satu ember digunakan untuk semua CloudTrail log untuk akun Anda. Untuk informasi selengkapnya, lihat [Pencatatan panggilan AWS Systems Manager API dengan AWS CloudTrail](monitoring-cloudtrail-logs.md).
+ **Amazon Simple Storage Service**— Anda dapat memilih untuk menyimpan data log sesi dalam bucket Amazon S3 menurut pilihan Anda untuk tujuan debugging dan pemecahan masalah. Data log dapat dikirim ke bucket Amazon S3 Anda dengan atau tanpa enkripsi menggunakan AWS KMS key Anda. Untuk informasi selengkapnya, lihat [Log data sesi menggunakan Amazon S3 (konsol)](session-manager-logging-s3.md).
+ **Amazon CloudWatch Logs** — CloudWatch Log memungkinkan Anda untuk memantau, menyimpan, dan mengakses file log dari berbagai Layanan AWS. Anda dapat mengirim data log sesi ke grup CloudWatch log Log untuk tujuan debugging dan pemecahan masalah. Data log dapat dikirim ke grup log Anda dengan atau tanpa AWS KMS enkripsi menggunakan kunci KMS Anda. Untuk informasi selengkapnya, lihat [Data sesi logging menggunakan Amazon CloudWatch Logs (konsol)](session-manager-logging-cloudwatch-logs.md).
+ **Amazon EventBridge** dan **Amazon Simple Notification Service** - EventBridge memungkinkan Anda mengatur aturan untuk mendeteksi kapan perubahan terjadi pada AWS sumber daya yang Anda tentukan. Anda dapat membuat aturan untuk mendeteksi ketika pengguna di organisasi Anda memulai atau menghentikan sesi, dan kemudian menerima pemberitahuan melalui Amazon SNS (misalnya, pesan teks atau email) tentang acara tersebut. Anda juga dapat mengonfigurasi CloudWatch acara untuk memulai tanggapan lain. Untuk informasi selengkapnya, lihat [Memantau aktivitas sesi menggunakan Amazon EventBridge (konsol)](session-manager-auditing.md#session-manager-auditing-eventbridge-events).
**catatan**
Logging tidak tersedia untuk Session Manager sesi yang terhubung melalui port forwarding atau SSH. Ini karena SSH mengenkripsi semua data sesi dalam koneksi TLS aman yang dibuat antara titik akhir dan Session Manager titik akhir, AWS CLI dan Session Manager hanya berfungsi sebagai terowongan untuk koneksi SSH.
## Siapa yang harus menggunakanSession Manager?
+ Setiap AWS pelanggan yang ingin meningkatkan postur keamanan mereka, mengurangi overhead operasional dengan memusatkan kontrol akses pada node yang dikelola, dan mengurangi akses node masuk.
+ Pakar Keamanan Informasi yang ingin memantau dan melacak akses dan aktivitas node terkelola, menutup port masuk pada node terkelola, atau mengizinkan koneksi ke node terkelola yang tidak memiliki alamat IP publik.
+ Administrator yang ingin memberikan dan mencabut akses dari satu lokasi, dan yang ingin memberikan satu solusi kepada pengguna untuk LinuxmacOS, dan Windows Server node terkelola.
+ Pengguna yang ingin terhubung ke node terkelola hanya dengan satu klik dari browser atau AWS CLI tanpa harus memberikan kunci SSH.
## Apa saja fitur utamaSession Manager?
+ **Support untukWindows Server, Linux dan node macOS terkelola**
Session Managermemungkinkan Anda membuat sambungan aman ke instans Amazon Elastic Compute Cloud (EC2), perangkat edge, server lokal, dan mesin virtual (). VMs Untuk daftar tipe sistem operasi yang didukung, lihat [Mengatur Session Manager](session-manager-getting-started.md).
**catatan**
Session Managerdukungan untuk mesin lokal disediakan hanya untuk tingkat instance lanjutan. Untuk informasi, lihat [Mengaktifkan tingkat instans lanjutan](fleet-manager-enable-advanced-instances-tier.md).
+ **Konsol, CLI, dan akses SDK ke kemampuan Session Manager**
Anda dapat bekerja dengan Session Manager cara-cara berikut:
**AWS Systems Manager Konsol** mencakup akses ke semua Session Manager kemampuan untuk administrator dan pengguna akhir. Anda dapat melakukan tugas apa pun yang berkaitan dengan sesi Anda dengan menggunakan konsol Systems Manager.
Konsol Amazon EC2 menyediakan kemampuan bagi pengguna akhir untuk terhubung ke instans EC2 yang telah diberikan izin sesi.
**AWS CLI**Termasuk akses ke Session Manager kemampuan untuk pengguna akhir. Anda dapat memulai sesi, melihat daftar sesi, dan mengakhiri sesi secara permanen dengan menggunakan AWS CLI.
**catatan**
Untuk menggunakan perintah AWS CLI to run session, Anda harus menggunakan versi 1.16.12 dari CLI (atau yang lebih baru), dan Anda harus menginstal Session Manager plugin di mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md). Untuk melihat pluginGitHub, lihat [session-manager-plugin](https://github.com/aws/session-manager-plugin).
+ **Kontrol akses IAM**
Melalui penggunaan kebijakan IAM, Anda dapat mengontrol anggota organisasi mana yang dapat memulai sesi ke node terkelola dan node mana yang dapat mereka akses. Anda juga dapat memberikan akses sementara ke node terkelola Anda. Misalnya, Anda mungkin ingin memberikan insinyur on-call (atau sekelompok insinyur on-call) akses ke server produksi hanya selama durasi rotasi mereka.
+ **Dukungan logging**
Session Managermemberi Anda opsi untuk mencatat riwayat sesi di Anda Akun AWS melalui integrasi dengan sejumlah lainnya Layanan AWS. Untuk informasi selengkapnya, lihat [Aktivitas sesi pencatatan](session-manager-auditing.md) dan [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md).
+ **Profil shell yang dapat dikonfigurasi**
Session Managermemberi Anda opsi untuk mengonfigurasi preferensi dalam sesi. Profil yang dapat disesuaikan ini mengizinkan Anda untuk menentukan preferensi seperti preferensi shell, variabel lingkungan, direktori kerja, dan menjalankan beberapa perintah ketika sesi dimulai.
+ **Dukungan enkripsi data kunci pelanggan**
Anda dapat mengonfigurasi Session Manager untuk mengenkripsi log data sesi yang Anda kirim ke bucket Amazon Simple Storage Service (Amazon S3) atau streaming ke grup log Log. CloudWatch Anda juga dapat mengonfigurasi Session Manager untuk mengenkripsi lebih lanjut data yang dikirimkan antara mesin klien dan node terkelola Anda selama sesi Anda. Untuk informasi, lihat [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md) dan [ Mengkonfigurasi preferensi sesi](session-manager-getting-started-configure-preferences.md).
+ **AWS PrivateLink dukungan untuk node terkelola tanpa alamat IP publik**
Anda juga dapat mengatur Titik Akhir VPC untuk Systems Manager AWS PrivateLink untuk mengamankan sesi Anda lebih lanjut. AWS PrivateLink membatasi semua lalu lintas jaringan antara node terkelola, Systems Manager, dan Amazon EC2 ke jaringan Amazon. Untuk informasi selengkapnya, lihat [Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk](setup-create-vpc.md) Systems Manager.
+ **Terowongan**
Dalam sesi, gunakan dokumen Session-type AWS Systems Manager (SSM) untuk mengarahkan lalu lintas, seperti http atau protokol kustom, antara port lokal pada mesin klien dan port jarak jauh pada node terkelola.
+ **Perintah interaktif**
Buat dokumen SSM tipe sesi yang menggunakan sesi untuk menjalankan satu perintah secara interaktif, memberi Anda cara untuk mengelola apa yang dapat dilakukan pengguna pada node terkelola.
## Apa itu sesi?
Sesi adalah koneksi yang dibuat ke node terkelola menggunakanSession Manager. Sesi didasarkan pada saluran komunikasi dua arah yang aman antara klien (Anda) dan node terkelola jarak jauh yang mengalirkan input dan output untuk perintah. Lalu lintas antara klien dan node terkelola dienkripsi menggunakan TLS 1.2, dan permintaan untuk membuat koneksi ditandatangani menggunakan Sigv4. Komunikasi dua arah ini memungkinkan bash interaktif dan PowerShell akses ke node terkelola. Anda juga dapat menggunakan kunci AWS Key Management Service (AWS KMS) untuk mengenkripsi data lebih lanjut di luar enkripsi TLS default.
Misalnya, katakanlah bahwa John adalah insinyur on-call di departemen IT Anda. Dia menerima pemberitahuan tentang masalah yang mengharuskannya terhubung dari jarak jauh ke node yang dikelola, seperti kegagalan yang memerlukan pemecahan masalah atau arahan untuk mengubah opsi konfigurasi sederhana pada node. Menggunakan AWS Systems Manager konsol, konsol Amazon EC2, atau AWS CLI, John memulai sesi yang menghubungkannya ke node terkelola, menjalankan perintah pada node yang diperlukan untuk menyelesaikan tugas, dan kemudian mengakhiri sesi.
Ketika John mengirim perintah pertama untuk memulai sesi, Session Manager layanan mengotentikasi ID-nya, memverifikasi izin yang diberikan kepadanya oleh kebijakan IAM, memeriksa pengaturan konfigurasi (seperti memverifikasi batas yang diizinkan untuk sesi), dan mengirim pesan SSM Agent ke untuk membuka koneksi dua arah. Setelah koneksi dibuat dan John mengetik perintah berikutnya, output perintah dari SSM Agent diunggah ke saluran komunikasi ini dan dikirim kembali ke mesin lokalnya.
**Topics**
+ [Bagaimana bisa Session Manager menguntungkan organisasi saya?](#session-manager-benefits)
+ [Siapa yang harus menggunakanSession Manager?](#session-manager-who)
+ [Apa saja fitur utamaSession Manager?](#session-manager-features)
+ [Apa itu sesi?](#what-is-a-session)
+ [Mengatur Session Manager](session-manager-getting-started.md)
+ [Bekerja dengan Session Manager](session-manager-working-with.md)
+ [Aktivitas sesi pencatatan](session-manager-auditing.md)
+ [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md)
+ [Skema dokumen sesi](session-manager-schema.md)
+ [Pemecahan Masalah Session Manager](session-manager-troubleshooting.md)
# Mengatur Session Manager
Sebelum Anda menggunakan AWS Systems Manager Session Manager untuk terhubung ke node terkelola di akun Anda, selesaikan langkah-langkah dalam topik berikut.
**Topics**
+ [Langkah 1: Session Manager Prasyarat lengkap](session-manager-prerequisites.md)
+ [Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager](session-manager-getting-started-instance-profile.md)
+ [Langkah 3: Kontrol akses sesi ke node yang dikelola](session-manager-getting-started-restrict-access.md)
+ [Langkah 4: Konfigurasi preferensi sesi](session-manager-getting-started-configure-preferences.md)
+ [Langkah 5: (Opsional) Batasi akses ke perintah dalam sesi](session-manager-restrict-command-access.md)
+ [Langkah 6: (Opsional) Gunakan AWS PrivateLink untuk mengatur titik akhir VPC untuk Session Manager](session-manager-getting-started-privatelink.md)
+ [Langkah 7: (Opsional) Aktifkan atau nonaktifkan izin administratif akun ssm-user](session-manager-getting-started-ssm-user-permissions.md)
+ [Langkah 8: (Opsional) Izinkan dan kontrol izin untuk koneksi SSH melalui Session Manager](session-manager-getting-started-enable-ssh-connections.md)
# Langkah 1: Session Manager Prasyarat lengkap
Sebelum menggunakanSession Manager, pastikan lingkungan Anda memenuhi persyaratan berikut.
**Prasyarat Session Manager**
| Persyaratan | Deskripsi |
| --- | --- |
| Sistem operasi yang didukung | Session Manager*mendukung koneksi ke instans Amazon Elastic Compute Cloud (Amazon EC2), selain mesin non-EC2 di lingkungan [hybrid dan multicloud Anda](operating-systems-and-machine-types.md#supported-machine-types) yang menggunakan tingkat instans lanjutan.* Session Managermendukung versi sistem operasi berikut: Session Manager*mendukung instans EC2, perangkat edge, dan server lokal serta mesin virtual (VMs) di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) Anda yang menggunakan tingkat instans lanjutan.* Untuk informasi selengkapnya tentang instans lanjutan, lihat [Mengonfigurasi tingkat instans](fleet-manager-configure-instance-tiers.md). **Linux dan **macOS**** Session Managermendukung semua versi Linux dan macOS yang didukung oleh AWS Systems Manager. Untuk informasi, lihat [Sistem operasi dan jenis mesin yang didukung](operating-systems-and-machine-types.md). ** Windows ** Session Managermendukung Windows Server 2012 dan versi yang lebih baru. Tidak mendukung Microsoft Windows Server 2016 Nano. |
| SSM Agent | Minimal, AWS Systems Manager SSM Agent versi 2.3.68.0 atau yang lebih baru harus diinstal pada node terkelola yang ingin Anda sambungkan melalui sesi. Untuk menggunakan opsi untuk mengenkripsi data sesi menggunakan kunci yang dibuat di AWS Key Management Service (AWS KMS), versi 2.3.539.0 atau yang lebih baru SSM Agent harus diinstal pada node terkelola. Untuk menggunakan profil shell dalam sesi, SSM Agent versi 3.0.161.0 atau yang lebih baru harus diinstal pada node terkelola. Untuk memulai Session Manager port forwarding atau sesi SSH, SSM Agent versi 3.0.222.0 atau yang lebih baru harus diinstal pada node terkelola. Untuk melakukan streaming data sesi menggunakan Amazon CloudWatch Logs, SSM Agent versi 3.0.284.0 atau yang lebih baru harus diinstal pada node terkelola. Untuk informasi tentang cara menentukan nomor versi yang berjalan pada sebuah instance, lihat[Memeriksa nomor SSM Agent versi](ssm-agent-get-version.md). Untuk informasi tentang menginstal secara manual atau memperbarui secara otomatisSSM Agent, lihat[Bekerja dengan SSM Agent](ssm-agent.md). Tentang akun ssm-user Dimulai dengan versi 2.3.50.0 dariSSM Agent, agen membuat akun pengguna pada node terkelola, dengan izin root atau administrator, dipanggil. `ssm-user` (Pada versi sebelum 2.3.612.0, akun dibuat saat SSM Agent memulai atau memulai ulang. Pada versi 2.3.612.0 dan yang lebih baru, `ssm-user` dibuat pertama kali sesi dimulai pada node terkelola.) Sesi diluncurkan menggunakan kredensial administratif akun pengguna ini. Untuk informasi tentang membatasi kontrol administratif untuk akun ini, lihat [Menonaktifkan atau mengaktifkan izin administratif akun ssm-user](session-manager-getting-started-ssm-user-permissions.md). ssm-user pada pengendali domain Windows Server Dimulai dengan SSM Agent versi 2.3.612.0, `ssm-user` akun tidak dibuat secara otomatis pada node terkelola yang digunakan sebagai pengontrol domain. Windows Server Untuk digunakan Session Manager pada Windows Server mesin yang digunakan sebagai pengontrol domain, Anda harus membuat `ssm-user` akun secara manual jika belum ada, dan menetapkan izin Administrator Domain kepada pengguna. Windows ServerAktif, SSM Agent tetapkan kata sandi baru untuk `ssm-user` akun setiap kali sesi dimulai, jadi Anda tidak perlu menentukan kata sandi saat membuat akun. |
| Konektivitas ke titik akhir | Node terkelola yang Anda sambungkan juga harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/session-manager-prerequisites.html) Untuk informasi selengkapnya, lihat topik berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/session-manager-prerequisites.html) Atau, Anda dapat terhubung ke titik akhir yang diperlukan dengan menggunakan titik akhir antarmuka. Untuk informasi selengkapnya, lihat [Langkah 6: (Opsional) Gunakan AWS PrivateLink untuk mengatur titik akhir VPC untuk Session Manager](session-manager-getting-started-privatelink.md). |
| AWS CLI | (Opsional) Jika Anda menggunakan AWS Command Line Interface (AWS CLI) untuk memulai sesi (alih-alih menggunakan AWS Systems Manager konsol atau konsol Amazon EC2), versi 1.16.12 atau yang lebih baru dari CLI harus diinstal pada mesin lokal Anda. Anda dapat menghubungi `aws --version` untuk memeriksa versi. Jika Anda perlu menginstal atau memutakhirkan CLI, lihat [Menginstal AWS Command Line Interface di](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) AWS Command Line Interface Panduan Pengguna. Versi terbaru dirilis setiap kali alat baru ditambahkan ke Systems Manager atau pembaruan dibuat ke alat yang ada. SSM Agent Gagal menggunakan agen versi terbaru dapat mencegah node terkelola Anda menggunakan berbagai alat dan fitur Systems Manager. Untuk alasan itu, kami menyarankan Anda mengotomatiskan proses menjaga agar tetap SSM Agent up to date pada mesin Anda. Untuk informasi, lihat [Mengotomatiskan pembaruan ke SSM Agent](ssm-agent-automatic-updates.md). Berlangganan halaman [Catatan SSM Agent Rilis](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md) GitHub untuk mendapatkan pemberitahuan tentang SSM Agent pembaruan. Selain itu, untuk menggunakan CLI untuk mengelola node AndaSession Manager, Anda harus terlebih dahulu menginstal Session Manager plugin di mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md). |
| Aktifkan tingkat instance lanjutan (lingkungan [hybrid](operating-systems-and-machine-types.md#supported-machine-types) dan multicloud) | Untuk terhubung ke mesin non-EC2 menggunakanSession Manager, Anda harus mengaktifkan tingkat instance lanjutan di Akun AWS dan di Wilayah AWS mana Anda membuat aktivasi hibrida untuk mendaftarkan mesin non-EC2 sebagai node terkelola. Biaya dikenakan untuk menggunakan tingkat instans lanjutan. Untuk informasi selengkapnya tentang tingkat instance lanjutan, lihat. [Mengonfigurasi tingkat instans](fleet-manager-configure-instance-tiers.md) |
| Verifikasi izin peran layanan IAM (lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types)) | Node yang diaktifkan hibrida menggunakan peran layanan AWS Identity and Access Management (IAM) yang ditentukan dalam aktivasi hibrida untuk berkomunikasi dengan operasi Systems Manager API. Peran layanan ini harus berisi izin yang diperlukan untuk terhubung ke mesin [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) Anda menggunakan. Session Manager Jika peran layanan Anda berisi kebijakan AWS terkelola`AmazonSSMManagedInstanceCore`, izin yang diperlukan untuk sudah Session Manager disediakan. Jika Anda menemukan bahwa peran layanan tidak berisi izin yang diperlukan, Anda harus membatalkan pendaftaran instance terkelola dan mendaftarkannya dengan aktivasi hibrida baru yang menggunakan peran layanan IAM dengan izin yang diperlukan. Untuk informasi selengkapnya tentang membatalkan pendaftaran instans terkelola, lihat. [Menderegistrasi node terkelola dalam lingkungan hybrid dan multicloud](fleet-manager-deregister-hybrid-nodes.md) Untuk informasi selengkapnya tentang membuat kebijakan IAM dengan Session Manager izin, lihat [Langkah 2: Verifikasi atau tambahkan izin instans](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-instance-profile.html) untuk. Session Manager |
# Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager
Secara default, AWS Systems Manager tidak memiliki izin untuk melakukan tindakan pada instance Anda. Anda dapat memberikan izin instans di tingkat akun menggunakan peran AWS Identity and Access Management (IAM), atau di tingkat instans menggunakan profil instance. Jika kasus penggunaan Anda memungkinkan, kami sarankan untuk memberikan akses di tingkat akun menggunakan Konfigurasi Manajemen Host Default. Jika Anda telah menyiapkan Konfigurasi Manajemen Host Default untuk akun menggunakan `AmazonSSMManagedEC2InstanceDefaultPolicy` kebijakan, Anda dapat melanjutkan ke langkah berikutnya. Untuk informasi selengkapnya tentang Konfigurasi Manajemen Host Default, lihat[Mengelola instans EC2 secara otomatis dengan Konfigurasi Manajemen Host Default](fleet-manager-default-host-management-configuration.md).
Atau, Anda dapat menggunakan profil instans untuk memberikan izin yang diperlukan untuk instance Anda. Profil instans meneruskan peran IAM ke instans Amazon EC2. Anda dapat melampirkan profil instans IAM ke instans Amazon EC2 saat meluncurkannya atau ke instans yang diluncurkan sebelumnya. Untuk informasi selengkapnya, lihat [Menggunakan profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
Untuk server lokal atau mesin virtual (VMs), izin disediakan oleh peran layanan IAM yang terkait dengan aktivasi hibrid yang digunakan untuk mendaftarkan server lokal Anda dan dengan Systems VMs Manager. Server lokal dan VMs tidak menggunakan profil instans.
Jika Anda sudah menggunakan alat Systems Manager lainnya, seperti Run Command atauParameter Store, profil instans dengan izin dasar yang diperlukan untuk Session Manager mungkin sudah dilampirkan ke instans Amazon EC2 Anda. Jika profil instans yang berisi kebijakan AWS terkelola `AmazonSSMManagedInstanceCore` sudah dilampirkan ke instans Anda, izin yang diperlukan untuk sudah Session Manager disediakan. Ini juga berlaku jika peran layanan IAM yang digunakan dalam aktivasi hibrid Anda berisi kebijakan `AmazonSSMManagedInstanceCore` terkelola.
Namun, dalam beberapa kasus, Anda mungkin perlu memodifikasi izin yang terlampir ke profil instans Anda. Misalnya, Anda ingin memberikan kumpulan izin instans yang lebih sempit, Anda telah membuat kebijakan khusus untuk profil instans, atau Anda ingin menggunakan enkripsi Amazon Simple Storage Service (Amazon S3) AWS Key Management Service atau enkripsi AWS KMS() untuk mengamankan data sesi. Untuk kasus ini, lakukan salah satu hal berikut untuk memungkinkan Session Manager tindakan dilakukan pada instans Anda:
+ **Menyematkan izin untuk Session Manager tindakan dalam peran IAM kustom**
Untuk menambahkan izin Session Manager tindakan ke peran IAM yang ada yang tidak bergantung pada kebijakan default yang AWS disediakan`AmazonSSMManagedInstanceCore`, ikuti langkah-langkahnya. [Menambahkan Session Manager izin ke peran IAM yang ada](getting-started-add-permissions-to-existing-profile.md)
+ **Buat peran IAM khusus dengan Session Manager izin saja**
Untuk membuat peran IAM yang berisi izin hanya untuk Session Manager tindakan, ikuti langkah-langkahnya. [Buat peran IAM khusus untuk Session Manager](getting-started-create-iam-instance-profile.md)
+ **Membuat dan menggunakan peran IAM baru dengan izin untuk semua tindakan Systems Manager**
Untuk membuat peran IAM untuk instans terkelola Systems Manager yang menggunakan kebijakan default yang disediakan oleh AWS untuk memberikan semua izin Systems Manager, ikuti langkah-langkah dalam [Mengonfigurasi izin instans yang diperlukan untuk Systems](setup-instance-permissions.md) Manager.
**Topics**
+ [Menambahkan Session Manager izin ke peran IAM yang ada](getting-started-add-permissions-to-existing-profile.md)
+ [Buat peran IAM khusus untuk Session Manager](getting-started-create-iam-instance-profile.md)
# Menambahkan Session Manager izin ke peran IAM yang ada
Gunakan prosedur berikut untuk menambahkan Session Manager izin ke peran AWS Identity and Access Management (IAM) yang ada. Dengan menambahkan izin ke peran yang ada, Anda dapat meningkatkan keamanan lingkungan komputasi tanpa harus menggunakan AWS `AmazonSSMManagedInstanceCore` kebijakan, misalnya izin.
**catatan**
Perhatikan informasi berikut:
Prosedur ini mengasumsikan bahwa peran Anda yang ada sudah menyertakan `ssm` izin Systems Manager lainnya untuk tindakan yang ingin Anda izinkan akses. Kebijakan ini saja tidak cukup untuk digunakanSession Manager.
Contoh kebijakan berikut mencakup `s3:GetEncryptionConfiguration` tindakan. Tindakan ini diperlukan jika Anda memilih opsi **enkripsi log Enforce S3** di preferensi Session Manager logging.
Jika `ssmmessages:OpenControlChannel` izin dihapus dari kebijakan yang dilampirkan ke profil instans IAM atau peran layanan IAM Anda, SSM Agent pada node terkelola akan kehilangan konektivitas ke layanan Systems Manager di cloud. Namun, diperlukan waktu hingga 1 jam untuk koneksi dihentikan setelah izin dihapus. Ini adalah perilaku yang sama seperti ketika peran instans IAM atau peran layanan IAM dihapus.
**Untuk menambahkan Session Manager izin ke peran yang ada (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Pilih nama peran yang Anda tambahkan izin.
1. Pilih tab **Izin**.
1. Pilih **Tambahkan izin**, lalu pilih **Buat kebijakan sebaris**.
1. Pilih tab **JSON**.
1. Ganti konten kebijakan default dengan konten berikut. Ganti *key-name* dengan Amazon Resource Name (ARN) dari AWS Key Management Service key (AWS KMS key) yang ingin Anda gunakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Untuk informasi tentang menggunakan kunci KMS untuk mengenkripsi data sesi, lihat [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md).
Jika Anda tidak akan menggunakan AWS KMS enkripsi untuk data sesi, Anda dapat menghapus konten berikut dari kebijakan.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Pilih **Berikutnya: Tanda**.
1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.
1. Pilih **Berikutnya: Tinjauan**.
1. Pada halaman **Tinjau kebijakan**, untuk **Nama**, masukkan nama untuk kebijakan selaras, seperti **SessionManagerPermissions**.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk kebijakan.
Pilih **Buat kebijakan**.
Untuk informasi tentang `ssmmessages` tindakan, lihat[Referensi: ec2messages, ssmmessages, dan operasi API lainnya](systems-manager-setting-up-messageAPIs.md).
# Buat peran IAM khusus untuk Session Manager
Anda dapat membuat peran AWS Identity and Access Management (IAM) yang memberikan Session Manager izin untuk melakukan tindakan pada instans terkelola Amazon EC2 Anda. Anda juga dapat menyertakan kebijakan untuk memberikan izin yang diperlukan agar log sesi dikirim ke Amazon Simple Storage Service (Amazon S3) dan Amazon Logs. CloudWatch
Setelah Anda membuat peran IAM, untuk informasi tentang cara melampirkan peran ke instance, lihat [Melampirkan atau Mengganti Profil Instance](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/) di AWS re:Post situs web. Untuk informasi selengkapnya tentang profil dan peran instans IAM, lihat [Menggunakan profil instans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) di *Panduan Pengguna IAM* dan [peran IAM untuk Amazon EC2 di Panduan Pengguna Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) *Elastic Compute Cloud* untuk Instans Linux. Untuk informasi selengkapnya tentang membuat peran layanan IAM untuk mesin lokal, lihat [Membuat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html) multicloud.
**Topics**
+ [Membuat peran IAM dengan Session Manager izin minimal (konsol)](#create-iam-instance-profile-ssn-only)
+ [Membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)](#create-iam-instance-profile-ssn-logging)
## Membuat peran IAM dengan Session Manager izin minimal (konsol)
Gunakan prosedur berikut untuk membuat peran IAM kustom dengan kebijakan yang memberikan izin hanya untuk Session Manager tindakan pada instans Anda.
**Untuk membuat profil instance dengan Session Manager izin minimal (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dalam panel navigasi, pilih **Kebijakan**, dan kemudian pilih **Buat kebijakan**. (Jika tombol **Memulai** ditampilkan, pilih tombol tersebut, dan kemudian pilih **Buat kebijakan**.)
1. Pilih tab **JSON**.
1. Ganti konten default dengan kebijakan berikut. Untuk mengenkripsi data sesi menggunakan AWS Key Management Service (AWS KMS), ganti *key-name* dengan Amazon Resource Name (ARN) dari AWS KMS key yang ingin Anda gunakan.
**catatan**
Jika `ssmmessages:OpenControlChannel` izin dihapus dari kebijakan yang dilampirkan ke profil instans IAM atau peran layanan IAM Anda, SSM Agent pada node terkelola akan kehilangan konektivitas ke layanan Systems Manager di cloud. Namun, diperlukan waktu hingga 1 jam untuk koneksi dihentikan setelah izin dihapus. Ini adalah perilaku yang sama seperti ketika peran instans IAM atau peran layanan IAM dihapus.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Untuk informasi tentang menggunakan kunci KMS untuk mengenkripsi data sesi, lihat [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md).
Jika Anda tidak akan menggunakan AWS KMS enkripsi untuk data sesi, Anda dapat menghapus konten berikut dari kebijakan.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Pilih **Berikutnya: Tanda**.
1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.
1. Pilih **Berikutnya: Tinjauan**.
1. Pada halaman **Tinjau kebijakan**, untuk **Nama**, masukkan nama untuk kebijakan selaras, seperti **SessionManagerPermissions**.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk kebijakan.
1. Pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pada halaman **Buat peran**, pilih **AWS layanan**, dan untuk **kasus penggunaan**, pilih **EC2**.
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih kotak centang di sebelah kiri nama kebijakan yang baru saja Anda buat, seperti**SessionManagerPermissions**.
1. Pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, untuk **nama Peran**, masukkan nama untuk peran IAM, seperti**MySessionManagerRole**.
1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi untuk profil instans.
1. (Opsional) Tambahkan tag dengan memilih **Tambahkan tag**, dan masukkan tag pilihan untuk peran tersebut.
Pilih **Buat peran**.
Untuk informasi tentang `ssmmessages` tindakan, lihat[Referensi: ec2messages, ssmmessages, dan operasi API lainnya](systems-manager-setting-up-messageAPIs.md).
## Membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)
Gunakan prosedur berikut untuk membuat peran IAM kustom dengan kebijakan yang memberikan izin untuk Session Manager tindakan pada instans Anda. Kebijakan ini juga menyediakan izin yang diperlukan agar log sesi disimpan di bucket Amazon Simple Storage Service (Amazon S3) dan grup log Amazon Logs. CloudWatch
**penting**
Untuk menampilkan log sesi ke bucket Amazon S3 yang dimiliki oleh yang lain Akun AWS, Anda harus menambahkan `s3:PutObjectAcl` izin ke kebijakan peran IAM. Selain itu, Anda harus memastikan bahwa kebijakan bucket memberikan akses lintas akun ke peran IAM yang digunakan oleh akun pemilik untuk memberikan izin Systems Manager untuk instans terkelola. Jika bucket menggunakan enkripsi Key Management Service (KMS), maka kebijakan KMS bucket juga harus memberikan akses lintas akun ini. *Untuk informasi selengkapnya tentang mengonfigurasi izin bucket lintas akun di Amazon S3, lihat [Memberikan izin bucket lintas akun di](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.* Jika izin lintas akun tidak ditambahkan, akun yang memiliki bucket Amazon S3 tidak dapat mengakses log keluaran sesi.
Untuk informasi tentang menentukan preferensi untuk menyimpan log sesi, lihat [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md).
**Untuk membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dalam panel navigasi, pilih **Kebijakan**, dan kemudian pilih **Buat kebijakan**. (Jika tombol **Memulai** ditampilkan, pilih tombol tersebut, dan kemudian pilih **Buat kebijakan**.)
1. Pilih tab **JSON**.
1. Ganti konten default dengan kebijakan berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"ssm:UpdateInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
},
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "*"
}
]
}
```
------
1. Pilih **Berikutnya: Tanda**.
1. (Opsional) Tambahkan tag dengan memilih **Tambah tag**, dan masukkan tag pilihan untuk kebijakan tersebut.
1. Pilih **Berikutnya: Tinjauan**.
1. Pada halaman **Tinjau kebijakan**, untuk **Nama**, masukkan nama untuk kebijakan selaras, seperti **SessionManagerPermissions**.
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk kebijakan.
1. Pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.
1. Pada halaman **Buat peran**, pilih **AWS layanan**, dan untuk **kasus penggunaan**, pilih **EC2**.
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih kotak centang di sebelah kiri nama kebijakan yang baru saja Anda buat, seperti**SessionManagerPermissions**.
1. Pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, untuk **nama Peran**, masukkan nama untuk peran IAM, seperti**MySessionManagerRole**.
1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi untuk peran tersebut.
1. (Opsional) Tambahkan tag dengan memilih **Tambahkan tag**, dan masukkan tag pilihan untuk peran tersebut.
1. Pilih **Buat peran**.
# Langkah 3: Kontrol akses sesi ke node yang dikelola
Anda memberikan atau mencabut Session Manager akses ke node terkelola dengan menggunakan kebijakan AWS Identity and Access Management (IAM). Anda dapat membuat kebijakan dan melampirkannya ke pengguna IAM atau grup yang menentukan node terkelola yang dapat disambungkan oleh pengguna atau grup. Anda juga dapat menentukan operasi Session Manager API yang dapat dilakukan pengguna atau grup pada node yang dikelola tersebut.
Untuk membantu Anda memulai dengan kebijakan izin IAMSession Manager, kami telah membuat contoh kebijakan untuk pengguna akhir dan pengguna administrator. Anda dapat menggunakan kebijakan ini hanya dengan perubahan kecil. Atau, gunakan sebagai panduan untuk membuat kebijakan IAM khusus. Untuk informasi selengkapnya, lihat [Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md). Untuk informasi tentang cara membuat kebijakan IAM dan melampirkannya ke pengguna atau grup, lihat [Membuat Kebijakan IAM dan Menambahkan dan Menghapus Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna *IAM*.
**Tentang format ARN ID sesi**
Saat membuat kebijakan IAM untuk Session Manager akses, Anda menentukan ID sesi sebagai bagian dari Nama Sumber Daya Amazon (ARN). ID sesi menyertakan nama pengguna sebagai variabel. Untuk membantu mengilustrasikan hal ini, berikut adalah format Session Manager ARN dan contohnya:
```
arn:aws:ssm:region-id:account-id:session/session-id
```
Contoh:
```
arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE
```
Untuk informasi selengkapnya tentang penggunaan variabel dalam kebijakan IAM, lihat [Elemen Kebijakan IAM: Variabel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html).
**Topics**
+ [Mulai sesi shell default dengan menentukan dokumen sesi default dalam kebijakan IAM](getting-started-default-session-document.md)
+ [Memulai sesi dengan dokumen dengan menentukan dokumen sesi dalam kebijakan IAM](getting-started-specify-session-document.md)
+ [Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md)
+ [Contoh tambahan kebijakan IAM untuk Session Manager](getting-started-restrict-access-examples.md)
# Mulai sesi shell default dengan menentukan dokumen sesi default dalam kebijakan IAM
Saat Anda mengonfigurasi Session Manager untuk Akun AWS atau ketika Anda mengubah preferensi sesi di konsol Systems Manager, sistem akan membuat dokumen sesi SSM yang disebut`SSM-SessionManagerRunShell`. Ini adalah dokumen sesi default. Session Managermenggunakan dokumen ini untuk menyimpan preferensi sesi Anda, yang mencakup informasi seperti berikut:
+ Lokasi tempat Anda ingin menyimpan data sesi, seperti bucket Amazon Simple Storage Service (Amazon S3) atau grup log CloudWatch Amazon Logs.
+ ID kunci AWS Key Management Service (AWS KMS) untuk mengenkripsi data sesi.
+ Apakah dukungan Run As diizinkan untuk sesi Anda.
Berikut adalah contoh informasi yang terkandung dalam dokumen preferensi `SSM-SessionManagerRunShell` sesi.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "amzn-s3-demo-bucket",
"s3KeyPrefix": "MyS3Prefix",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "MyCWLogGroup",
"cloudWatchEncryptionEnabled": false,
"kmsKeyId": "1a2b3c4d",
"runAsEnabled": true,
"runAsDefaultUser": "RunAsUser"
}
}
```
Secara default, Session Manager menggunakan dokumen sesi default ketika pengguna memulai sesi dari Konsol Manajemen AWS. Ini berlaku untuk salah satu Fleet Manager atau Session Manager di konsol Systems Manager, atau EC2 Connect di konsol Amazon EC2. Session Managerjuga menggunakan dokumen sesi default ketika pengguna memulai sesi dengan menggunakan AWS CLI perintah seperti contoh berikut:
```
aws ssm start-session \
--target i-02573cafcfEXAMPLE
```
Untuk memulai sesi shell default, Anda harus menentukan dokumen sesi default dalam kebijakan IAM, seperti yang ditunjukkan pada contoh berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSSMSession",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/instance-id",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": [
"ssmmessages:OpenDataChannel"
],
"Resource": [
"*"
]
}
]
}
```
------
# Memulai sesi dengan dokumen dengan menentukan dokumen sesi dalam kebijakan IAM
Jika Anda menggunakan AWS CLI perintah [start-session](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html) menggunakan dokumen sesi default, Anda dapat menghilangkan nama dokumen. Sistem secara otomatis memanggil dokumen `SSM-SessionManagerRunShell` sesi.
Dalam semua kasus lain, Anda harus menentukan nilai untuk `document-name` parameter. Ketika pengguna menentukan nama dokumen sesi dalam sebuah perintah, sistem memeriksa kebijakan IAM mereka untuk memverifikasi bahwa mereka memiliki izin untuk mengakses dokumen. Jika mereka tidak memiliki izin, permintaan koneksi gagal. Contoh berikut mencakup `document-name` parameter dengan dokumen `AWS-StartPortForwardingSession` sesi.
```
aws ssm start-session \
--target i-02573cafcfEXAMPLE \
--document-name AWS-StartPortForwardingSession \
--parameters '{"portNumber":["80"], "localPortNumber":["56789"]}'
```
Untuk contoh cara menentukan dokumen Session Manager sesi dalam kebijakan IAM, lihat[Kebijakan pengguna akhir Quickstart untuk Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user).
**catatan**
Untuk memulai sesi menggunakan SSH, Anda harus menyelesaikan langkah-langkah konfigurasi pada node terkelola target *dan* mesin lokal pengguna. Untuk selengkapnya, lihat [(Opsional) Mengizinkan dan mengontrol izin untuk koneksi SSH melalui](session-manager-getting-started-enable-ssh-connections.md). Session Manager
# Contoh kebijakan IAM untuk Session Manager
Gunakan sampel di bagian ini untuk membantu Anda membuat kebijakan AWS Identity and Access Management (IAM) yang memberikan izin akses yang paling umum diperlukan. Session Manager
**catatan**
Anda juga dapat menggunakan AWS KMS key kebijakan untuk mengontrol entitas IAM (pengguna atau peran) mana dan Akun AWS diberi akses ke kunci KMS Anda. Untuk selengkapnya, lihat [Ikhtisar Mengelola Akses ke AWS KMS Sumber Daya Anda](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) dan [Menggunakan Kebijakan Utama AWS KMS di](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) *Panduan AWS Key Management Service Pengembang*.
**Topics**
+ [Kebijakan pengguna akhir Quickstart untuk Session Manager](#restrict-access-quickstart-end-user)
+ [Kebijakan administrator Quickstart untuk Session Manager](#restrict-access-quickstart-admin)
## Kebijakan pengguna akhir Quickstart untuk Session Manager
Gunakan contoh berikut untuk membuat kebijakan pengguna akhir IAM untukSession Manager.
Anda dapat membuat kebijakan yang memungkinkan pengguna memulai sesi hanya dari Session Manager konsol dan AWS Command Line Interface (AWS CLI), hanya dari konsol Amazon Elastic Compute Cloud (Amazon EC2), atau dari ketiganya.
Kebijakan ini memberi pengguna akhir kemampuan untuk memulai sesi ke node terkelola tertentu dan kemampuan untuk mengakhiri hanya sesi mereka sendiri. Lihat [Contoh tambahan kebijakan IAM untuk Session Manager](getting-started-restrict-access-examples.md) untuk contoh kustomisasi yang mungkin ingin Anda buat pada kebijakan.
Dalam contoh kebijakan berikut, ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
Pilih dari tab berikut untuk melihat kebijakan sampel untuk berbagai akses sesi yang ingin Anda berikan.
------
#### [ Manajer Sesi and Fleet Manager ]
Gunakan kebijakan sampel ini untuk memberi pengguna kemampuan untuk memulai dan melanjutkan sesi hanya dari konsol Session Manager dan Fleet Manager konsol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
------
#### [ Amazon EC2 ]
Gunakan kebijakan contoh ini untuk memberi pengguna kemampuan untuk memulai dan melanjutkan sesi hanya dari konsol Amazon EC2. Kebijakan ini tidak menyediakan semua izin yang diperlukan untuk memulai sesi dari Session Manager konsol dan. AWS CLI
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:username}-*"
]
}
]
}
```
------
------
#### [ AWS CLI ]
Gunakan kebijakan sampel ini untuk memberi pengguna kemampuan untuk memulai dan melanjutkan sesi dari AWS CLI.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
------
**catatan**
`SSM-SessionManagerRunShell`adalah nama default dari dokumen SSM yang Session Manager dibuat untuk menyimpan preferensi konfigurasi sesi Anda. Anda dapat membuat dokumen Sesi khusus dan menetapkannya dalam kebijakan ini sebagai gantinya. Anda juga dapat menentukan yang diberikan AWS pada dokumen `AWS-StartSSHSession` untuk pengguna yang memulai sesi menggunakan SSH. Untuk informasi tentang langkah-langkah konfigurasi yang diperlukan untuk mendukung sesi menggunakan SSH, lihat [(Opsional) Mengizinkan dan mengontrol izin untuk koneksi SSH melalui](session-manager-getting-started-enable-ssh-connections.md). Session Manager
`kms:GenerateDataKey`Izin memungkinkan pembuatan kunci enkripsi data yang akan digunakan untuk mengenkripsi data sesi. Jika Anda akan menggunakan enkripsi AWS Key Management Service (AWS KMS) untuk data sesi Anda, ganti *key-name* dengan Amazon Resource Name (ARN) dari kunci KMS yang ingin Anda gunakan, dalam format. `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE` Jika Anda tidak akan menggunakan enkripsi kunci KMS untuk data sesi Anda, hapus konten berikut dari kebijakan.
```
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-name"
}
```
Untuk informasi tentang penggunaan AWS KMS untuk mengenkripsi data sesi, lihat. [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md)
Izin untuk [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html)diperlukan untuk kasus di mana pengguna mencoba memulai sesi dari konsol Amazon EC2, tetapi SSM Agent harus diperbarui ke versi minimum yang diperlukan untuk Session Manager pertama. Run Commanddigunakan untuk mengirim perintah ke instance untuk memperbarui agen.
## Kebijakan administrator Quickstart untuk Session Manager
Gunakan contoh berikut untuk membuat kebijakan administrator IAM untukSession Manager.
Kebijakan ini memberi administrator kemampuan untuk memulai sesi ke node terkelola yang ditandai dengan`Key=Finance,Value=WebServers`, izin untuk membuat, memperbarui, dan menghapus preferensi, dan izin untuk mengakhiri hanya sesi mereka sendiri. Lihat [Contoh tambahan kebijakan IAM untuk Session Manager](getting-started-restrict-access-examples.md) untuk contoh kustomisasi yang mungkin ingin Anda buat pada kebijakan.
Anda dapat membuat kebijakan yang memungkinkan administrator menjalankan tugas ini hanya dari Session Manager konsol dan AWS CLI, hanya dari konsol Amazon EC2, atau dari ketiganya.
Dalam contoh kebijakan berikut, ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
Pilih dari tab berikut untuk melihat kebijakan sampel untuk skenario akses yang ingin Anda dukung.
------
#### [ Manajer Sesi and CLI ]
Gunakan kebijakan contoh ini untuk memberi administrator kemampuan untuk melakukan tugas terkait sesi hanya dari Session Manager konsol dan perangkat. AWS CLI Kebijakan ini tidak memberikan semua izin yang diperlukan untuk melakukan tugas terkait sesi dari konsol Amazon EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssmmessages:OpenDataChannel"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument",
"ssm:StartSession"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssmmessages:OpenDataChannel"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
#### [ Amazon EC2 ]
Gunakan kebijakan contoh ini untuk memberi administrator kemampuan untuk melakukan tugas terkait sesi hanya dari konsol Amazon EC2. Kebijakan ini tidak menyediakan semua izin yang diperlukan untuk melakukan tugas terkait sesi dari Session Manager konsol dan. AWS CLI
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
#### [ Manajer Sesi, CLI, and Amazon EC2 ]
Gunakan kebijakan contoh ini untuk memberi administrator kemampuan untuk melakukan tugas terkait sesi dari Session Manager konsol, konsol AWS CLI, dan konsol Amazon EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag-key": [
"tag-value"
]
}
}
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation",
"ssm:DescribeInstanceProperties",
"ec2:DescribeInstances"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:GetDocument",
"ssm:StartSession"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
}
]
}
```
------
------
**catatan**
Izin untuk [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_SendCommand.html)diperlukan untuk kasus di mana pengguna mencoba memulai sesi dari konsol Amazon EC2, tetapi perintah harus dikirim untuk memperbarui SSM Agent terlebih dahulu.
# Contoh tambahan kebijakan IAM untuk Session Manager
Lihat contoh kebijakan berikut untuk membantu Anda membuat kebijakan kustom AWS Identity and Access Management (IAM) untuk setiap skenario akses Session Manager pengguna yang ingin Anda dukung.
**Topics**
+ [Contoh 1: Berikan akses ke dokumen di konsol](#grant-access-documents-console-example)
+ [Contoh 2: Batasi akses ke node terkelola tertentu](#restrict-access-example-instances)
+ [Contoh 3: Batasi akses berdasarkan tag](#restrict-access-example-instance-tags)
+ [Contoh 4: Izinkan pengguna untuk mengakhiri hanya sesi yang mereka mulai](#restrict-access-example-user-sessions)
+ [Contoh 5: Izinkan akses penuh (administratif) ke semua sesi](#restrict-access-example-full-access)
## Contoh 1: Berikan akses ke dokumen di konsol
Anda dapat mengizinkan pengguna menentukan dokumen kustom saat mereka meluncurkan sesi menggunakan konsol Pengelola Sesi. Contoh berikut kebijakan IAM memberikan izin untuk mengakses dokumen dengan nama yang dimulai dengan **SessionDocument-** yang ditentukan Wilayah AWS dan. Akun AWS
Untuk menggunakan kebijakan ini, ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:ListDocuments"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SessionDocument-*"
]
}
]
}
```
------
**catatan**
Konsol Session Manager hanya mendukung dokumen Session `sessionType` yang memiliki `Standard_Stream` yang digunakan untuk menentukan preferensi sesi. Untuk informasi selengkapnya, lihat [Skema dokumen sesi](session-manager-schema.md).
## Contoh 2: Batasi akses ke node terkelola tertentu
Anda dapat membuat kebijakan IAM yang menentukan node terkelola mana yang diizinkan untuk disambungkan oleh pengguna menggunakan Session Manager. Misalnya, kebijakan berikut memberi pengguna izin untuk memulai, mengakhiri, dan melanjutkan sesi mereka pada tiga node tertentu. Kebijakan membatasi pengguna untuk menyambung ke node selain yang ditentukan.
**catatan**
Untuk pengguna federasi, lihat[Contoh 4: Izinkan pengguna untuk mengakhiri hanya sesi yang mereka mulai](#restrict-access-example-user-sessions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-1234567890EXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-abcdefghijEXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0e9d8c7b6aEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
------
## Contoh 3: Batasi akses berdasarkan tag
Anda dapat membatasi akses ke node terkelola berdasarkan tag tertentu. Dalam contoh berikut, pengguna diizinkan untuk memulai dan melanjutkan sesi (`Effect: Allow, Action: ssm:StartSession, ssm:ResumeSession`) pada setiap node terkelola (`Resource: arn:aws:ec2:region:987654321098:instance/*`) dengan syarat bahwa node tersebut adalah Finance WebServer (`ssm:resourceTag/Finance: WebServer`). Jika pengguna mengirim perintah ke node terkelola yang tidak diberi tag atau yang memiliki tag selain`Finance: WebServer`, hasil perintah akan disertakan`AccessDenied`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession",
"ssm:ResumeSession"
],
"Resource": [
"arn:aws:ssm:*:*:session/${aws:userid}-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
Anda dapat membuat kebijakan IAM yang memungkinkan pengguna memulai sesi ke node terkelola yang ditandai dengan beberapa tag. Kebijakan berikut memungkinkan pengguna untuk memulai sesi ke node terkelola yang memiliki kedua tag yang ditentukan diterapkan padanya. Jika pengguna mengirim perintah ke node terkelola yang tidak ditandai dengan kedua tag ini, hasil perintah akan disertakan`AccessDenied`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:StartSession"
],
"Resource":"*",
"Condition":{
"StringLike":{
"ssm:resourceTag/tag-key1":[
"tag-value1"
],
"ssm:resourceTag/tag-key2":[
"tag-value2"
]
}
}
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
},
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
Untuk informasi selengkapnya tentang membuat kebijakan IAM, lihat Kebijakan [Terkelola dan Kebijakan Inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) di Panduan Pengguna *IAM*. Untuk informasi selengkapnya tentang menandai node terkelola, lihat [Menandai resource Amazon EC2 Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) di Panduan *Pengguna Amazon EC2* (konten berlaku Windows untuk dan node terkelola). Linux Untuk informasi selengkapnya tentang meningkatkan postur keamanan terhadap perintah tingkat root yang tidak sah pada node terkelola, lihat [Membatasi akses ke perintah tingkat root melalui SSM Agent](ssm-agent-restrict-root-level-commands.md)
## Contoh 4: Izinkan pengguna untuk mengakhiri hanya sesi yang mereka mulai
Session Managermenyediakan dua metode untuk mengontrol sesi mana pengguna federasi di Anda Akun AWS diizinkan untuk mengakhiri.
+ Gunakan variabel `{aws:userid}` dalam kebijakan izin AWS Identity and Access Management (IAM). Pengguna federasi hanya dapat mengakhiri sesi yang mereka mulai. Untuk pengguna yang tidak terfederasi, gunakan Metode 1. Untuk pengguna federasi, gunakan Metode 2.
+ Gunakan tag yang disediakan oleh AWS tag dalam kebijakan izin IAM. Dalam kebijakan, Anda memasukkan ketentuan yang mengizinkan pengguna untuk mengakhiri hanya sesi yang ditandai dengan tanda tertentu yang telah diberikan oleh AWS. Metode ini berfungsi untuk semua akun, termasuk yang menggunakan federasi IDs untuk memberikan akses ke AWS.
### Metode 1: Berikan TerminateSession hak istimewa menggunakan variabel `{aws:username}`
Kebijakan IAM berikut memungkinkan pengguna untuk melihat semua sesi di akun Anda. IDs Namun, pengguna dapat berinteraksi dengan node terkelola hanya melalui sesi yang mereka mulai. Pengguna yang ditetapkan kebijakan berikut tidak dapat terhubung ke atau mengakhiri sesi pengguna lain. Kebijakan menggunakan `{aws:username}` variabel untuk mencapai hal ini.
**catatan**
Metode ini tidak berfungsi untuk akun yang memberikan akses untuk AWS menggunakan federasi. IDs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:DescribeSessions"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"ssm:TerminateSession"
],
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*:*:session/${aws:username}-*"
]
}
]
}
```
------
### Metode 2: Berikan TerminateSession hak istimewa menggunakan tag yang disediakan oleh AWS
Anda dapat mengontrol sesi mana yang dapat diakhiri pengguna dengan menyertakan variabel kunci tag bersyarat dalam kebijakan IAM. Ketentuan menetapkan bahwa pengguna hanya dapat mengakhiri sesi yang ditandai dengan salah satu atau kedua variabel kunci tanda tertentu dan nilai tertentu ini.
Saat pengguna Akun AWS memulai sesi, Session Manager terapkan dua tag sumber daya ke sesi tersebut. Tanda sumber daya pertama adalah `aws:ssmmessages:target-id`, yang dengannya Anda menentukan ID target yang diizinkan untuk diakhiri oleh pengguna. Tag sumber daya lainnya adalah `aws:ssmmessages:session-id`, dengan nilai dalam format `role-id:caller-specified-role-name`.
**catatan**
Session Managertidak mendukung tag khusus untuk kebijakan kontrol akses IAM ini. Anda harus menggunakan tag sumber daya yang disediakan oleh AWS, dijelaskan di bawah ini.
** `aws:ssmmessages:target-id` **
Dengan kunci tag ini, Anda menyertakan ID node terkelola sebagai nilai dalam kebijakan. Dalam blok kebijakan berikut, pernyataan kondisi memungkinkan pengguna untuk mengakhiri hanya node I-02573CAFCFExample.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:target-id": [
"i-02573cafcfEXAMPLE"
]
}
}
}
]
}
```
Jika pengguna mencoba untuk mengakhiri sesi yang belum diberi izin `TerminateSession` ini, mereka menerima kesalahan `AccessDeniedException`.
** `aws:ssmmessages:session-id` **
Kunci tanda ini mencakup variabel untuk ID sesi sebagai nilai dalam permintaan untuk memulai sesi.
Contoh berikut menunjukkan kebijakan untuk kasus di mana tipe pemanggil adalah `User`. Nilai yang Anda sediakan untuk `aws:ssmmessages:session-id` adalah ID pengguna. Dalam contoh ini, `AIDIODR4TAW7CSEXAMPLE` mewakili ID pengguna di Akun AWS Anda. Untuk mengambil ID untuk pengguna di Anda Akun AWS, gunakan perintah IAM,. `get-user` Untuk selengkapnya[, lihat mendapatkan pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/get-user.html) di AWS Identity and Access Management bagian Panduan Pengguna *IAM*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"AIDIODR4TAW7CSEXAMPLE"
]
}
}
}
]
}
```
Contoh berikut menunjukkan kebijakan untuk kasus di mana tipe pemanggil adalah `AssumedRole`. Anda dapat menggunakan variabel `{aws:userid}` untuk nilai yang Anda sediakan untuk `aws:ssmmessages:session-id`. Atau, Anda dapat hardcode ID peran untuk nilai yang Anda sediakan untuk `aws:ssmmessages:session-id`. Jika Anda hardcode ID peran, Anda harus memberi nilai dalam format `role-id:caller-specified-role-name`. Misalnya, `AIDIODR4TAW7CSEXAMPLE:MyRole`.
Agar tanda sistem diterapkan, ID peran yang Anda sediakan hanya dapat berisi karakter berikut: huruf Unicode, 0-9, spasi, `_`, `.`, `:`, `/`, `=`, `+`, `-`, `@`, dan `\`.
Untuk mengambil ID peran untuk peran dalam Anda Akun AWS, gunakan `get-caller-identity` perintah. Untuk informasi, lihat [get-caller-identity](https://docs.aws.amazon.com/cli/latest/reference/sts/get-caller-identity.html)di Referensi AWS CLI Perintah.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"${aws:userid}*"
]
}
}
}
]
}
```
Jika pengguna mencoba mengakhiri sesi yang belum diberi izin `TerminateSession` ini, mereka menerima kesalahan `AccessDeniedException`.
**`aws:ssmmessages:target-id`** dan **`aws:ssmmessages:session-id`**
Anda juga dapat membuat kebijakan IAM yang mengizinkan pengguna untuk mengakhiri sesi yang ditandai dengan kedua tanda sistem, seperti yang ditunjukkan dalam contoh ini.
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ssm:TerminateSession"
],
"Resource":"*",
"Condition":{
"StringLike":{
"ssm:resourceTag/aws:ssmmessages:target-id":[
"i-02573cafcfEXAMPLE"
],
"ssm:resourceTag/aws:ssmmessages:session-id":[
"${aws:userid}*"
]
}
}
}
]
}
```
## Contoh 5: Izinkan akses penuh (administratif) ke semua sesi
Kebijakan IAM berikut memungkinkan pengguna untuk sepenuhnya berinteraksi dengan semua node terkelola dan semua sesi yang dibuat oleh semua pengguna untuk semua node. Ini harus diberikan hanya kepada Administrator yang membutuhkan kontrol penuh atas Session Manager aktivitas organisasi Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:StartSession",
"ssm:TerminateSession",
"ssm:ResumeSession",
"ssm:DescribeSessions",
"ssm:GetConnectionStatus"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
------
# Langkah 4: Konfigurasi preferensi sesi
Pengguna yang telah diberikan izin administratif dalam kebijakan AWS Identity and Access Management (IAM) mereka dapat mengonfigurasi preferensi sesi, termasuk yang berikut:
+ Aktifkan dukungan Run As untuk node Linux terkelola. Hal ini memungkinkan untuk memulai sesi menggunakan kredensional dari pengguna sistem operasi tertentu, bukan kredensi `ssm-user` akun yang dihasilkan sistem yang AWS Systems Manager Session Manager dapat dibuat pada node terkelola.
+ Konfigurasikan Session Manager untuk menggunakan AWS KMS key enkripsi untuk memberikan perlindungan tambahan pada data yang dikirimkan antara mesin klien dan node terkelola.
+ Konfigurasikan Session Manager untuk membuat dan mengirim log riwayat sesi ke bucket Amazon Simple Storage Service (Amazon S3) atau grup log CloudWatch Amazon Logs. Data log yang disimpan kemudian dapat digunakan untuk melaporkan koneksi sesi yang dibuat ke node terkelola Anda dan perintah berjalan pada mereka selama sesi.
+ Konfigurasi batas waktu sesi. Anda dapat menggunakan pengaturan ini untuk menentukan kapan untuk mengakhiri sesi setelah periode tidak aktif.
+ Konfigurasikan Session Manager untuk menggunakan profil shell yang dapat dikonfigurasi. Profil yang dapat dikustomisasi ini mengizinkan Anda untuk menentukan preferensi dalam sesi seperti preferensi shell, variabel lingkungan, direktori kerja, dan menjalankan beberapa perintah ketika sesi dimulai.
Untuk informasi selengkapnya tentang izin yang diperlukan untuk mengonfigurasi Session Manager preferensi, lihat. [Berikan atau tolak izin pengguna untuk memperbarui preferensi Session Manager](preference-setting-permissions.md)
**Topics**
+ [Berikan atau tolak izin pengguna untuk memperbarui preferensi Session Manager](preference-setting-permissions.md)
+ [Tentukan nilai waktu habis sesi idle](session-preferences-timeout.md)
+ [Tentukan durasi sesi maksimum](session-preferences-max-timeout.md)
+ [Izinkan profil shell yang dapat dikonfigurasi](session-preferences-shell-config.md)
+ [Aktifkan dukungan Run As untuk Linux dan node macOS terkelola](session-preferences-run-as.md)
+ [Aktifkan enkripsi kunci KMS data sesi (konsol)](session-preferences-enable-encryption.md)
+ [Buat dokumen Session Manager preferensi (baris perintah)](getting-started-create-preferences-cli.md)
+ [Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md)
Untuk informasi tentang menggunakan konsol Systems Manager untuk mengkonfigurasi opsi data sesi log, lihat topik berikut:
+ [Log data sesi menggunakan Amazon S3 (konsol)](session-manager-logging-s3.md)
+ [Streaming data sesi menggunakan Amazon CloudWatch Logs (konsol)](session-manager-logging-cwl-streaming.md)
+ [Data sesi logging menggunakan Amazon CloudWatch Logs (konsol)](session-manager-logging-cloudwatch-logs.md)
# Berikan atau tolak izin pengguna untuk memperbarui preferensi Session Manager
Preferensi akun disimpan sebagai dokumen AWS Systems Manager (SSM) untuk masing-masing Wilayah AWS dokumen. Sebelum pengguna dapat memperbarui preferensi akun untuk sesi di akun Anda, mereka harus diberikan izin yang diperlukan untuk mengakses tipe dokumen SSM tempat preferensi ini disimpan. Izin ini diberikan melalui kebijakan AWS Identity and Access Management (IAM).
**Kebijakan administrator untuk mengizinkan preferensi akan dibuat dan diperbarui**
Administrator dapat memiliki kebijakan berikut untuk membuat dan memperbarui preferensi kapan saja. Kebijakan berikut mengizinkan izin untuk mengakses dan memperbarui dokumen `SSM-SessionManagerRunShell` dalam akun us-east-2 123456789012.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:CreateDocument",
"ssm:GetDocument",
"ssm:UpdateDocument",
"ssm:DeleteDocument"
],
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
**Kebijakan pengguna untuk mencegah preferensi diperbarui**
Gunakan kebijakan berikut untuk mencegah pengguna akhir di akun Anda memperbarui atau mengesampingkan Session Manager preferensi apa pun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:CreateDocument",
"ssm:GetDocument",
"ssm:UpdateDocument",
"ssm:DeleteDocument"
],
"Effect": "Deny",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell"
]
}
]
}
```
------
# Tentukan nilai waktu habis sesi idle
Session Manager, alat di AWS Systems Manager, memungkinkan Anda untuk menentukan jumlah waktu untuk memungkinkan pengguna menjadi tidak aktif sebelum sistem mengakhiri sesi. Secara default, waktu habis sesi setelah 20 menit tidak aktif. Anda dapat memodifikasi pengaturan ini untuk menentukan bahwa waktu habis sesi antara 1 dan 60 menit tidak aktif. Beberapa agen keamanan komputasi profesional merekomendasikan pengaturan batas waktu sesi idle hingga maksimum 15 menit.
Timer batas waktu sesi idle akan disetel ulang saat Session Manager menerima input sisi klien. Masukan ini termasuk, tetapi tidak terbatas pada:
+ Masukan keyboard di terminal
+ Acara mengubah ukuran jendela terminal atau browser
+ Session reconnection (ResumeSession), yang dapat terjadi karena gangguan jaringan, manajemen tab browser, atau pemutusan WebSocket
Karena peristiwa ini mengatur ulang pengatur waktu idle, sesi mungkin tetap aktif lebih lama daripada periode batas waktu yang dikonfigurasi bahkan tanpa perintah terminal langsung.
Jika persyaratan keamanan Anda mengamanatkan batas durasi sesi yang ketat terlepas dari aktivitas, gunakan pengaturan *Durasi sesi maksimum* selain batas waktu idle. Untuk informasi selengkapnya, lihat [Tentukan durasi sesi maksimum](session-preferences-max-timeout.md).
**Untuk mengizinkan waktu habis sesi idle (konsol)**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.
1. Tentukan jumlah waktu untuk mengizinkan pengguna menjadi tidak aktif sebelum sesi berakhir di bidang **menit** di bawah **Waktu habis sesi idle**.
1. Pilih **Simpan**.
# Tentukan durasi sesi maksimum
Session Manager, alat di AWS Systems Manager, memungkinkan Anda untuk menentukan durasi maksimum sesi sebelum berakhir. Secara default, sesi tidak memiliki durasi maksimum. Nilai yang Anda tentukan untuk durasi sesi maksimum harus antara 1 dan 1.440 menit.
**Untuk menentukan durasi sesi maksimum (konsol)**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.
1. Pilih kotak centang di samping **Aktifkan durasi sesi maksimum**.
1. Tentukan durasi maksimum sesi sebelum berakhir di bidang **menit** di bawah **Durasi sesi maksimum**.
1. Pilih **Simpan**.
# Izinkan profil shell yang dapat dikonfigurasi
Secara default, sesi pada instans EC2 untuk Linux mulai menggunakan shell Bourne (sh). Namun, Anda mungkin lebih suka menggunakan shell lain seperti bash. Dengan mengizinkan profil shell yang dapat dikonfigurasi, Anda dapat mengustomisasikan preferensi dalam sesi seperti preferensi shell, variabel lingkungan, direktori kerja, dan menjalankan beberapa perintah ketika sesi dimulai.
**penting**
Systems Manager tidak memeriksa perintah atau skrip di profil shell Anda untuk melihat perubahan apa yang akan dibuat untuk instans sebelum dijalankan. Untuk membatasi kemampuan pengguna memodifikasi perintah atau skrip yang dimasukkan dalam profil shell mereka, kami merekomendasikan hal berikut:
Buat dokumen tipe sesi yang dikustomisasi untuk pengguna dan peran AWS Identity and Access Management (IAM) . Kemudian modifikasi kebijakan IAM untuk pengguna dan peran ini sehingga operasi API `StartSession` hanya dapat menggunakan dokumen tipe Sesi yang telah Anda buat untuk mereka. Untuk informasi, lihat [Buat dokumen Session Manager preferensi (baris perintah)](getting-started-create-preferences-cli.md) dan [Kebijakan pengguna akhir Quickstart untuk Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user).
Modifikasi kebijakan IAM untuk pengguna dan peran IAM Anda untuk menolak akses ke operasi API `UpdateDocument` untuk sumber dokumen tipe Sesi yang Anda buat. Hal ini mengizinkan pengguna dan peran Anda untuk menggunakan dokumen yang Anda buat untuk preferensi sesi mereka tanpa mengizinkan mereka untuk memodifikasi salah satu pengaturan.
**Untuk mengaktifkan profil shell yang dapat dikonfigurasi**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.
1. Tentukan variabel lingkungan, preferensi shell, atau perintah yang ingin Anda jalankan ketika sesi Anda dimulai di bidang untuk sistem operasi yang berlaku.
1. Pilih **Simpan**.
Berikut ini adalah beberapa perintah contoh yang dapat ditambahkan ke profil shell Anda.
Ubah ke shell bash dan ubah ke direktori /usr pada instance. Linux
```
exec /bin/bash
cd /usr
```
Keluarkan stempel waktu dan pesan selamat datang pada awal sesi.
------
#### [ Linux & macOS ]
```
timestamp=$(date '+%Y-%m-%dT%H:%M:%SZ')
user=$(whoami)
echo $timestamp && echo "Welcome $user"'!'
echo "You have logged in to a production instance. Note that all session activity is being logged."
```
------
#### [ Windows ]
```
$timestamp = (Get-Date).ToString("yyyy-MM-ddTH:mm:ssZ")
$splitName = (whoami).Split("\")
$user = $splitName[1]
Write-Host $timestamp
Write-Host "Welcome $user!"
Write-Host "You have logged in to a production instance. Note that all session activity is being logged."
```
------
Lihat aktivitas sistem dinamis pada awal sesi.
------
#### [ Linux & macOS ]
```
top
```
------
#### [ Windows ]
```
while ($true) { Get-Process | Sort-Object -Descending CPU | Select-Object -First 30; `
Start-Sleep -Seconds 2; cls
Write-Host "Handles NPM(K) PM(K) WS(K) VM(M) CPU(s) Id ProcessName";
Write-Host "------- ------ ----- ----- ----- ------ -- -----------"}
```
------
# Aktifkan dukungan Run As untuk Linux dan node macOS terkelola
Secara default, Session Manager mengautentikasi koneksi menggunakan kredensi `ssm-user` akun yang dihasilkan sistem yang dibuat pada node terkelola. (Di Linux dan mesin macOS, akun ini ditambahkan ke `/etc/sudoers/`.) Jika Anda memilih, Anda dapat mengautentikasi sesi menggunakan kredensi akun pengguna sistem operasi (OS), atau pengguna domain untuk instance yang bergabung ke Direktori Aktif. Dalam hal ini, Session Manager memverifikasi bahwa akun OS yang Anda tentukan ada di node, atau di domain, sebelum memulai sesi. Jika Anda mencoba memulai sesi menggunakan akun OS yang tidak ada di node, atau di domain, koneksi gagal.
**catatan**
Session Manager tidak mendukung penggunaan akun `root` pengguna sistem operasi untuk mengautentikasi koneksi. Untuk sesi yang diautentikasi menggunakan akun pengguna OS, kebijakan tingkat OS dan direktori node, seperti pembatasan login atau pembatasan penggunaan sumber daya sistem, mungkin tidak berlaku.
**Cara kerjanya**
Jika Anda mengaktifkan dukungan Run As untuk sesi, sistem memeriksa izin akses sebagai berikut:
1. Untuk pengguna yang memulai sesi, apakah entitas IAM mereka (pengguna atau peran) telah ditandai? `SSMSessionRunAs = os user account name`
Jika Ya, apakah nama pengguna OS ada di node terkelola? Jika ya, mulai sesi. Jika tidak, jangan izinkan sesi dimulai.
Jika entitas IAM *belum* diberi tag`SSMSessionRunAs = os user account name`, lanjutkan ke langkah 2.
1. Jika entitas IAM belum diberi tag`SSMSessionRunAs = os user account name`, apakah nama pengguna OS telah ditentukan dalam preferensi Akun AWS? Session Manager
Jika Ya, apakah nama pengguna OS ada di node terkelola? Jika ya, mulai sesi. Jika tidak, jangan izinkan sesi dimulai.
**catatan**
Saat Anda mengaktifkan dukungan Run As, ini mencegah Session Manager memulai sesi menggunakan `ssm-user` akun pada node terkelola. Ini berarti bahwa jika Session Manager gagal terhubung menggunakan akun pengguna OS yang ditentukan, itu tidak akan kembali ke koneksi menggunakan metode default.
Jika Anda mengaktifkan Run As tanpa menentukan akun OS atau menandai entitas IAM, dan Anda belum menentukan akun OS dalam preferensi Session Manager, upaya koneksi sesi akan gagal.
**Untuk mengaktifkan dukungan Run As untuk Linux dan node macOS terkelola**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.
1. Pilih kotak centang di samping **Aktifkan dukungan Run As untuk Linux instance.**
1. Lakukan salah satu tindakan berikut:
+ **Opsi 1**: Di bidang **Nama pengguna sistem operasi**, masukkan nama akun pengguna OS yang ingin Anda gunakan untuk memulai sesi. Menggunakan opsi ini, semua sesi dijalankan oleh pengguna OS yang sama untuk semua pengguna di Anda Akun AWS yang terhubung menggunakanSession Manager.
+ **Opsi 2** (Disarankan): Pilih tautan **Buka konsol IAM**. Di panel navigasi, pilih **Pengguna** atau **Peran**. Pilih entitas (pengguna atau peran) untuk menambahkan tanda, dan kemudian pilih tab **Tanda**. Masukkan `SSMSessionRunAs` untuk nama kunci. Masukkan nama akun pengguna OS untuk nilai kunci. Pilih **Simpan perubahan**.
Dengan menggunakan opsi ini, Anda dapat menentukan pengguna OS unik untuk entitas IAM yang berbeda jika Anda memilih. *Untuk informasi selengkapnya tentang menandai entitas IAM (pengguna atau peran), lihat [Menandai sumber daya IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di Panduan Pengguna IAM.*
Berikut adalah contohnya.
![\[Screenshot dari menentukan tag untuk izin Session Manager Run As.\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/ssn-run-as-tags.png)
1. Pilih **Simpan**.
# Aktifkan enkripsi kunci KMS data sesi (konsol)
Gunakan AWS Key Management Service (AWS KMS) untuk membuat dan mengelola kunci enkripsi. Dengan AWS KMS, Anda dapat mengontrol penggunaan enkripsi di berbagai Layanan AWS dan dalam aplikasi Anda. Anda dapat menentukan bahwa data sesi yang ditransmisikan antara node terkelola Anda dan mesin lokal pengguna di Anda Akun AWS dienkripsi menggunakan enkripsi kunci KMS. (Ini merupakan tambahan dari enkripsi TLS 1.2/1.3 yang AWS sudah disediakan secara default.) Untuk mengenkripsi data Session Manager sesi, buat kunci KMS *simetris* menggunakan. AWS KMS
AWS KMS enkripsi tersedia untuk`Standard_Stream`,`InteractiveCommands`, dan jenis `NonInteractiveCommands` sesi. Untuk menggunakan opsi untuk mengenkripsi data sesi menggunakan kunci yang dibuat AWS KMS, versi 2.3.539.0 atau yang lebih baru AWS Systems Manager SSM Agent harus diinstal pada node terkelola.
**catatan**
Anda harus mengizinkan AWS KMS enkripsi untuk mengatur ulang kata sandi pada node terkelola Anda dari AWS Systems Manager konsol. Untuk informasi selengkapnya, lihat [Setel ulang kata sandi pada node terkelola](fleet-manager-reset-password.md#managed-instance-reset-a-password).
Anda dapat menggunakan kunci yang Anda buat di Akun AWS. Anda juga dapat menggunakan kunci yang dibuat dalam Akun AWS yang berbeda. Pembuat kunci di tempat lain Akun AWS harus memberi Anda izin yang diperlukan untuk menggunakan kunci tersebut.
Setelah Anda mengaktifkan enkripsi kunci KMS untuk data sesi Anda, baik pengguna yang memulai sesi dan node terkelola yang mereka sambungkan harus memiliki izin untuk menggunakan kunci tersebut. Anda memberikan izin untuk menggunakan kunci KMS dengan kebijakan Session Manager through AWS Identity and Access Management (IAM). Untuk informasi, lihat topik berikut:
+ Tambahkan AWS KMS izin untuk pengguna di akun Anda:[Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md).
+ Tambahkan AWS KMS izin untuk node terkelola di akun Anda:[Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager](session-manager-getting-started-instance-profile.md).
Untuk informasi lebih lanjut tentang membuat dan mengelola kunci KMS, lihat [https://docs.aws.amazon.com/kms/latest/developerguide/](https://docs.aws.amazon.com/kms/latest/developerguide/).
Untuk informasi tentang penggunaan AWS CLI untuk mengaktifkan enkripsi kunci KMS dari data sesi di akun Anda, lihat [Buat dokumen Session Manager preferensi (baris perintah)](getting-started-create-preferences-cli.md) atau[Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md).
**catatan**
Ada biaya untuk menggunakan kunci KMS. Untuk informasi, lihat [harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
**Untuk mengaktifkan enkripsi kunci KMS data sesi (konsol)**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.
1. Pilih kotak centang di sebelah **Aktifkan enkripsi KMS**.
1. Lakukan salah satu tindakan berikut:
+ Pilih tombol di samping **Pilih kunci KMS di akun saya saat ini**, lalu pilih kunci dari daftar.
-atau-
Pilih tombol di samping **Masukkan alias kunci KMS atau ARN kunci KMS**. Secara manual masukkan alias kunci KMS untuk kunci yang dibuat di akun Anda saat ini, atau masukkan Amazon Resource Name (ARN) kunci untuk kunci di akun lain. Berikut ini adalah contoh-contohnya:
+ Alias kunci: `alias/my-kms-key-alias`
+ ARN kunci: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE`
-atau-
Pilih **Buat kunci baru** untuk membuat kunci KMS baru di akun Anda. Setelah Anda membuat kunci baru, kembali ke tab **Preferensi** dan pilih kunci untuk mengenkripsi data sesi di akun Anda.
Untuk informasi selengkapnya tentang berbagi kunci, lihat [Mengizinkan Eksternal Akun AWS Mengakses kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-external-accounts) di *Panduan AWS Key Management Service Pengembang*.
1. Pilih **Simpan**.
# Buat dokumen Session Manager preferensi (baris perintah)
Gunakan prosedur berikut untuk membuat dokumen SSM yang menentukan preferensi Anda untuk AWS Systems Manager Session Manager sesi. Anda dapat menggunakan dokumen untuk mengonfigurasi opsi sesi termasuk enkripsi data, durasi sesi, dan pencatatan. Misalnya, Anda dapat menentukan apakah akan menyimpan data log sesi di bucket Amazon Simple Storage Service (Amazon S3) atau grup log CloudWatch Amazon Logs. Anda dapat membuat dokumen yang menentukan preferensi umum untuk semua sesi untuk Akun AWS dan Wilayah AWS, atau yang menentukan preferensi untuk sesi individual.
**catatan**
Anda juga dapat mengonfigurasi preferensi sesi umum dengan menggunakan konsol Pengelola Sesi.
Dokumen yang digunakan untuk mengatur preferensi Manajer Sesi harus memiliki `sessionType` a`Standard_Stream`. Untuk informasi selengkapnya tentang dokumen Sesi, lihat[Skema dokumen sesi](session-manager-schema.md).
Untuk informasi tentang menggunakan baris perintah untuk memperbarui Session Manager preferensi yang ada, lihat[Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md).
Untuk contoh cara membuat preferensi sesi menggunakan CloudFormation, lihat [Membuat dokumen Systems Manager untuk Session Manager preferensi](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ssm-document.html#aws-resource-ssm-document--examples) di *Panduan AWS CloudFormation Pengguna*.
**catatan**
Prosedur ini menjelaskan cara membuat dokumen untuk mengatur Session Manager preferensi di Akun AWS level tersebut. Untuk membuat dokumen yang akan digunakan untuk mengatur preferensi tingkat sesi, tentukan nilai selain `SSM-SessionManagerRunShell` untuk input perintah terkait nama file.
Untuk menggunakan dokumen Anda untuk mengatur preferensi untuk sesi yang dimulai dari AWS Command Line Interface (AWS CLI), berikan nama dokumen sebagai nilai `--document-name` parameter. Untuk mengatur preferensi sesi yang dimulai dari konsol Pengelola Sesi, Anda dapat mengetik atau memilih nama dokumen dari daftar.
**Untuk membuat Session Manager preferensi (baris perintah)**
1. Buat file JSON pada mesin lokal Anda dengan nama seperti `SessionManagerRunShell.json`, dan kemudian tempel konten berikut ke dalamnya.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "",
"s3KeyPrefix": "",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "",
"runAsEnabled": false,
"runAsDefaultUser": "",
"idleSessionTimeout": "",
"maxSessionDuration": "",
"shellProfile": {
"windows": "date",
"linux": "pwd;ls"
}
}
}
```
Anda juga dapat meluluskan nilai ke preferensi sesi Anda menggunakan parameter bukan hardcoding nilai seperti yang ditunjukkan dalam contoh berikut.
```
{
"schemaVersion":"1.0",
"description":"Session Document Parameter Example JSON Template",
"sessionType":"Standard_Stream",
"parameters":{
"s3BucketName":{
"type":"String",
"default":""
},
"s3KeyPrefix":{
"type":"String",
"default":""
},
"s3EncryptionEnabled":{
"type":"Boolean",
"default":"false"
},
"cloudWatchLogGroupName":{
"type":"String",
"default":""
},
"cloudWatchEncryptionEnabled":{
"type":"Boolean",
"default":"false"
}
},
"inputs":{
"s3BucketName":"{{s3BucketName}}",
"s3KeyPrefix":"{{s3KeyPrefix}}",
"s3EncryptionEnabled":"{{s3EncryptionEnabled}}",
"cloudWatchLogGroupName":"{{cloudWatchLogGroupName}}",
"cloudWatchEncryptionEnabled":"{{cloudWatchEncryptionEnabled}}",
"kmsKeyId":""
}
}
```
1. Tentukan di mana Anda ingin mengirim data sesi. Anda dapat menentukan nama bucket S3 (dengan awalan opsional) atau nama grup CloudWatch log Log. Jika Anda ingin mengenkripsi data lebih lanjut antara klien lokal dan node terkelola, berikan kunci KMS yang akan digunakan untuk enkripsi. Berikut adalah contohnya.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "amzn-s3-demo-bucket",
"s3KeyPrefix": "MyS3Prefix",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "MyLogGroupName",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "MyKMSKeyID",
"runAsEnabled": true,
"runAsDefaultUser": "MyDefaultRunAsUser",
"idleSessionTimeout": "20",
"maxSessionDuration": "60",
"shellProfile": {
"windows": "MyCommands",
"linux": "MyCommands"
}
}
}
```
**catatan**
Jika Anda tidak ingin mengenkripsi data log sesi, ubah `true` ke `false` untuk `s3EncryptionEnabled`.
Jika Anda tidak mengirim log ke bucket Amazon S3 atau grup CloudWatch log Log, tidak ingin mengenkripsi data sesi aktif, atau tidak ingin mengaktifkan dukungan Run As untuk sesi di akun Anda, Anda dapat menghapus baris untuk opsi tersebut. Pastikan baris terakhir di bagian `inputs` tidak berakhir dengan koma.
Jika Anda menambahkan ID kunci KMS untuk mengenkripsi data sesi Anda, baik pengguna yang memulai sesi dan node terkelola yang mereka sambungkan harus memiliki izin untuk menggunakan kunci tersebut. Anda memberikan izin untuk menggunakan kunci KMS Session Manager melalui kebijakan IAM. Untuk informasi, lihat topik berikut:
Tambahkan AWS KMS izin untuk pengguna di akun Anda: [Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md)
Tambahkan AWS KMS izin untuk node terkelola di akun Anda: [Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager](session-manager-getting-started-instance-profile.md)
1. Simpan file tersebut.
1. Dalam direktori tempat Anda membuat file JSON, jalankan perintah berikut.
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--name SSM-SessionManagerRunShell \
--content "file://SessionManagerRunShell.json" \
--document-type "Session" \
--document-format JSON
```
------
#### [ Windows ]
```
aws ssm create-document ^
--name SSM-SessionManagerRunShell ^
--content "file://SessionManagerRunShell.json" ^
--document-type "Session" ^
--document-format JSON
```
------
#### [ PowerShell ]
```
New-SSMDocument `
-Name "SSM-SessionManagerRunShell" `
-Content (Get-Content -Raw SessionManagerRunShell.json) `
-DocumentType "Session" `
-DocumentFormat JSON
```
------
Jika berhasil, perintah mengembalikan output yang serupa dengan berikut.
```
{
"DocumentDescription": {
"Status": "Creating",
"Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE",
"Name": "SSM-SessionManagerRunShell",
"Tags": [],
"DocumentType": "Session",
"PlatformTypes": [
"Windows",
"Linux"
],
"DocumentVersion": "1",
"HashType": "Sha256",
"CreatedDate": 1547750660.918,
"Owner": "111122223333",
"SchemaVersion": "1.0",
"DefaultVersion": "1",
"DocumentFormat": "JSON",
"LatestVersion": "1"
}
}
```
# Perbarui Session Manager preferensi (baris perintah)
Prosedur berikut menjelaskan cara menggunakan alat baris perintah pilihan Anda untuk membuat perubahan pada AWS Systems Manager Session Manager preferensi untuk Anda Akun AWS di yang dipilih Wilayah AWS. Gunakan Session Manager preferensi untuk menentukan opsi untuk mencatat data sesi di bucket Amazon Simple Storage Service (Amazon S3) atau grup log CloudWatch Amazon Logs. Anda juga dapat menggunakan Session Manager preferensi untuk mengenkripsi data sesi Anda.
**Untuk memperbarui Session Manager preferensi (baris perintah)**
1. Buat file JSON pada mesin lokal Anda dengan nama seperti `SessionManagerRunShell.json`, dan kemudian tempel konten berikut ke dalamnya.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "",
"s3KeyPrefix": "",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "",
"runAsEnabled": true,
"runAsDefaultUser": "",
"idleSessionTimeout": "",
"maxSessionDuration": "",
"shellProfile": {
"windows": "date",
"linux": "pwd;ls"
}
}
}
```
1. Tentukan di mana Anda ingin mengirim data sesi. Anda dapat menentukan nama bucket S3 (dengan awalan opsional) atau nama grup CloudWatch log Log. Jika Anda ingin mengenkripsi data lebih lanjut antara klien lokal dan node terkelola, sediakan AWS KMS key untuk digunakan untuk enkripsi. Berikut adalah contohnya.
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "amzn-s3-demo-bucket",
"s3KeyPrefix": "MyS3Prefix",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "MyLogGroupName",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": false,
"kmsKeyId": "MyKMSKeyID",
"runAsEnabled": true,
"runAsDefaultUser": "MyDefaultRunAsUser",
"idleSessionTimeout": "20",
"maxSessionDuration": "60",
"shellProfile": {
"windows": "MyCommands",
"linux": "MyCommands"
}
}
}
```
**catatan**
Jika Anda tidak ingin mengenkripsi data log sesi, ubah `true` ke `false` untuk `s3EncryptionEnabled`.
Jika Anda tidak mengirim log ke bucket Amazon S3 atau grup CloudWatch log Log, tidak ingin mengenkripsi data sesi aktif, atau tidak ingin mengaktifkan dukungan Run As untuk sesi di akun Anda, Anda dapat menghapus baris untuk opsi tersebut. Pastikan baris terakhir di bagian `inputs` tidak berakhir dengan koma.
Jika Anda menambahkan ID kunci KMS untuk mengenkripsi data sesi Anda, baik pengguna yang memulai sesi dan node terkelola yang mereka sambungkan harus memiliki izin untuk menggunakan kunci tersebut. Anda memberikan izin untuk menggunakan kunci KMS dengan kebijakan Session Manager through AWS Identity and Access Management (IAM). Untuk informasi, lihat topik berikut:
Tambahkan AWS KMS izin untuk pengguna di akun Anda:[Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md).
Tambahkan AWS KMS izin untuk node terkelola di akun Anda:[Langkah 2: Verifikasi atau tambahkan izin instance untuk Session Manager](session-manager-getting-started-instance-profile.md).
1. Simpan file tersebut.
1. Dalam direktori tempat Anda membuat file JSON, jalankan perintah berikut.
------
#### [ Linux & macOS ]
```
aws ssm update-document \
--name "SSM-SessionManagerRunShell" \
--content "file://SessionManagerRunShell.json" \
--document-version "\$LATEST"
```
------
#### [ Windows ]
```
aws ssm update-document ^
--name "SSM-SessionManagerRunShell" ^
--content "file://SessionManagerRunShell.json" ^
--document-version "$LATEST"
```
------
#### [ PowerShell ]
```
Update-SSMDocument `
-Name "SSM-SessionManagerRunShell" `
-Content (Get-Content -Raw SessionManagerRunShell.json) `
-DocumentVersion '$LATEST'
```
------
Jika berhasil, perintah mengembalikan output yang serupa dengan berikut.
```
{
"DocumentDescription": {
"Status": "Updating",
"Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE",
"Name": "SSM-SessionManagerRunShell",
"Tags": [],
"DocumentType": "Session",
"PlatformTypes": [
"Windows",
"Linux"
],
"DocumentVersion": "2",
"HashType": "Sha256",
"CreatedDate": 1537206341.565,
"Owner": "111122223333",
"SchemaVersion": "1.0",
"DefaultVersion": "1",
"DocumentFormat": "JSON",
"LatestVersion": "2"
}
}
```
# Langkah 5: (Opsional) Batasi akses ke perintah dalam sesi
Anda dapat membatasi perintah yang dapat dijalankan pengguna dalam AWS Systems Manager Session Manager sesi dengan menggunakan dokumen `Session` tipe kustom AWS Systems Manager (SSM). Dalam dokumen, Anda menentukan perintah yang dijalankan ketika pengguna memulai sesi dan parameter yang dapat diberikan pengguna ke perintah. Dokumen `Session` dari `schemaVersion` harus 1.0, dan `sessionType` dokumen harus `InteractiveCommands`. Anda kemudian dapat membuat kebijakan AWS Identity and Access Management (IAM) yang memungkinkan pengguna mengakses hanya `Session` dokumen yang Anda tentukan. Untuk informasi selengkapnya tentang cara menggunakan kebijakan IAM untuk membatasi akses ke perintah dalam sesi, lihat [Contoh kebijakan IAM untuk perintah interaktif](#interactive-command-policy-examples).
Dokumen dengan `sessionType` of hanya `InteractiveCommands` didukung untuk sesi yang dimulai dari AWS Command Line Interface (AWS CLI). Pengguna memberikan nama dokumen kustom sebagai nilai `--document-name` parameter dan memberikan nilai parameter perintah apa pun menggunakan `--parameters` opsi. Untuk informasi selengkapnya tentang menjalankan perintah interaktif, lihat [Memulai sesi (perintah interaktif dan noninteraktif)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands).
Gunakan prosedur berikut untuk membuat dokumen SSM `Session` tipe kustom yang mendefinisikan perintah pengguna diizinkan untuk menjalankan.
## Batasi akses ke perintah dalam sesi (konsol)
**Untuk membatasi perintah yang dapat dijalankan pengguna dalam Session Manager sesi (konsol)**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Dokumen**.
1. Pilih **Buat perintah atau sesi**.
1. Untuk **Nama**, masukkan nama deskriptif untuk dokumen.
1. Untuk **tipe dokumen**, pilih **Dokumen sesi**.
1. Masukkan konten dokumen Anda yang mendefinisikan perintah yang dapat dijalankan pengguna dalam Session Manager sesi menggunakan JSON atau YAMM, seperti yang ditunjukkan pada contoh berikut.
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to view a log file on a Linux instance
sessionType: InteractiveCommands
parameters:
logpath:
type: String
description: The log file path to read.
default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
properties:
linux:
commands: "tail -f {{ logpath }}"
runAsElevated: true
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to view a log file on a Linux instance",
"sessionType": "InteractiveCommands",
"parameters": {
"logpath": {
"type": "String",
"description": "The log file path to read.",
"default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
"allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
}
},
"properties": {
"linux": {
"commands": "tail -f {{ logpath }}",
"runAsElevated": true
}
}
}
```
------
1. Pilih **Buat dokumen**.
## Batasi akses ke perintah dalam sesi (baris perintah)
**Sebelum Anda mulai**
Jika Anda belum melakukannya, instal dan konfigurasikan AWS Command Line Interface (AWS CLI) atau file Alat AWS untuk PowerShell. Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dan [Menginstal Alat AWS untuk PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).
**Untuk membatasi perintah yang dapat dijalankan pengguna dalam Session Manager sesi (baris perintah)**
1. Buat file JSON atau YAMAL untuk konten dokumen Anda yang mendefinisikan perintah yang dapat dijalankan pengguna dalam Session Manager sesi, seperti yang ditunjukkan pada contoh berikut.
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to view a log file on a Linux instance
sessionType: InteractiveCommands
parameters:
logpath:
type: String
description: The log file path to read.
default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
properties:
linux:
commands: "tail -f {{ logpath }}"
runAsElevated: true
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to view a log file on a Linux instance",
"sessionType": "InteractiveCommands",
"parameters": {
"logpath": {
"type": "String",
"description": "The log file path to read.",
"default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
"allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
}
},
"properties": {
"linux": {
"commands": "tail -f {{ logpath }}",
"runAsElevated": true
}
}
}
```
------
1. Jalankan perintah berikut untuk membuat dokumen SSM menggunakan konten Anda yang mendefinisikan perintah yang dapat dijalankan pengguna dalam sesi. Session Manager
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--content file://path/to/file/documentContent.json \
--name "exampleAllowedSessionDocument" \
--document-type "Session"
```
------
#### [ Windows ]
```
aws ssm create-document ^
--content file://C:\path\to\file\documentContent.json ^
--name "exampleAllowedSessionDocument" ^
--document-type "Session"
```
------
#### [ PowerShell ]
```
$json = Get-Content -Path "C:\path\to\file\documentContent.json" | Out-String
New-SSMDocument `
-Content $json `
-Name "exampleAllowedSessionDocument" `
-DocumentType "Session"
```
------
## Parameter perintah interaktif dan AWS CLI
Ada berbagai cara yang dapat Anda lakukan dalam memberikan parameter perintah interaktif saat menggunakan AWS CLI. Bergantung pada sistem operasi (OS) mesin klien Anda yang Anda gunakan untuk terhubung ke node terkelola dengan AWS CLI, sintaks yang Anda berikan untuk perintah yang berisi karakter khusus atau escape mungkin berbeda. Contoh berikut menunjukkan beberapa cara berbeda Anda dapat memberikan parameter perintah saat menggunakan AWS CLI, dan cara menangani karakter khusus atau escape.
Parameter yang disimpan dalam Parameter Store dapat direferensikan dalam AWS CLI untuk parameter perintah Anda seperti yang ditunjukkan pada contoh berikut.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters '{"command":["{{ssm:mycommand}}"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters '{"command":["{{ssm:mycommand}}"]}'
```
------
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan sintaks singkat dengan AWS CLI untuk meneruskan parameter.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters command="ifconfig"
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters command="ipconfig"
```
------
Anda juga dapat memberikan parameter di JSON seperti yang ditunjukkan dalam contoh berikut.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters '{"command":["ifconfig"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters '{"command":["ipconfig"]}'
```
------
Parameter juga dapat disimpan dalam file JSON dan disediakan untuk AWS CLI seperti yang ditunjukkan pada contoh berikut. Untuk informasi lebih lanjut tentang penggunaan parameter AWS CLI dari file, lihat [Memuat parameter AWS CLI dari file](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-parameters-file.html) di *Panduan Pengguna AWS Command Line Interface *.
```
{
"command": [
"my command"
]
}
```
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters file://complete/path/to/file/parameters.json
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters file://complete/path/to/file/parameters.json
```
------
Anda juga dapat menghasilkan AWS CLI kerangka dari file input JSON seperti yang ditunjukkan pada contoh berikut. *Untuk informasi selengkapnya tentang menghasilkan AWS CLI kerangka dari file input JSON, lihat [Menghasilkan AWS CLI kerangka dan parameter input dari file input JSON atau YAMM di Panduan Pengguna](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-skeleton.html).AWS Command Line Interface *
```
{
"Target": "instance-id",
"DocumentName": "MyInteractiveCommandDocument",
"Parameters": {
"command": [
"my command"
]
}
}
```
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--cli-input-json file://complete/path/to/file/parameters.json
```
------
#### [ Windows ]
```
aws ssm start-session ^
--cli-input-json file://complete/path/to/file/parameters.json
```
------
Agar karakter escape di dalam tanda kutip, Anda harus menambahkan garis miring tambahan untuk karakter escape seperti yang ditunjukkan dalam contoh berikut.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name MyInteractiveCommandDocument \
--parameters '{"command":["printf \"abc\\\\tdef\""]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name MyInteractiveCommandDocument ^
--parameters '{"command":["printf \"abc\\\\tdef\""]}'
```
------
Untuk informasi tentang menggunakan tanda kutip dengan parameter perintah di AWS CLI lihat [Menggunakan tanda kutip dengan string di AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/;cli-usage-parameters-quoting-strings.html) pada *AWS Command Line Interface Panduan Pengguna*.
## Contoh kebijakan IAM untuk perintah interaktif
Anda dapat membuat kebijakan IAM yang mengizinkan pengguna untuk mengakses hanya dokumen `Session` yang Anda tentukan. Ini membatasi perintah yang dapat dijalankan pengguna dalam Session Manager sesi hanya pada perintah yang ditentukan dalam dokumen SSM `Session` tipe kustom Anda.
**Izinkan pengguna menjalankan perintah interaktif pada satu node terkelola**
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ssm:StartSession",
"Resource":[
"arn:aws:ec2:us-east-1:444455556666:instance/i-02573cafcfEXAMPLE",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
**Izinkan pengguna menjalankan perintah interaktif pada semua node yang dikelola**
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ssm:StartSession",
"Resource":[
"arn:aws:ec2:us-east-1:444455556666:instance/*",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
**Izinkan pengguna menjalankan beberapa perintah interaktif pada semua node yang dikelola**
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ssm:StartSession",
"Resource":[
"arn:aws:ec2:us-east-1:444455556666:instance/*",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document",
"arn:aws:ssm:us-east-1:444455556666:document/allowed-session-document-2"
]
},
{
"Effect": "Allow",
"Action": ["ssmmessages:OpenDataChannel"],
"Resource": ["arn:aws:ssm:*:*:session/${aws:userid}-*"]
}
]
}
```
# Langkah 6: (Opsional) Gunakan AWS PrivateLink untuk mengatur titik akhir VPC untuk Session Manager
Anda dapat lebih meningkatkan postur keamanan node terkelola Anda dengan mengonfigurasi AWS Systems Manager untuk menggunakan titik akhir antarmuka virtual private cloud (VPC). Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses Amazon Elastic Compute Cloud (Amazon EC2) dan Systems Manager APIs secara pribadi dengan menggunakan alamat IP pribadi.
AWS PrivateLink membatasi semua lalu lintas jaringan antara node terkelola, Systems Manager, dan Amazon EC2 ke jaringan Amazon. (Node terkelola tidak memiliki akses ke internet.) Selain itu, Anda tidak memerlukan gateway internet, perangkat NAT, atau gateway privat virtual.
Untuk informasi tentang membuat titik akhir VPC, lihat [Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC](setup-create-vpc.md) untuk Systems Manager.
Alternatif untuk menggunakan titik akhir VPC adalah mengizinkan akses internet keluar pada node terkelola Anda. Dalam hal ini, node yang dikelola juga harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut:
+ `ec2messages.region.amazonaws.com`
+ `ssm.region.amazonaws.com`
+ `ssmmessages.region.amazonaws.com`
Systems Manager menggunakan yang terakhir dari titik akhir ini`ssmmessages.region.amazonaws.com`,, untuk melakukan panggilan dari SSM Agent ke Session Manager layanan di cloud.
Untuk menggunakan fitur opsional seperti enkripsi AWS Key Management Service (AWS KMS), streaming log ke Amazon CloudWatch Logs (CloudWatch Log), dan mengirim log ke Amazon Simple Storage Service (Amazon S3), Anda harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut:
+ `kms.region.amazonaws.com`
+ `logs.region.amazonaws.com`
+ `s3.region.amazonaws.com`
Untuk informasi lebih lanjut tentang titik akhir yang diperlukan untuk Systems Manager, lihat [Referensi: ec2messages, ssmmessages, dan operasi API lainnya](systems-manager-setting-up-messageAPIs.md).
# Langkah 7: (Opsional) Aktifkan atau nonaktifkan izin administratif akun ssm-user
Dimulai dengan versi 2.3.50.0 dari AWS Systems Manager SSM Agent, agen membuat akun pengguna lokal yang disebut `ssm-user` dan menambahkannya ke `/etc/sudoers` (LinuxdanmacOS) atau ke grup Administrator (). Windows Pada versi agen lebih awal dari 2.3.612.0, akun dibuat pertama kali SSM Agent dimulai atau dimulai ulang setelah penginstalan. Pada versi 2.3.612.0 dan yang lebih baru, `ssm-user` akun dibuat saat pertama kali sesi dimulai pada node. Ini `ssm-user` adalah pengguna sistem operasi default (OS) ketika AWS Systems Manager Session Manager sesi dimulai. SSM Agentversi 2.3.612.0 dirilis pada 8 Mei 2019.
Jika Anda ingin mencegah Session Manager pengguna menjalankan perintah administratif pada node, Anda dapat memperbarui izin `ssm-user` akun. Anda juga dapat memulihkan izin ini setelah izin yang diperbarui telah dihapus.
**Topics**
+ [Mengelola izin akun sudo ssm-user pada dan Linux macOS](#ssm-user-permissions-linux)
+ [Mengelola izin akun Administrator ssm-user pada Windows Server](#ssm-user-permissions-windows)
## Mengelola izin akun sudo ssm-user pada dan Linux macOS
Gunakan salah satu prosedur berikut untuk mengaktifkan atau mematikan izin sudo akun ssm-user dan node terkelola. Linux macOS
**Gunakan Run Command untuk memodifikasi izin sudo ssm-user (konsol)**
+ Gunakan prosedur di [Menjalankan perintah dari konsol](running-commands-console.md) dengan nilai berikut:
+ Untuk **Dokumen perintah**, pilih `AWS-RunShellScript`.
+ Untuk menghapus akses sudo, di area **Parameter perintah**, tempel berikut ini di kotak **Perintah**.
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
-atau-
Untuk memulihkan akses sudo, di area **Parameter perintah**, tempel berikut ini di kotak **Perintah**.
```
cd /etc/sudoers.d
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```
**Gunakan baris perintah untuk memodifikasi izin sudo ssm-user (AWS CLI)**
1. Connect ke node yang dikelola dan jalankan perintah berikut.
```
sudo -s
```
1. Ganti direktori kerja menggunakan perintah berikut.
```
cd /etc/sudoers.d
```
1. Buka file bernama `ssm-agent-users` untuk mengedit.
1. Untuk menghapus akses sudo, hapus baris berikut.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
-atau-
Untuk memulihkan akses sudo, tambahkan baris berikut.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
1. Simpan file.
## Mengelola izin akun Administrator ssm-user pada Windows Server
Gunakan salah satu prosedur berikut untuk mengaktifkan atau mematikan izin Administrator akun ssm-user pada node terkelola. Windows Server
**Gunakan Run Command untuk mengubah izin Administrator (konsol)**
+ Gunakan prosedur di [Menjalankan perintah dari konsol](running-commands-console.md) dengan nilai berikut:
Untuk **Dokumen perintah**, pilih `AWS-RunPowerShellScript`.
Untuk menghapus akses administratif, di area **Parameter perintah**, tempel berikut ini di kotak **Perintah**.
```
net localgroup "Administrators" "ssm-user" /delete
```
-atau-
Untuk memulihkan akses administratif, di area **Parameter perintah**, tempel berikut ini di kotak **Perintah**.
```
net localgroup "Administrators" "ssm-user" /add
```
**Gunakan jendela prompt perintah PowerShell atau untuk mengubah izin Administrator**
1. Connect ke node terkelola dan buka jendela PowerShell atau Command Prompt.
1. Untuk menghapus akses administratif, jalankan perintah berikut.
```
net localgroup "Administrators" "ssm-user" /delete
```
-atau-
Untuk memulihkan akses administratif, jalankan perintah berikut.
```
net localgroup "Administrators" "ssm-user" /add
```
**Gunakan Windows konsol untuk mengubah izin Administrator**
1. Connect ke node terkelola dan buka jendela PowerShell atau Command Prompt.
1. Dari baris perintah, jalankan `lusrmgr.msc` untuk membuka konsol **Pengguna dan Grup Lokal**.
1. Buka direktori **Pengguna**, dan kemudian buka **ssm-user**.
1. Pada tab **Anggota Dari**, lakukan salah satu hal berikut:
+ Untuk menghapus akses administratif, pilih **Administrator**, dan kemudian pilih **Hapus**.
-atau-
Untuk memulihkan akses administratif, masukkan **Administrators** di kotak teks, dan kemudian pilih **Tambahkan**.
1. Pilih **OKE**.
# Langkah 8: (Opsional) Izinkan dan kontrol izin untuk koneksi SSH melalui Session Manager
Anda dapat mengizinkan pengguna Akun AWS untuk menggunakan AWS Command Line Interface (AWS CLI) untuk membuat koneksi Secure Shell (SSH) ke node terkelola menggunakan AWS Systems Manager Session Manager. Pengguna yang terhubung menggunakan SSH juga dapat menyalin file antara mesin lokal mereka dan node yang dikelola menggunakan Secure Copy Protocol (SCP). Anda dapat menggunakan fungsi ini untuk terhubung ke node terkelola tanpa membuka port masuk atau mempertahankan host bastion.
Ketika Anda membuat koneksi SSH melaluiSession Manager, AWS CLI dan SSM Agent membuat WebSocket koneksi aman melalui TLS ke Session Manager endpoint. Sesi SSH berjalan dalam terowongan terenkripsi ini, menyediakan lapisan keamanan tambahan tanpa memerlukan port masuk untuk dibuka pada node terkelola Anda.
Setelah mengizinkan koneksi SSH, Anda dapat menggunakan kebijakan AWS Identity and Access Management (IAM) untuk secara eksplisit mengizinkan atau menolak pengguna, grup, atau peran untuk membuat koneksi SSH menggunakan. Session Manager
**catatan**
Logging tidak tersedia untuk Session Manager sesi yang terhubung melalui port forwarding atau SSH. Ini karena SSH mengenkripsi semua data sesi dalam koneksi TLS aman yang dibuat antara titik akhir dan Session Manager titik akhir, AWS CLI dan Session Manager hanya berfungsi sebagai terowongan untuk koneksi SSH.
**Topics**
+ [Mengizinkan koneksi SSH untuk Session Manager](#ssh-connections-enable)
+ [Mengontrol izin pengguna untuk koneksi SSH melalui Session Manager](#ssh-connections-permissions)
## Mengizinkan koneksi SSH untuk Session Manager
Gunakan langkah-langkah berikut untuk mengizinkan koneksi SSH melalui Session Manager pada node terkelola.
**Untuk memungkinkan koneksi SSH untuk Session Manager**
1. Pada node terkelola yang ingin Anda izinkan koneksi SSH, lakukan hal berikut:
+ Pastikan SSH berjalan pada node yang dikelola. (Anda dapat menutup port masuk pada node.)
+ Pastikan SSM Agent versi 2.3.672.0 atau yang lebih baru diinstal pada node terkelola.
Untuk informasi tentang menginstal atau memperbarui SSM Agent pada node terkelola, lihat topik berikut:
+ [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Windows Server](manually-install-ssm-agent-windows.md).
+ [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Linux](manually-install-ssm-agent-linux.md)
+ [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk macOS](manually-install-ssm-agent-macos.md)
+ [Cara menginstal SSM Agent pada node Windows hybrid](hybrid-multicloud-ssm-agent-install-windows.md)
+ [Cara menginstal SSM Agent pada node Linux hybrid](hybrid-multicloud-ssm-agent-install-linux.md)
**catatan**
Untuk menggunakan Session Manager server lokal, perangkat edge, dan mesin virtual (VMs) yang diaktifkan sebagai node terkelola, Anda harus menggunakan tingkat instance lanjutan. Untuk informasi selengkapnya tentang instans lanjutan, lihat [Mengonfigurasi tingkat instans](fleet-manager-configure-instance-tiers.md).
1. Pada mesin lokal tempat Anda ingin terhubung ke node terkelola menggunakan SSH, lakukan hal berikut:
+ Pastikan bahwa versi 1.1.23.0 atau yang lebih baru dari Session Manager plugin diinstal.
Untuk informasi tentang menginstal Session Manager plugin, lihat[Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).
+ Perbarui file konfigurasi SSH untuk memungkinkan menjalankan perintah proxy yang memulai Session Manager sesi dan mentransfer semua data melalui koneksi.
**Linux dan macOS**
**Tip**
File konfigurasi SSH biasanya terletak di `~/.ssh/config`.
Tambahkan berikut ke file konfigurasi di mesin lokal.
```
# SSH over Session Manager
Host i-* mi-*
ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"
User ec2-user
```
** Windows **
**Tip**
File konfigurasi SSH biasanya terletak di `C:\Users\\.ssh\config`.
Tambahkan berikut ke file konfigurasi di mesin lokal.
```
# SSH over Session Manager
Host i-* mi-*
ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
```
+ Buat atau verifikasi bahwa Anda memiliki sertifikat Privacy Enhanced Mail (file PEM), atau setidaknya kunci publik, untuk digunakan saat membuat koneksi ke node terkelola. Ini harus menjadi kunci yang sudah dikaitkan dengan node terkelola. Izin file kunci pribadi Anda harus diatur sehingga hanya Anda yang dapat membacanya. Anda dapat menggunakan perintah berikut untuk mengatur izin file kunci pribadi Anda sehingga hanya Anda yang dapat membacanya.
```
chmod 400 .pem
```
Misalnya, untuk instans Amazon Elastic Compute Cloud (Amazon EC2), file pasangan kunci yang Anda buat atau pilih saat Anda membuat instans. (Anda menentukan jalur ke sertifikat atau kunci sebagai bagian dari perintah untuk memulai sesi. Untuk informasi tentang memulai sesi menggunakan SSH, lihat [Memulai sesi (SSH)](session-manager-working-with-sessions-start.md#sessions-start-ssh).)
## Mengontrol izin pengguna untuk koneksi SSH melalui Session Manager
Setelah Anda mengaktifkan koneksi SSH melalui Session Manager pada node terkelola, Anda dapat menggunakan kebijakan IAM untuk mengizinkan atau menolak pengguna, grup, atau peran kemampuan untuk membuat koneksi SSH. Session Manager
**Untuk menggunakan kebijakan IAM untuk mengizinkan koneksi SSH melalui Session Manager**
+ Gunakan salah satu opsi berikut:
+ **Opsi 1**: Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
Di panel navigasi, pilih **Kebijakan**, lalu perbarui kebijakan izin untuk pengguna atau peran yang ingin Anda izinkan untuk memulai koneksi SSH. Session Manager
Misalnya, tambahkan elemen berikut ke kebijakan Quickstart yang Anda buat. [Kebijakan pengguna akhir Quickstart untuk Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user) Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartSession",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/instance-id",
"arn:aws:ssm:*:*:document/AWS-StartSSHSession"
]
},
{
"Effect": "Allow",
"Action": "ssmmessages:OpenDataChannel",
"Resource": "arn:aws:ssm:*:*:session/${aws:userid}-*"
}
]
}
```
------
+ **Opsi 2**: Lampirkan kebijakan inline ke kebijakan pengguna dengan menggunakan Konsol Manajemen AWS, the AWS CLI, atau AWS API.
Dengan menggunakan metode pilihan Anda, lampirkan pernyataan kebijakan di **Opsi 1** ke kebijakan untuk AWS pengguna, grup, atau peran.
Untuk informasi, lihat [Menambahkan dan Menghapus Izin Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dalam *Panduan Pengguna IAM*.
**Untuk menggunakan kebijakan IAM untuk menolak koneksi SSH melalui Session Manager**
+ Gunakan salah satu opsi berikut:
+ **Opsi 1**: Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). Di panel navigasi, pilih **Kebijakan, lalu perbarui kebijakan** izin untuk pengguna atau peran yang akan diblokir dari sesi awalSession Manager.
Misalnya, tambahkan elemen berikut ke kebijakan Quickstart yang Anda buat. [Kebijakan pengguna akhir Quickstart untuk Session Manager](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ssm:StartSession",
"Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
},
{
"Effect": "Allow",
"Action": "ssmmessages:OpenDataChannel",
"Resource": "arn:aws:ssm:*:*:session/${aws:userid}-*"
}
]
}
```
------
+ **Opsi 2**: Lampirkan kebijakan inline ke kebijakan pengguna dengan menggunakan Konsol Manajemen AWS, the AWS CLI, atau AWS API.
Dengan menggunakan metode pilihan Anda, lampirkan pernyataan kebijakan di **Opsi 1** ke kebijakan untuk AWS pengguna, grup, atau peran.
Untuk informasi, lihat [Menambahkan dan Menghapus Izin Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dalam *Panduan Pengguna IAM*.
# Bekerja dengan Session Manager
Anda dapat menggunakan AWS Systems Manager konsol, konsol Amazon Elastic Compute Cloud (Amazon EC2), atau AWS Command Line Interface (AWS CLI) untuk memulai sesi yang menghubungkan Anda ke node terkelola yang diberikan administrator sistem kepada Anda akses untuk menggunakan kebijakan AWS Identity and Access Management (IAM). Tergantung pada izin Anda, Anda juga dapat melihat informasi tentang sesi, melanjutkan sesi tidak aktif yang belum kehabisan waktu, dan mengakhiri sesi. Setelah sesi dibuat, itu tidak terpengaruh oleh durasi sesi peran IAM. Untuk informasi tentang membatasi durasi sesi dengan Session Manager, lihat [Tentukan nilai waktu habis sesi idle](session-preferences-timeout.md) dan[Tentukan durasi sesi maksimum](session-preferences-max-timeout.md).
Untuk informasi lebih lanjut tentang sesi, lihat [Apa itu sesi?](session-manager.md#what-is-a-session)
**Topics**
+ [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md)
+ [Mulai sesi](session-manager-working-with-sessions-start.md)
+ [Mengakhiri sesi](session-manager-working-with-sessions-end.md)
+ [Lihat riwayat sesi](session-manager-working-with-view-history.md)
# Instal Session Manager plugin untuk AWS CLI
Untuk memulai Session Manager sesi dengan node terkelola Anda dengan menggunakan AWS Command Line Interface (AWS CLI), Anda harus menginstal *Session Managerplugin* di mesin lokal Anda. Anda dapat menginstal plugin pada versi MicrosoftWindows Server, LinuxmacOS, dan versi yang didukungUbuntu Server.
**catatan**
Untuk menggunakan Session Manager plugin, Anda harus memiliki AWS CLI versi 1.16.12 atau yang lebih baru diinstal pada mesin lokal Anda. Untuk informasi selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Topics**
+ [Session Managerplugin versi terbaru dan riwayat rilis](plugin-version-history.md)
+ [Instal Session Manager plugin di Windows](install-plugin-windows.md)
+ [Instal Session Manager plugin di macOS](install-plugin-macos-overview.md)
+ [Instal Session Manager plugin di Linux](install-plugin-linux-overview.md)
+ [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md)
+ [Session Managerplugin pada GitHub](plugin-github.md)
+ [(Opsional) Aktifkan logging Session Manager plugin](install-plugin-configure-logs.md)
# Session Managerplugin versi terbaru dan riwayat rilis
Mesin lokal Anda harus menjalankan versi Session Manager plugin yang didukung. Versi minimum yang didukung saat ini adalah 1.1.17.0. Jika Anda menjalankan versi sebelumnya, Session Manager operasi Anda mungkin tidak berhasil.
Untuk melihat apakah Anda memiliki versi terbaru, jalankan perintah berikut di AWS CLI.
**catatan**
Perintah mengembalikan hasil hanya jika plugin terletak di direktori pemasangan default untuk tipe sistem operasi Anda. Anda juga dapat memeriksa versi dalam isi file `VERSION` di direktori tempat Anda telah memasang plugin.
```
session-manager-plugin --version
```
Tabel berikut mencantumkan semua rilis Session Manager plugin dan fitur serta perangkat tambahan yang disertakan dengan setiap versi.
**penting**
Kami sarankan Anda selalu menjalankan versi terbaru. Versi terbaru mencakup perangkat tambahan yang meningkatkan pengalaman menggunakan plugin.
| Versi | Tanggal rilis | Detail |
| --- | --- | --- |
| 1.2.792.0 | Maret 17, 2026 | **Perbaikan bug**: Tambahkan dukungan keyboard internasional untuk Windows. |
| 1.2.779.0 | Februari 12, 2026 | **Peningkatan**: Perbarui versi Go ke 1.25 di Dockerfile. **Perbaikan bug**: Tambahkan garis shebang ke skrip kemasan debian. |
| 1.2.764.0 | November 19, 2025 | **Peningkatan**: Menambahkan dukungan untuk OpenDataChannel permintaan penandatanganan. **Perbaikan bug**: Perbaiki masalah checkstyle untuk mendukung versi Go yang lebih baru. |
| 1.2.707.0 | Februari 6, 2025 | **Peningkatan**: Memutakhirkan versi Go ke 1.23 di Dockerfile. Memperbarui langkah konfigurasi versi di README. |
| 1.2.694.0 | November 20, 2024 | **Perbaikan bug**: Perubahan yang digulirkan kembali yang menambahkan kredensyal ke OpenDataChannel permintaan. |
| 1.2.688.0 | 6 November 2024 | **Versi ini tidak digunakan lagi pada 11/20/2024.** **Perangkat tambahan**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/plugin-version-history.html) |
| 1.2.677.0 | Oktober 10, 2024 | **Peningkatan**: Menambahkan dukungan untuk melewati versi plugin dengan OpenDataChannel permintaan. |
| 1.2.650.0 | 02 Juli 2024 | **Peningkatan**: Ditingkatkan aws-sdk-go ke 1.54.10.**Perbaikan bug**: Komentar diformat ulang untuk pemeriksaan gofmt. |
| 1.2.633.0 | 30 Mei 2024 | Peningkatan: Memperbarui Dockerfile untuk menggunakan image Amazon Elastic Container Registry (Amazon ECR) Registry (Amazon ECR). |
| 1.2.553.0 | 10 Januari 2024 | Peningkatan: Paket Golang yang ditingkatkan aws-sdk-go dan bergantung. |
| 1.2.536.0 | Desember 4, 2023 | Peningkatan: Menambahkan dukungan untuk meneruskan respons [StartSession](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartSession.html)API sebagai variabel lingkungan ke session-manager-plugin. |
| 1.2.497.0 | 1 Agustus 2023 | Peningkatan: Upgrade Go SDK ke v1.44.302. |
| 1.2.463.0 | 15 Maret 2023 | Peningkatan: Menambahkan Mac with Apple silicon dukungan untuk Apple Mac (M1) di penginstal bundel macOS dan penginstal yang ditandatangani. |
| 1.2.398.0 | 14 Oktober 2022 | Enhancement: Support golang versi 1.17. Perbarui session-manager-plugin runner default untuk macOS untuk menggunakan python3. Perbarui jalur impor dari SSMCLI ke. session-manager-plugin |
| 1.2.339.0 | 16 Juni 2022 | Perbaikan bug: Perbaiki batas waktu sesi idle untuk sesi port. |
| 1.2.331.0 | Mei 27, 2022 | Perbaikan bug: Perbaiki sesi port yang ditutup sebelum waktunya ketika server lokal tidak terhubung sebelum batas waktu. |
| 1.2.323.0 | 19 Mei 2022 | Perbaikan bug: Nonaktifkan smux keep alive untuk menggunakan fitur timeout sesi idle. |
| 1.2.312.0 | 31 Maret 2022 | Peningkatan: Mendukung lebih banyak jenis payload pesan keluaran. |
| 1.2.295.0 | 12 Januari 2022 | Perbaikan bug: Sesi digantung yang disebabkan oleh klien mengirim ulang data aliran saat agen menjadi tidak aktif, dan log dan pesan yang salah. start\$1publication pause\$1publication |
| 1.2.279.0 | 27 Oktober 2021 | Peningkatan: Kemasan zip untuk Windows platform. |
| 1.2.245.0 | 19 Agustus 2021 | Peningkatan: Tingkatkan aws-sdk-go ke versi terbaru (v1.40.17) untuk mendukung. AWS IAM Identity Center |
| 1.2.234.0 | 26 Juli 2021 | Perbaikan bug: Menangani sesi skenario yang tiba-tiba dihentikan dalam jenis sesi interaktif. |
| 1.2.205.0 | 10 Juni 2021 | Peningkatan: Dukungan tambahan untuk pemasang macOS yang ditandatangani. |
| 1.2.54.0 | 29 Januari 2021 | Peningkatan: Menambahkan dukungan untuk menjalankan sesi dalam mode NonInteractiveCommands eksekusi. |
| 1.2.30.0 | 24 November 2020 | **Peningkatan**: (Hanya sesi penerusan port) Meningkatkan kinerja secara keseluruhan. |
| 1.2.7.0 | 15 Oktober 2020 | **Peningkatan**: (Hanya sesi penerusan port) Mengurangi latensi dan meningkatkan kinerja secara keseluruhan. |
| 1.1.61.0 | 17 April 2020 | **Peningkatan**: Menambahkan dukungan ARM untuk Linux danUbuntu Server. |
| 1.1.54.0 | 6 Januari 2020 | **Perbaikan bug**: Menangani skenario kondisi balapan paket yang dijatuhkan saat Session Manager plugin belum siap. |
| 1.1.50.0 | 19 November 2019 | **Peningkatan**: Dukungan tambahan untuk meneruskan port ke soket unix lokal. |
| 1.1.35.0 | 7 November 2019 | **Peningkatan**: (Hanya sesi penerusan port) Kirim TerminateSession perintah ke SSM Agent saat pengguna lokal menekan. `Ctrl+C` |
| 1.1.33.0 | 26 September 2019 | Peningkatan: (Hanya sesi penerusan port) Mengirim sinyal pemutusan sambungan ke server ketika klien memutuskan koneksi TCP. |
| 1.1.31.0 | 6 September 2019 | Peningkatan: Memperbarui untuk menjaga sesi penerusan port tetap terbuka hingga server jarak jauh menutup koneksi. |
| 1.1.26.0 | 30 Juli 2019 | **Peningkatan**: Memperbarui untuk membatasi tingkat transfer data selama sesi. |
| 1.1.23.0 | 9 Juli 2019 | **Peningkatan**: Menambahkan dukungan untuk menjalankan sesi SSH menggunakan. Session Manager |
| 1.1.17.0 | 4 April 2019 | **Peningkatan**: Dukungan tambahan untuk enkripsi data sesi lebih lanjut menggunakan AWS Key Management Service (AWS KMS). |
| 1.0.37.0 | 20 September 2018 | **Peningkatan**: Perbaikan bug untuk Windows versi. |
| 1.0.0.0 | 11 September 2018 | Rilis awal Session Manager plugin. |
# Instal Session Manager plugin di Windows
Anda dapat menginstal Session Manager plugin pada Windows Vista atau nanti menggunakan installer mandiri.
Ketika pembaruan dirilis, Anda harus mengulangi proses instalasi untuk mendapatkan versi terbaru dari Session Manager plugin.
**catatan**
Perhatikan informasi berikut.
Pemasang Session Manager plugin membutuhkan hak Administrator untuk menginstal plugin.
Untuk hasil terbaik, kami sarankan Anda memulai sesi pada Windows klien menggunakanWindows PowerShell, versi 5 atau yang lebih baru. Atau, Anda dapat menggunakan Command shell diWindows 10. Session ManagerPlugin hanya mendukung PowerShell dan shell Command. Alat baris perintah pihak ketiga mungkin tidak kompatibel dengan plugin.
**Untuk menginstal Session Manager plugin menggunakan installer EXE**
1. Unduh pemasang menggunakan URL berikut.
```
https://s3.amazonaws.com/session-manager-downloads/plugin/latest/windows/SessionManagerPluginSetup.exe
```
Atau, Anda dapat mengunduh versi zip penginstal menggunakan URL berikut.
```
https://s3.amazonaws.com/session-manager-downloads/plugin/latest/windows/SessionManagerPlugin.zip
```
1. Jalankan pemasang yang diunduh, dan ikuti petunjuk di layar. Jika Anda mengunduh versi penginstal yang di-zip, Anda harus membuka zip penginstal terlebih dahulu.
Biarkan kotak lokasi pemasangan kosong untuk memasang plugin ke direktori default.
+ `%PROGRAMFILES%\Amazon\SessionManagerPlugin\bin\`
1. Verifikasi bahwa pemasangan berhasil. Untuk informasi, lihat [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md).
**catatan**
Jika Windows tidak dapat menemukan executable, Anda mungkin perlu membuka kembali command prompt atau menambahkan direktori instalasi ke variabel `PATH` lingkungan Anda secara manual. Untuk informasi, lihat topik pemecahan masalah [Session Managerplugin tidak secara otomatis ditambahkan ke jalur baris perintah (Windows)](session-manager-troubleshooting.md#windows-plugin-env-var-not-set).
# Instal Session Manager plugin di macOS
Pilih salah satu topik berikut untuk menginstal Session Manager pluginmacOS.
**catatan**
Penginstal yang ditandatangani adalah `.pkg` file yang ditandatangani. Penginstal yang dibundel menggunakan file. `.zip` Setelah file di-unzip, Anda dapat menginstal plugin menggunakan biner.
## Instal Session Manager plugin macOS dengan installer yang ditandatangani
Bagian ini menjelaskan cara menginstal Session Manager plugin saat macOS menggunakan penginstal yang ditandatangani.
**Untuk menginstal Session Manager plugin menggunakan installer yang ditandatangani () macOS**
1. Unduh pemasang yang ditandatangani.
------
#### [ x86\$164 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac/session-manager-plugin.pkg" -o "session-manager-plugin.pkg"
```
------
#### [ Mac dengan silikon Apple ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac_arm64/session-manager-plugin.pkg" -o "session-manager-plugin.pkg"
```
------
1. Jalankan perintah instal. Jika perintah gagal, verifikasi bahwa `/usr/local/bin` folder itu ada. Jika tidak, buat dan jalankan perintah lagi.
```
sudo installer -pkg session-manager-plugin.pkg -target /
sudo ln -s /usr/local/sessionmanagerplugin/bin/session-manager-plugin /usr/local/bin/session-manager-plugin
```
1. Verifikasi bahwa pemasangan berhasil. Untuk informasi, lihat [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md).
## Instal Session Manager plugin di macOS
Bagian ini menjelaskan cara menginstal Session Manager plugin macOS menggunakan installer yang dibundel.
**penting**
Perhatikan informasi penting berikut.
Secara default, penginstal memerlukan akses sudo untuk dijalankan, karena skrip menginstal plugin ke direktori sistem`/usr/local/sessionmanagerplugin`. Jika Anda tidak ingin menginstal plugin menggunakan sudo, perbarui skrip penginstal secara manual untuk menginstal plugin ke direktori yang tidak memerlukan akses sudo.
Pemasang yang dibundel tidak mendukung pemasangan ke jalur yang berisi spasi.
**Untuk menginstal Session Manager plugin menggunakan installer bundel () macOS**
1. Unduh pemasang yang dibundel.
------
#### [ x86\$164 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac/sessionmanager-bundle.zip" -o "sessionmanager-bundle.zip"
```
------
#### [ Mac dengan silikon Apple ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/mac_arm64/sessionmanager-bundle.zip" -o "sessionmanager-bundle.zip"
```
------
1. Buka zip paketnya.
```
unzip sessionmanager-bundle.zip
```
1. Jalankan perintah pemasangan.
```
sudo ./sessionmanager-bundle/install -i /usr/local/sessionmanagerplugin -b /usr/local/bin/session-manager-plugin
```
**catatan**
Plugin ini membutuhkan Python 3.10 atau yang lebih baru. Secara default, skrip pemasangan berjalan berdasarkan versi default sistem Python. Jika Anda telah menginstal versi alternatif Python dan ingin menggunakannya untuk menginstal Session Manager plugin, jalankan skrip instal dengan versi itu dengan jalur absolut ke executable Python. Berikut adalah contohnya.
```
sudo /usr/local/bin/python3.11 sessionmanager-bundle/install -i /usr/local/sessionmanagerplugin -b /usr/local/bin/session-manager-plugin
```
Installer menginstal Session Manager plugin di `/usr/local/sessionmanagerplugin` dan membuat symlink `session-manager-plugin` di direktori. `/usr/local/bin` Hal ini menghilangkan kebutuhan untuk menentukan direktori pemasangan di variabel `$PATH` pengguna.
Untuk melihat penjelasan opsi `-i` dan `-b`, gunakan opsi `-h`.
```
./sessionmanager-bundle/install -h
```
1. Verifikasi bahwa pemasangan berhasil. Untuk informasi, lihat [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md).
**catatan**
Untuk menghapus instalasi plugin, jalankan dua perintah berikut dalam urutan yang ditunjukkan.
```
sudo rm -rf /usr/local/sessionmanagerplugin
```
```
sudo rm /usr/local/bin/session-manager-plugin
```
# Instal Session Manager plugin di Linux
Bagian ini mencakup informasi tentang memverifikasi tanda tangan paket installer Session Manager plugin dan menginstal plugin pada distribusi Linux berikut:
+ Amazon Linux 2
+ AL2023
+ RHEL
+ Debian Server
+ Ubuntu Server
**Topics**
+ [Verifikasi tanda tangan Session Manager plugin](install-plugin-linux-verify-signature.md)
+ [Instal Session Manager plugin di Amazon Linux 2, Amazon Linux 2023, dan Red Hat Enterprise Linux distribusi](install-plugin-linux.md)
+ [Instal Session Manager plugin pada Debian Server dan Ubuntu Server](install-plugin-debian-and-ubuntu.md)
# Verifikasi tanda tangan Session Manager plugin
Session ManagerPlugin RPM dan paket installer Debian untuk instance Linux ditandatangani secara kriptografi. Anda dapat menggunakan kunci publik untuk memverifikasi bahwa biner plugin dan paket asli dan tidak dimodifikasi. Jika file diubah atau rusak, verifikasi gagal. Anda dapat memverifikasi tanda tangan paket installer menggunakan alat GNU Privacy Guard (GPG). Informasi berikut adalah untuk versi Session Manager plugin 1.2.707.0 atau yang lebih baru.
Selesaikan langkah-langkah berikut untuk memverifikasi tanda tangan paket penginstal Session Manager plugin.
**Topics**
+ [Langkah 1: Unduh paket penginstal Session Manager plugin](#install-plugin-linux-verify-signature-installer-packages)
+ [Langkah 2: Unduh file tanda tangan terkait](#install-plugin-linux-verify-signature-packages)
+ [Langkah 3: Instal alat GPG](#install-plugin-linux-verify-signature-packages-gpg)
+ [Langkah 4: Verifikasi paket penginstal Session Manager plugin di server Linux](#install-plugin-linux-verify-signature-packages)
## Langkah 1: Unduh paket penginstal Session Manager plugin
Unduh paket penginstal Session Manager plugin yang ingin Anda verifikasi.
**Amazon Linux 2, AL2023, dan paket RHEL RPM**
------
#### [ x86\$164 ]
```
curl -o "session-manager-plugin.rpm" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm"
```
------
#### [ ARM64 ]
```
curl -o "session-manager-plugin.rpm" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm"
```
------
**Debian Serverdan Ubuntu Server paket Deb**
------
#### [ x86\$164 ]
```
curl -o "session-manager-plugin.deb" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb"
```
------
#### [ ARM64 ]
```
curl -o "session-manager-plugin.deb" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb"
```
------
## Langkah 2: Unduh file tanda tangan terkait
Setelah Anda mengunduh paket penginstal, unduh file tanda tangan terkait untuk verifikasi paket. Untuk memberikan lapisan perlindungan ekstra terhadap penyalinan yang tidak sah atau penggunaan file session-manager-plugin biner di dalam paket, kami juga menawarkan tanda tangan biner, yang dapat Anda gunakan untuk memvalidasi file biner individual. Anda dapat memilih untuk menggunakan tanda tangan biner ini berdasarkan kebutuhan keamanan Anda.
**Amazon Linux 2, AL2023, dan paket RHEL tanda tangan**
------
#### [ x86\$164 ]
Package:
```
curl -o "session-manager-plugin.rpm.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm.sig"
```
Biner:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.sig"
```
------
#### [ ARM64 ]
Package:
```
curl -o "session-manager-plugin.rpm.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm.sig"
```
Biner:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.sig"
```
------
**Debian Serverdan paket tanda tangan Ubuntu Server Deb**
------
#### [ x86\$164 ]
Package:
```
curl -o "session-manager-plugin.deb.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb.sig"
```
Biner:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.sig"
```
------
#### [ ARM64 ]
Package:
```
curl -o "session-manager-plugin.deb.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb.sig"
```
Biner:
```
curl -o "session-manager-plugin.sig" "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.sig"
```
------
## Langkah 3: Instal alat GPG
Untuk memverifikasi tanda tangan Session Manager plugin, Anda harus menginstal alat GNU Privacy Guard (GPG) di sistem Anda. Proses verifikasi membutuhkan GPG versi 2.1 atau yang lebih baru. Anda dapat memeriksa versi GPG Anda dengan menjalankan perintah berikut:
```
gpg --version
```
Jika versi GPG Anda lebih tua dari 2.1, perbarui sebelum melanjutkan proses verifikasi. Untuk sebagian besar sistem, Anda dapat memperbarui alat GPG menggunakan manajer paket Anda. Misalnya, pada Amazon Linux dan RHEL versi yang didukung, Anda dapat menggunakan perintah berikut:
```
sudo yum update
sudo yum install gnupg2
```
Pada Debian Server sistem Ubuntu Server dan didukung, Anda dapat menggunakan perintah berikut:
```
sudo apt-get update
sudo apt-get install gnupg2
```
Pastikan Anda memiliki versi GPG yang diperlukan sebelum melanjutkan proses verifikasi.
## Langkah 4: Verifikasi paket penginstal Session Manager plugin di server Linux
Gunakan prosedur berikut untuk memverifikasi paket installer Session Manager plugin pada server Linux.
**catatan**
Amazon Linux 2 tidak mendukung alat gpg versi 2.1 atau lebih tinggi. Jika prosedur berikut tidak berfungsi pada instans Amazon Linux 2 Anda, verifikasi tanda tangan pada platform lain sebelum menginstalnya di instans Amazon Linux 2 Anda.
1. Salin kunci publik berikut, dan simpan ke file bernama session-manager-plugin .gpg.
```
-----BEGIN PGP PUBLIC KEY BLOCK-----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=2DQm
-----END PGP PUBLIC KEY BLOCK-----
```
1. Impor kunci publik ke dalam keyring Anda. Nilai kunci yang dikembalikan seharusnya`2C4D4AFF6F6757EE`.
```
$ gpg --import session-manager-plugin.gpg
gpg: key 2C4D4AFF6F6757EE: public key "AWS SSM Session Manager (AWS Systems Manager Session Manager Plugin Linux Signer Key)" imported
gpg: Total number processed: 1
gpg: imported: 1
```
1. Jalankan perintah berikut untuk memverifikasi sidik jari.
```
gpg --fingerprint 2C4D4AFF6F6757EE
```
Sidik jari untuk output perintah harus cocok dengan yang berikut ini.
```
7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
```
```
pub nistp256 2025-01-22 [SC]
7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
uid [ unknown] AWS SSM Session Manager (AWS Systems Manager Session Manager Plugin Linux Signer Key)
```
Jika sidik jari tidak cocok, jangan instal plugin. Kontak AWS Dukungan.
1. Verifikasi tanda tangan paket penginstal. Ganti *signature-filename* dan *downloaded-plugin-filename* dengan nilai yang Anda tentukan saat mengunduh file tanda tangan dan session-manager-plugin, seperti yang tercantum dalam tabel sebelumnya dalam topik ini.
```
gpg --verify signature-filename downloaded-plugin-filename
```
Misalnya, untuk arsitektur x86\$164 di Amazon Linux 2, perintahnya adalah sebagai berikut:
```
gpg --verify session-manager-plugin.rpm.sig session-manager-plugin.rpm
```
Perintah ini mengembalikan output yang serupa dengan yang berikut ini.
```
gpg: Signature made Mon Feb 3 20:08:32 2025 UTC gpg: using ECDSA key 2C4D4AFF6F6757EE
gpg: Good signature from "AWS Systems Manager Session Manager (AWS Systems Manager Session Manager Plugin Linux Signer Key)" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7959 6371 24CE 093A D501 D47A 2C4D 4AFF 6F67 57EE
```
Jika output berisi frasa `BAD signature`, periksa apakah Anda melakukan prosedur dengan benar. Jika Anda terus mendapatkan respons ini, hubungi AWS Dukungan dan jangan instal paket. Pesan peringatan tentang kepercayaan tidak berarti tanda tangan tidak valid, hanya Anda yang belum memverifikasi kunci publik. Kunci hanya dapat dipercaya jika Anda atau seseorang yang Anda percaya telah menandatanganinya. Jika output menyertakan frasa`Can't check signature: No public key`, verifikasi Session Manager plugin yang Anda unduh dengan versi 1.2.707.0 atau yang lebih baru.
# Instal Session Manager plugin di Amazon Linux 2, Amazon Linux 2023, dan Red Hat Enterprise Linux distribusi
Gunakan prosedur berikut untuk menginstal Session Manager plugin di Amazon Linux 2, Amazon Linux 2023 (AL2023), dan RHEL distribusi.
1. Unduh dan instal paket Session Manager plugin RPM.
------
#### [ x86\$164 ]
Di Amazon Linux 2 dan RHEL 7, jalankan perintah berikut:
```
sudo yum install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm
```
Pada AL2023 dan RHEL 8 dan 9, jalankan perintah berikut:
```
sudo dnf install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm
```
------
#### [ ARM64 ]
Di Amazon Linux 2 dan RHEL 7, jalankan perintah berikut:
```
sudo yum install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm
```
Pada AL2023 dan RHEL 8 dan 9, jalankan perintah berikut:
```
sudo dnf install -y https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_arm64/session-manager-plugin.rpm
```
------
1. Verifikasi bahwa pemasangan berhasil. Untuk informasi, lihat [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md).
**catatan**
Jika Anda ingin menghapus plugin, jalankan `sudo yum erase session-manager-plugin -y`
# Instal Session Manager plugin pada Debian Server dan Ubuntu Server
1. Unduh paket Session Manager plugin deb.
------
#### [ x86\$164 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_64bit/session-manager-plugin.deb" -o "session-manager-plugin.deb"
```
------
#### [ ARM64 ]
```
curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/ubuntu_arm64/session-manager-plugin.deb" -o "session-manager-plugin.deb"
```
------
1. Jalankan perintah pemasangan.
```
sudo dpkg -i session-manager-plugin.deb
```
1. Verifikasi bahwa pemasangan berhasil. Untuk informasi, lihat [Verifikasi instalasi Session Manager plugin](install-plugin-verify.md).
**catatan**
Jika Anda ingin mencopot pemasangan plugin, jalankan `sudo dpkg -r session-manager-plugin`
# Verifikasi instalasi Session Manager plugin
Jalankan perintah berikut untuk memverifikasi bahwa Session Manager plugin berhasil diinstal.
```
session-manager-plugin
```
Jika pemasangan berhasil, pesan berikut dikembalikan.
```
The Session Manager plugin is installed successfully. Use the AWS CLI to start a session.
```
Anda juga dapat menguji instalasi dengan menjalankan [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)perintah di [AWS Command Line Interface](https://aws.amazon.com/cli/)(AWS CLI). Dalam perintah berikut, ganti *instance-id* dengan informasi Anda sendiri.
```
aws ssm start-session --target instance-id
```
Perintah ini akan bekerja hanya jika Anda telah menginstal dan mengkonfigurasi AWS CLI, dan jika Session Manager administrator Anda telah memberi Anda izin IAM yang diperlukan untuk mengakses node terkelola target menggunakan. Session Manager
# Session Managerplugin pada GitHub
Kode sumber untuk Session Manager plugin tersedia [https://github.com/aws/session-manager-plugin](https://github.com/aws/session-manager-plugin)sehingga Anda dapat menyesuaikan plugin untuk memenuhi kebutuhan Anda. Kami mendorong Anda untuk mengirim [permintaan tarik](https://github.com/aws/session-manager-plugin/blob/mainline/CONTRIBUTING.md) untuk perubahan yang ingin Anda sertakan. Namun, Amazon Web Services tidak menyediakan dukungan untuk menjalankan salinan yang dimodifikasi dari perangkat lunak ini.
# (Opsional) Aktifkan logging Session Manager plugin
Session ManagerPlugin ini menyertakan opsi untuk mengizinkan pencatatan untuk sesi yang Anda jalankan. Secara default, log dimatikan.
Jika Anda mengizinkan logging, Session Manager plugin akan membuat file log untuk aktivitas aplikasi (`session-manager-plugin.log`) dan error (`errors.log`) pada mesin lokal Anda.
**Topics**
+ [Aktifkan logging untuk Session Manager plugin (Windows)](#configure-logs-windows)
+ [Aktifkan logging untuk Session Manager plugin (LinuxdanmacOS)](#configure-logs-linux)
## Aktifkan logging untuk Session Manager plugin (Windows)
1. Temukan file `seelog.xml.template` untuk plugin.
Lokasi default adalah `C:\Program Files\Amazon\SessionManagerPlugin\seelog.xml.template`.
1. Ubah nama file menjadi `seelog.xml`.
1. Buka file dan ubah `minlevel="off"` menjadi `minlevel="info"` atau `minlevel="debug"`.
**catatan**
Secara default, entri log tentang membuka saluran data dan menghubungkan kembali sesi dicatat di tingkat **INFO**. Entri aliran data (paket dan pengakuan) dicatat pada tingkat **DEBUG**.
1. Ubah opsi konfigurasi lain yang ingin Anda modifikasi. Opsi yang dapat Anda ubah meliputi:
+ **Tingkat debug**: Anda dapat mengubah tingkat debug dari `formatid="fmtinfo"` menjadi `formatid="fmtdebug"`.
+ **Opsi berkas log**: Anda dapat membuat perubahan pada opsi file log, termasuk di mana log disimpan, dengan pengecualian nama berkas log.
**penting**
Jangan mengubah nama file atau log tidak akan bekerja dengan benar.
```
```
1. Simpan file tersebut.
## Aktifkan logging untuk Session Manager plugin (LinuxdanmacOS)
1. Temukan file `seelog.xml.template` untuk plugin.
Lokasi default adalah `/usr/local/sessionmanagerplugin/seelog.xml.template`.
1. Ubah nama file menjadi `seelog.xml`.
1. Buka file dan ubah `minlevel="off"` menjadi `minlevel="info"` atau `minlevel="debug"`.
**catatan**
Secara default, entri log tentang membuka saluran data dan menghubungkan kembali sesi dicatat di tingkat **INFO**. Entri aliran data (paket dan pengakuan) dicatat pada tingkat **DEBUG**.
1. Ubah opsi konfigurasi lain yang ingin Anda modifikasi. Opsi yang dapat Anda ubah meliputi:
+ **Tingkat debug**: Anda dapat mengubah tingkat debug dari `formatid="fmtinfo"` menjadi `outputs formatid="fmtdebug"`
+ **Opsi berkas log**: Anda dapat membuat perubahan pada opsi file log, termasuk di mana log disimpan, dengan pengecualian nama berkas log.
**penting**
Jangan mengubah nama file atau log tidak akan bekerja dengan benar.
```
```
**penting**
Jika Anda menggunakan direktori default yang ditentukan untuk menyimpan log, Anda harus menjalankan perintah sesi menggunakan **sudo** atau memberikan izin baca dan tulis penuh pada direktori tempat plugin dipasang. Untuk melewati pembatasan ini, ubah lokasi di mana log disimpan.
1. Simpan file tersebut.
# Mulai sesi
Anda dapat menggunakan AWS Systems Manager konsol, konsol Amazon Elastic Compute Cloud (Amazon EC2), konsol AWS CLI(), atau SSH AWS Command Line Interface untuk memulai sesi.
**Topics**
+ [Memulai sesi (konsol Systems Manager)](#start-sys-console)
+ [Memulai sesi (konsol Amazon EC2)](#start-ec2-console)
+ [Memulai sesi (AWS CLI)](#sessions-start-cli)
+ [Memulai sesi (SSH)](#sessions-start-ssh)
+ [Memulai sesi (penerusan port)](#sessions-start-port-forwarding)
+ [Memulai sesi (penerusan port ke host jarak jauh)](#sessions-remote-port-forwarding)
+ [Memulai sesi (perintah interaktif dan noninteraktif)](#sessions-start-interactive-commands)
## Memulai sesi (konsol Systems Manager)
Anda dapat menggunakan AWS Systems Manager konsol untuk memulai sesi dengan node terkelola di akun Anda.
**catatan**
Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).
**Untuk memulai sesi (konsol Systems Manager)**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Pilih **Mulai sesi**.
1. (Opsional) Masukkan deskripsi sesi di bidang **Alasan sesi**.
1. Untuk **contoh Target**, pilih tombol opsi di sebelah kiri node terkelola yang ingin Anda sambungkan.
Jika node yang Anda inginkan tidak ada dalam daftar, atau jika Anda memilih node dan menerima kesalahan konfigurasi, lihat [Node terkelola tidak tersedia atau tidak dikonfigurasi untuk Session Manager](session-manager-troubleshooting.md#session-manager-troubleshooting-instances) untuk langkah-langkah pemecahan masalah.
1. Pilih **Mulai sesi** untuk segera meluncurkan sesi.
-atau-
Pilih **Berikutnya** untuk opsi sesi.
1. (Opsional) Untuk **dokumen Sesi**, pilih dokumen yang ingin Anda jalankan saat sesi dimulai. Jika dokumen Anda mendukung parameter runtime, Anda dapat memasukkan satu atau beberapa nilai yang dipisahkan koma di setiap bidang parameter.
1. Pilih **Berikutnya**.
1. Pilih **Mulai sesi**.
Setelah koneksi dibuat, Anda dapat menjalankan perintah bash (LinuxandmacOS) atau PowerShell command (Windows) seperti yang Anda lakukan melalui jenis koneksi lainnya.
**penting**
Jika Anda ingin mengizinkan pengguna menentukan dokumen saat memulai sesi di konsol Pengelola Sesi, perhatikan hal berikut:
Anda harus memberikan izin `ssm:GetDocument` dan `ssm:ListDocuments` izin kepada pengguna dalam kebijakan IAM mereka. Untuk informasi selengkapnya, lihat [Berikan akses ke dokumen Sesi kustom di konsol](getting-started-restrict-access-examples.md#grant-access-documents-console-example).
Konsol hanya mendukung dokumen Sesi yang `sessionType` didefinisikan sebagai`Standard_Stream`. Untuk informasi selengkapnya, lihat [Skema dokumen sesi](session-manager-schema.md).
## Memulai sesi (konsol Amazon EC2)
Anda dapat menggunakan konsol Amazon Elastic Compute Cloud (Amazon EC2) untuk memulai sesi dengan instans di akun Anda.
**catatan**
Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan satu atau lebih tindakan Systems Manager, (`ssm:command-name`, selanjutnya, Anda harus menghubungi administrator Anda untuk mendapatkan bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk. Minta orang tersebut untuk memperbarui kebijakan Anda agar Anda diizinkan untuk memulai sesi dari konsol Amazon EC2. Jika Anda administrator, lihat [Contoh kebijakan IAM untuk Session Manager](getting-started-restrict-access-quickstart.md) untuk informasi selengkapnya.
**Untuk memulai sesi (konsol Amazon EC2)**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Instans**.
1. Pilih instans, lalu pilih **Hubungkan**.
1. Untuk **metode Koneksi**, pilih **Session Manager**.
1. Pilih **Hubungkan**.
Setelah koneksi dibuat, Anda dapat menjalankan perintah bash (LinuxandmacOS) atau PowerShell command (Windows) seperti yang Anda lakukan melalui jenis koneksi lainnya.
## Memulai sesi (AWS CLI)
Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.
Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).
Untuk menggunakan perintah AWS CLI to run session, Session Manager plugin juga harus diinstal pada mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).
Untuk memulai sesi menggunakan AWS CLI, jalankan perintah berikut menggantikan *instance-id* dengan informasi Anda sendiri.
```
aws ssm start-session \
--target instance-id
```
Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **start-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.
## Memulai sesi (SSH)
Untuk memulai sesi Session Manager SSH, versi 2.3.672.0 atau yang lebih baru SSM Agent harus diinstal pada node terkelola.
**Persyaratan koneksi SSH**
Perhatikan persyaratan dan batasan berikut untuk koneksi sesi menggunakan SSH melaluiSession Manager:
+ Node terkelola target Anda harus dikonfigurasi untuk mendukung koneksi SSH. Untuk informasi selengkapnya, lihat [(Opsional) Mengizinkan dan mengontrol izin untuk koneksi SSH melalui](session-manager-getting-started-enable-ssh-connections.md). Session Manager
+ Anda harus terhubung menggunakan akun node terkelola yang terkait dengan sertifikat Privacy Enhanced Mail (PEM), bukan `ssm-user` akun yang digunakan untuk jenis koneksi sesi lainnya. Misalnya, pada instans EC2 untuk Linux danmacOS, pengguna default adalah. `ec2-user` Untuk informasi tentang mengidentifikasi pengguna default untuk setiap jenis instans, lihat [Mendapatkan Informasi Tentang Instans Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connection-prereqs.html#connection-prereqs-get-info-about-instance) di *Panduan Pengguna Amazon EC2*.
+ Logging tidak tersedia untuk Session Manager sesi yang terhubung melalui port forwarding atau SSH. Ini karena SSH mengenkripsi semua data sesi dalam koneksi TLS aman yang dibuat antara titik akhir dan Session Manager titik akhir, AWS CLI dan Session Manager hanya berfungsi sebagai terowongan untuk koneksi SSH.
**catatan**
Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).
Untuk memulai sesi menggunakan SSH, jalankan perintah berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
```
ssh -i /path/my-key-pair.pem username@instance-id
```
**Tip**
Saat memulai sesi menggunakan SSH, Anda dapat menyalin file lokal ke node terkelola target menggunakan format perintah berikut.
```
scp -i /path/my-key-pair.pem /path/ExampleFile.txt username@instance-id:~
```
Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **start-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.
## Memulai sesi (penerusan port)
Untuk memulai sesi penerusan Session Manager port, versi 2.3.672.0 atau yang lebih baru SSM Agent harus diinstal pada node terkelola.
**catatan**
Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).
Untuk menggunakan perintah AWS CLI to run session, Anda harus menginstal Session Manager plugin di mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).
Tergantung pada sistem operasi dan alat baris perintah Anda, penempatan tanda kutip dapat berbeda dan karakter escape mungkin diperlukan.
Untuk memulai sesi penerusan port, jalankan perintah berikut dari CLI. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name AWS-StartPortForwardingSession \
--parameters '{"portNumber":["80"], "localPortNumber":["56789"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name AWS-StartPortForwardingSession ^
--parameters portNumber="3389",localPortNumber="56789"
```
------
`portNumber`adalah port jarak jauh pada node terkelola tempat Anda ingin lalu lintas sesi dialihkan. Misalnya, Anda dapat menentukan port `3389` untuk menghubungkan ke Windows node menggunakan Remote Desktop Protocol (RDP). Jika Anda tidak menentukan `portNumber` parameter, Session Manager gunakan `80` sebagai nilai default.
`localPortNumber`adalah port di komputer lokal Anda di mana lalu lintas dimulai, seperti`56789`. Nilai ini adalah apa yang Anda masukkan saat menghubungkan ke node terkelola menggunakan klien. Misalnya, **localhost:56789**.
Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **start-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.
*Untuk informasi selengkapnya tentang sesi penerusan port, lihat [Port Forwarding Using AWS Systems ManagerSession Manager](https://aws.amazon.com/blogs/aws/new-port-forwarding-using-aws-system-manager-sessions-manager/) di Blog Berita.AWS *
## Memulai sesi (penerusan port ke host jarak jauh)
Untuk memulai sesi penerusan Session Manager port ke host jarak jauh, versi 3.1.1374.0 atau yang lebih baru SSM Agent harus diinstal pada node terkelola. Host jarak jauh tidak perlu dikelola oleh Systems Manager.
**catatan**
Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).
Untuk menggunakan perintah AWS CLI to run session, Anda harus menginstal Session Manager plugin di mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).
Tergantung pada sistem operasi dan alat baris perintah Anda, penempatan tanda kutip dapat berbeda dan karakter escape mungkin diperlukan.
Untuk memulai sesi penerusan port, jalankan perintah berikut dari file. AWS CLI Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name AWS-StartPortForwardingSessionToRemoteHost \
--parameters '{"host":["mydb.example.us-east-2.rds.amazonaws.com"],"portNumber":["3306"], "localPortNumber":["3306"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name AWS-StartPortForwardingSessionToRemoteHost ^
--parameters host="mydb.example.us-east-2.rds.amazonaws.com",portNumber="3306",localPortNumber="3306"
```
------
`host`Nilai mewakili nama host atau alamat IP dari host jarak jauh yang ingin Anda sambungkan. Konektivitas umum dan persyaratan resolusi nama antara node terkelola dan host jarak jauh masih berlaku.
`portNumber`adalah port jarak jauh pada node terkelola tempat Anda ingin lalu lintas sesi dialihkan. Misalnya, Anda dapat menentukan port `3389` untuk menghubungkan ke Windows node menggunakan Remote Desktop Protocol (RDP). Jika Anda tidak menentukan `portNumber` parameter, Session Manager gunakan `80` sebagai nilai default.
`localPortNumber`adalah port di komputer lokal Anda di mana lalu lintas dimulai, seperti`56789`. Nilai ini adalah apa yang Anda masukkan saat menghubungkan ke node terkelola menggunakan klien. Misalnya, **localhost:56789**.
Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **start-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.
### Memulai sesi dengan tugas Amazon ECS
Session Managermendukung memulai sesi penerusan port dengan tugas di dalam cluster Amazon Elastic Container Service (Amazon ECS). Untuk melakukannya, aktifkan ECS Exec. Untuk informasi selengkapnya, lihat [Memantau kontainer Amazon Elastic Container Service dengan ECS Exec di Panduan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-exec.html) *Pengembang Layanan Kontainer Elastis Amazon*.
Anda juga harus memperbarui peran tugas di IAM untuk menyertakan izin berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
}
]
}
```
------
Untuk memulai sesi penerusan port dengan tugas Amazon ECS, jalankan perintah berikut dari file. AWS CLI Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
**catatan**
Hapus < and > simbol dari `target` parameter. Simbol-simbol ini disediakan hanya untuk klarifikasi pembaca.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target ecs:__ \
--document-name AWS-StartPortForwardingSessionToRemoteHost \
--parameters '{"host":["URL"],"portNumber":["port_number"], "localPortNumber":["port_number"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target ecs:__ ^
--document-name AWS-StartPortForwardingSessionToRemoteHost ^
--parameters host="URL",portNumber="port_number",localPortNumber="port_number"
```
------
## Memulai sesi (perintah interaktif dan noninteraktif)
Sebelum Anda memulai sesi, pastikan bahwa Anda telah menyelesaikan langkah-langkah pengaturan untukSession Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).
Untuk menggunakan perintah AWS CLI to run session, Session Manager plugin juga harus diinstal pada mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).
Untuk memulai sesi perintah interaktif, jalankan perintah berikut. Ganti masing-masing *example resource placeholder* dengan informasi Anda sendiri.
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name CustomCommandSessionDocument \
--parameters '{"logpath":["/var/log/amazon/ssm/amazon-ssm-agent.log"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name CustomCommandSessionDocument ^
--parameters logpath="/var/log/amazon/ssm/amazon-ssm-agent.log"
```
------
Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **start-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.
**Info lebih lanjut**
+ [Gunakan penerusan port AWS Systems ManagerSession Manager untuk terhubung ke host jarak jauh](https://aws.amazon.com/blogs/mt/use-port-forwarding-in-aws-systems-manager-session-manager-to-connect-to-remote-hosts/)
+ [Penerusan port instans Amazon EC2 dengan AWS Systems Manager](https://aws.amazon.com/blogs/mt/amazon-ec2-instance-port-forwarding-with-aws-systems-manager/)
+ [AWS Mengelola sumber daya Microsoft AD yang Dikelola dengan penerusan Session Manager port](https://aws.amazon.com/blogs/mt/manage-aws-managed-microsoft-ad-resources-with-session-manager-port-forwarding/)
+ [Port Forwarding Menggunakan AWS Systems ManagerSession Manager](https://aws.amazon.com/blogs/aws/new-port-forwarding-using-aws-system-manager-sessions-manager/) di Blog *AWS Berita*.
# Mengakhiri sesi
Anda dapat mengakhiri sesi yang Anda mulai di akun Anda menggunakan AWS Systems Manager konsol atau AWS Command Line Interface (AWS CLI). Saat Anda memilih tombol **Terminate** untuk sesi di konsol atau memanggil tindakan [TerminateSession](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_TerminateSession.html)API dengan menggunakan, AWS CLISession Manager secara permanen mengakhiri sesi dan menutup koneksi data antara Session Manager klien dan SSM Agent pada node yang dikelola. Anda tidak dapat melanjutkan sesi yang dihentikan.
Jika tidak ada aktivitas pengguna dalam sesi terbuka selama 20 menit, status idle akan memicu batas waktu. Session Manager tidak memanggil`TerminateSession`, tetapi menutup saluran yang mendasarinya. Anda tidak dapat melanjutkan sesi yang ditutup karena batas waktu idle.
Sebaiknya selalu secara eksplisit mengakhiri sesi dengan menggunakan `terminate-session` perintah, saat menggunakan AWS CLI, atau tombol **Terminate** saat menggunakan konsol. (Tombol **terminate** terletak di kedua jendela sesi dan utama Session Manager halaman konsol.) Jika Anda hanya menutup browser atau jendela perintah, sesi tetap terdaftar sebagai **Aktif** di konsol selama 30 hari. Ketika Anda tidak secara eksplisit mengakhiri sesi, atau ketika sesi habis, proses apa pun yang berjalan pada node terkelola pada saat itu akan terus berjalan.
**Topics**
+ [Mengakhiri sesi (konsol)](#stop-sys-console)
+ [Mengakhiri sesi (AWS CLI)](#stop-cli)
## Mengakhiri sesi (konsol)
Anda dapat menggunakan AWS Systems Manager konsol untuk mengakhiri sesi di akun Anda.
**Untuk mengakhiri sesi (konsol)**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Untuk **Sesi**, pilih tombol opsi di sebelah kiri sesi yang ingin Anda akhiri.
1. Pilih **Hentikan**.
## Mengakhiri sesi (AWS CLI)
Untuk mengakhiri sesi menggunakan AWS CLI, jalankan perintah berikut. Ganti *session-id* dengan informasi Anda sendiri.
```
aws ssm terminate-session \
--session-id session-id
```
Untuk informasi selengkapnya tentang **terminate-session** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/terminate-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/terminate-session.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.
# Lihat riwayat sesi
Anda dapat menggunakan AWS Systems Manager konsol atau AWS Command Line Interface (AWS CLI) untuk melihat informasi tentang sesi di akun Anda. Di konsol, Anda dapat melihat detail sesi seperti berikut:
+ ID sesi
+ Pengguna mana yang terhubung ke node terkelola melalui sesi
+ ID dari node terkelola
+ Ketika sesi dimulai dan berakhir
+ Status sesi
+ Lokasi yang ditentukan untuk menyimpan log sesi (jika diaktifkan)
Dengan menggunakan AWS CLI, Anda dapat melihat daftar sesi di akun Anda, tetapi bukan detail tambahan yang tersedia di konsol.
Untuk informasi tentang informasi riwayat sesi log, lihat [Mengaktifkan dan menonaktifkan pencatatan sesi](session-manager-logging.md).
**Topics**
+ [Melihat riwayat sesi (konsol)](#view-console)
+ [Melihat riwayat sesi (AWS CLI)](#view-history-cli)
## Melihat riwayat sesi (konsol)
Anda dapat menggunakan AWS Systems Manager konsol untuk melihat detail tentang sesi di akun Anda.
**Untuk melihat riwayat sesi (konsol)**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Pilih tab **Riwayat sesi**.
-atau-
Jika Session Manager halaman beranda terbuka terlebih dahulu, pilih **Konfigurasi Preferensi** dan kemudian pilih tab **Riwayat sesi**.
## Melihat riwayat sesi (AWS CLI)
Untuk melihat daftar sesi di akun Anda menggunakan AWS CLI, jalankan perintah berikut.
```
aws ssm describe-sessions \
--state History
```
**catatan**
Perintah ini hanya mengembalikan hasil untuk koneksi ke target yang dimulai menggunakanSession Manager. Perintah ini bukan mendaftarkan koneksi yang dibuat melalui cara lain, seperti Remote Desktop Protocol (RDP) atau Secure Shell Protocol (SSH).
Untuk informasi tentang opsi lain yang dapat Anda gunakan dengan **describe-sessions** perintah, lihat [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-sessions.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-sessions.html)di AWS Systems Manager bagian Referensi AWS CLI Perintah.
# Aktivitas sesi pencatatan
Selain memberikan informasi tentang sesi saat ini dan yang telah selesai di konsol Systems Manager, Session Manager memberi Anda kemampuan untuk mencatat aktivitas sesi saat Anda Akun AWS menggunakan AWS CloudTrail.
CloudTrail menangkap panggilan API sesi melalui konsol Systems Manager, AWS Command Line Interface (AWS CLI), dan SDK Systems Manager. Anda dapat melihat informasi di CloudTrail konsol atau menyimpannya di bucket Amazon Simple Storage Service (Amazon S3) yang ditentukan. Satu bucket Amazon S3 digunakan untuk semua CloudTrail log untuk akun Anda. Untuk informasi selengkapnya, lihat [Pencatatan panggilan AWS Systems Manager API dengan AWS CloudTrail](monitoring-cloudtrail-logs.md).
**catatan**
Untuk analisis analitis berulang, historis, dan analitis dari file log Anda, pertimbangkan untuk menanyakan CloudTrail log menggunakan [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) atau tabel yang Anda pertahankan. Untuk informasi selengkapnya, lihat [Menanyakan AWS CloudTrail log](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html) di *Panduan AWS CloudTrail Pengguna*.
## Memantau aktivitas sesi menggunakan Amazon EventBridge (konsol)
Dengan EventBridge, Anda dapat mengatur aturan untuk mendeteksi kapan perubahan terjadi pada AWS sumber daya. Anda dapat membuat aturan untuk mendeteksi ketika pengguna di organisasi Anda memulai atau mengakhiri sesi, dan kemudian, misalnya, menerima pemberitahuan melalui Amazon SNS tentang acara tersebut.
EventBridge dukungan untuk Session Manager bergantung pada catatan operasi API yang direkam oleh CloudTrail. (Anda dapat menggunakan CloudTrail integrasi dengan EventBridge untuk menanggapi sebagian besar AWS Systems Manager peristiwa.) Tindakan yang terjadi dalam sesi, seperti `exit` perintah, yang tidak membuat panggilan API tidak terdeteksi oleh EventBridge.
Langkah-langkah berikut menguraikan cara memulai notifikasi melalui Amazon Simple Notification Service (Amazon SNS) saat peristiwa API terjadi, Session Manager seperti. **StartSession**
**Untuk memantau aktivitas sesi menggunakan Amazon EventBridge (konsol)**
1. Buat topik Amazon SNS yang akan digunakan untuk mengirim notifikasi saat Session Manager peristiwa terjadi yang ingin Anda lacak.
Untuk informasi lebih lanjut, lihat [Buat topik](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) dalam *Panduan Developer Amazon Simple Notification Service*.
1. Buat EventBridge aturan untuk memanggil target Amazon SNS untuk jenis Session Manager acara yang ingin Anda lacak.
Untuk informasi tentang cara membuat aturan, lihat [Membuat EventBridge aturan Amazon yang bereaksi terhadap peristiwa](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) di *Panduan EventBridge Pengguna Amazon*.
Saat Anda mengikuti langkah-langkah untuk membuat aturan, buat pilihan berikut:
+ Untuk **AWS layanan**, pilih **Systems Manager**.
+ Untuk **jenis Acara**, pilih **AWS API Call through CloudTrail**.
+ Pilih **Operasi khusus**, lalu masukkan Session Manager perintah atau perintah (satu per satu) yang ingin Anda terima notifikasi. Anda dapat memilih**StartSession**,**ResumeSession**, dan**TerminateSession**. (EventBridge tidak mendukung`Get*`,` List*`, dan `Describe*` perintah.)
+ Untuk **Pilih target**, pilih **Topik SNS**. Untuk **Topik**, pilih nama topik Amazon SNS yang Anda buat di Langkah 1.
Untuk informasi selengkapnya, lihat *[Panduan EventBridge Pengguna Amazon dan Panduan](https://docs.aws.amazon.com/eventbridge/latest/userguide/)* *[Memulai Layanan Pemberitahuan Sederhana Amazon](https://docs.aws.amazon.com/sns/latest/gsg/)*.
# Mengaktifkan dan menonaktifkan pencatatan sesi
Pencatatan sesi mencatat informasi tentang sesi saat ini dan yang telah selesai di konsol Systems Manager. Anda juga dapat mencatat detail tentang perintah yang dijalankan selama sesi di Anda Akun AWS. Session logging memungkinkan Anda untuk melakukan hal berikut:
+ Membuat dan menyimpan log sesi untuk tujuan arsip.
+ Buat laporan yang menunjukkan detail setiap koneksi yang dibuat ke node terkelola yang Anda gunakan Session Manager selama 30 hari terakhir.
+ Hasilkan notifikasi untuk pencatatan sesi di akun Anda Akun AWS, seperti notifikasi Amazon Simple Notification Service (Amazon SNS).
+ Secara otomatis memulai tindakan lain pada AWS sumber daya sebagai hasil dari tindakan yang dilakukan selama sesi, seperti menjalankan AWS Lambda fungsi, memulai AWS CodePipeline pipeline, atau menjalankan AWS Systems Manager Run Command dokumen.
**penting**
Perhatikan persyaratan dan batasan berikut untukSession Manager:
Session Managermencatat perintah yang Anda masukkan dan outputnya selama sesi tergantung pada preferensi sesi Anda. Untuk mencegah data sensitif, seperti kata sandi, dilihat di log sesi Anda, sebaiknya gunakan perintah berikut saat memasukkan data sensitif selama sesi.
```
stty -echo; read passwd; stty echo;
```
```
$Passwd = Read-Host -AsSecureString
```
Jika Anda menggunakan Windows Server 2012 atau yang lebih lama, data dalam log Anda mungkin tidak diformat secara optimal. Kami merekomendasikan menggunakan Windows Server 2012 R2 dan yang lebih baru untuk format log yang optimal.
Jika Anda menggunakan Linux atau macOS mengelola node, pastikan bahwa utilitas layar diinstal. Jika tidak, data log Anda mungkin terpotong. Di Amazon Linux 2, AL2 023 danUbuntu Server, utilitas layar diinstal secara default. Untuk menginstal layar secara manual, tergantung pada versi AndaLinux, jalankan salah satu `sudo yum install screen` atau`sudo apt-get install screen`.
Logging tidak tersedia untuk Session Manager sesi yang terhubung melalui port forwarding atau SSH. Ini karena SSH mengenkripsi semua data sesi dalam koneksi TLS aman yang dibuat antara titik akhir dan Session Manager titik akhir, AWS CLI dan Session Manager hanya berfungsi sebagai terowongan untuk koneksi SSH.
Untuk informasi selengkapnya tentang izin yang diperlukan untuk menggunakan Amazon S3 atau CloudWatch Amazon Log untuk mencatat data sesi, lihat. [Membuat peran IAM dengan izin untuk Session Manager dan Amazon S3 CloudWatch dan Log (konsol)](getting-started-create-iam-instance-profile.md#create-iam-instance-profile-ssn-logging)
Lihat topik berikut untuk informasi selengkapnya tentang opsi pencatatan untukSession Manager.
**Topics**
+ [Streaming data sesi menggunakan Amazon CloudWatch Logs (konsol)](session-manager-logging-cwl-streaming.md)
+ [Log data sesi menggunakan Amazon S3 (konsol)](session-manager-logging-s3.md)
+ [Data sesi logging menggunakan Amazon CloudWatch Logs (konsol)](session-manager-logging-cloudwatch-logs.md)
+ [Mengkonfigurasi pencatatan sesi ke disk](session-manager-logging-disk.md)
+ [Menyesuaikan berapa lama file log Session Manager sementara disimpan pada disk](session-manager-logging-disk-retention.md)
+ [Menonaktifkan Session Manager login di CloudWatch Log dan Amazon S3](session-manager-enable-and-disable-logging.md)
# Streaming data sesi menggunakan Amazon CloudWatch Logs (konsol)
Anda dapat mengirim aliran log data sesi secara terus-menerus ke Amazon CloudWatch Logs. Detail penting, seperti perintah yang dijalankan pengguna dalam sesi, ID pengguna yang menjalankan perintah, dan stempel waktu saat data sesi dialirkan ke CloudWatch Log, disertakan saat streaming data sesi. Saat streaming data sesi, log diformat JSON untuk membantu Anda berintegrasi dengan solusi log Anda yang ada. Streaming data sesi tidak didukung untuk perintah interaktif.
**catatan**
Untuk melakukan streaming data sesi dari node Windows Server terkelola, Anda harus menginstal PowerShell 5.1 atau yang lebih baru. Secara default, Windows Server 2016 dan yang lebih baru memiliki PowerShell versi yang diperlukan diinstal. Namun, Windows Server 2012 dan 2012 R2 tidak memiliki PowerShell versi yang diperlukan diinstal secara default. Jika Anda belum memperbarui PowerShell node terkelola Windows Server 2012 atau 2012 R2 Anda, Anda dapat melakukannya dengan menggunakanRun Command. Untuk informasi tentang memperbarui PowerShell penggunaanRun Command, lihat[Memperbarui PowerShell menggunakan Run Command](run-command-tutorial-update-software.md#rc-console-pwshexample).
**penting**
Jika Anda memiliki setelan kebijakan **PowerShell Transkripsi** yang dikonfigurasi pada node Windows Server terkelola, Anda tidak akan dapat mengalirkan data sesi.
**Untuk melakukan streaming data sesi menggunakan Amazon CloudWatch Logs (konsol)**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.
1. Pilih kotak centang di sebelah **Aktifkan** di bawah **CloudWatch pencatatan**.
1. Pilih opsi **Streaming log sesi**.
1. (Disarankan) Pilih kotak centang di sebelah **Izinkan hanya grup CloudWatch log terenkripsi**. Dengan opsi ini diaktifkan, data log dienkripsi menggunakan kunci enkripsi sisi server yang ditentukan untuk grup log. Jika Anda tidak ingin mengenkripsi data log yang dikirim ke CloudWatch Log, kosongkan kotak centang. Anda juga harus mengosongkan kotak centang jika enkripsi tidak diizinkan di grup log.
1. Untuk **CloudWatch log**, untuk menentukan grup CloudWatch log Log yang ada di log sesi Akun AWS untuk Anda unggah, pilih salah satu dari berikut ini:
+ Masukkan nama grup log di kotak teks yang telah dibuat di akun Anda untuk menyimpan data log sesi.
+ **Jelajahi grup log**: Pilih grup log yang telah dibuat di akun Anda untuk menyimpan data log sesi.
1. Pilih **Simpan**.
# Log data sesi menggunakan Amazon S3 (konsol)
Anda dapat memilih untuk menyimpan data log sesi di bucket Amazon Simple Storage Service (Amazon S3) yang ditentukan untuk tujuan debugging dan pemecahan masalah. Opsi default adalah untuk log yang akan dikirim ke bucket Amazon S3 yang dienkripsi. Enkripsi dilakukan menggunakan kunci yang ditentukan untuk bucket, baik kunci Amazon S3 Server-Side Encryption (SSE) (AES-256) AWS KMS key atau Amazon S3.
**penting**
Saat Anda menggunakan bucket cara hosting virtual dengan Lapisan Soket Aman (SSL), sertifikat wildcard SSL hanya cocok dengan bucket yang tidak mengandung titik. Untuk menangani hal ini, gunakan HTTP atau tulis logika verifikasi sertifikat Anda sendiri. Kami menyarankan Anda untuk tidak menggunakan titik (".") dalam nama bucket saat menggunakan bucket cara hosting virtual.
**Enkripsi bucket Amazon S3**
Untuk mengirim log ke bucket Amazon S3 Anda dengan enkripsi, enkripsi harus diizinkan di bucket. Untuk informasi lebih lanjut tentang enkripsi bucket Amazon S3, lihat [Enkripsi Default Amazon S3 untuk Bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html).
**Kunci yang dikelola pelanggan**
Jika Anda menggunakan kunci KMS yang Anda kelola sendiri untuk mengenkripsi bucket Anda, maka profil instans IAM yang terlampir pada instans Anda harus memiliki izin eksplisit untuk membaca kunci. Jika Anda menggunakan Kunci yang dikelola AWS, instance tidak memerlukan izin eksplisit ini. Untuk informasi lebih lanjut tentang memberikan profil instans dengan akses untuk menggunakan kunci, lihat [Mengizinkan Pengguna Kunci untuk Menggunakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) di *Panduan Developer AWS Key Management Service *.
Ikuti langkah-langkah berikut Session Manager untuk mengonfigurasi penyimpanan log sesi di bucket Amazon S3.
**catatan**
Anda juga dapat menggunakan AWS CLI untuk menentukan atau mengubah bucket Amazon S3 tempat data sesi dikirim. Untuk informasi, lihat [Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md).
**Untuk log data sesi menggunakan Amazon S3 (konsol)**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.
1. Pilih kotak centang di samping **Aktifkan** di bawah **log S3**.
1. (Disarankan) Pilih kotak centang di sebelah **Izinkan hanya bucket S3 yang dienkripsi**. Dengan opsi ini diaktifkan, data log dienkripsi menggunakan kunci enkripsi sisi server yang ditentukan untuk bucket. Jika Anda tidak ingin mengenkripsi data log yang dikirim ke Amazon S3, kosongkan kotak centang. Anda juga harus mengosongkan kotak centang jika enkripsi tidak diizinkan di bucket S3.
1. Untuk **nama bucket S3**, pilih salah satu dari berikut ini:
**catatan**
Kami menyarankan Anda untuk tidak menggunakan titik (".") dalam nama bucket saat menggunakan bucket cara hosting virtual. *Untuk informasi selengkapnya tentang konvensi penamaan ember Amazon S3, lihat [Pembatasan dan Batasan Bucket di](https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules) Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.*
+ **Pilih nama bucket dari daftar**: Pilih bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
+ **Masukkan nama bucket di kotak teks**: Masukkan nama bucket Amazon S3 yang telah dibuat di akun Anda untuk menyimpan data log sesi.
1. (Opsional) Untuk **prefiks kunci S3**, masukkan nama folder yang sudah ada atau baru untuk menyimpan log dalam bucket yang dipilih.
1. Pilih **Simpan**.
Untuk informasi selengkapnya tentang bekerja dengan bucket Amazon S3 dan Amazon S3, lihat Panduan Pengguna *[Layanan Penyimpanan Sederhana Amazon dan Panduan Pengguna Layanan Penyimpanan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)* *[Sederhana Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)*.
# Data sesi logging menggunakan Amazon CloudWatch Logs (konsol)
Dengan Amazon CloudWatch Logs, Anda dapat memantau, menyimpan, dan mengakses file log dari berbagai file Layanan AWS. Anda dapat mengirim data log sesi ke grup CloudWatch log Log untuk tujuan debugging dan pemecahan masalah. Opsi default adalah untuk data log yang akan dikirim dengan enkripsi menggunakan kunci KMS Anda, tetapi Anda dapat mengirim data ke grup log Anda dengan atau tanpa enkripsi.
Ikuti langkah-langkah berikut AWS Systems Manager Session Manager untuk mengonfigurasi pengiriman data log sesi ke grup CloudWatch log Log di akhir sesi Anda.
**catatan**
Anda juga dapat menggunakan AWS CLI untuk menentukan atau mengubah grup CloudWatch log Log tempat data sesi dikirim. Untuk informasi, lihat [Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md).
**Untuk mencatat data sesi menggunakan Amazon CloudWatch Logs (konsol)**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.
1. Pilih kotak centang di sebelah **Aktifkan** di bawah **CloudWatch pencatatan**.
1. Pilih opsi **Unggah log sesi**.
1. (Disarankan) Pilih kotak centang di sebelah **Izinkan hanya grup CloudWatch log terenkripsi**. Dengan opsi ini diaktifkan, data log dienkripsi menggunakan kunci enkripsi sisi server yang ditentukan untuk grup log. Jika Anda tidak ingin mengenkripsi data log yang dikirim ke CloudWatch Log, kosongkan kotak centang. Anda juga harus mengosongkan kotak centang jika enkripsi tidak diizinkan di grup log.
1. Untuk **CloudWatch log**, untuk menentukan grup CloudWatch log Log yang ada di log sesi Akun AWS untuk Anda unggah, pilih salah satu dari berikut ini:
+ **Pilih grup log dari daftar**: Pilih grup log yang telah dibuat di akun Anda untuk menyimpan data log sesi.
+ **Masukkan nama grup log di kotak teks**: Masukkan nama grup log yang telah dibuat di akun Anda untuk menyimpan data log sesi.
1. Pilih **Simpan**.
Untuk informasi selengkapnya tentang bekerja dengan CloudWatch Log, lihat *[Panduan Pengguna CloudWatch Log Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
# Mengkonfigurasi pencatatan sesi ke disk
Setelah Anda mengaktifkan Session Manager logging ke CloudWatch atau Amazon S3, semua perintah yang dijalankan selama sesi (dan output yang dihasilkan dari perintah tersebut) akan dicatat ke file sementara pada disk instance target. File sementara diberi nama`ipcTempFile.log`.
`ipcTempFile.log`Ini dikendalikan oleh `SessionLogsDestination` parameter dalam file SSM Agent konfigurasi. Parameter ini menerima nilai-nilai berikut:
+ **disk**: Jika Anda menentukan parameter ini dan pencatatan sesi ke CloudWatch atau Amazon S3 *diaktifkan*, SSM Agent buat file log `ipcTempFile.log` sementara dan perintah sesi log dan output ke disk. Session Managermengunggah log ini ke salah satu CloudWatch atau S3 selama atau setelah sesi, tergantung pada konfigurasi logging. Log kemudian dihapus sesuai dengan durasi yang ditentukan untuk parameter SSM Agent `SessionLogsRetentionDurationHours` konfigurasi.
Jika Anda menentukan parameter ini dan sesi logging ke CloudWatch dan Amazon S3 *dinonaktifkan*, SSM Agent masih mencatat riwayat perintah dan output dalam file. `ipcTempFile.log` File akan dihapus sesuai dengan durasi yang ditentukan untuk parameter SSM Agent `SessionLogsRetentionDurationHours` konfigurasi.
+ **none**: Jika Anda menentukan parameter ini dan pencatatan sesi ke CloudWatch atau Amazon S3 *diaktifkan*, logging ke disk berfungsi persis seperti jika Anda telah menentukan parameter. `disk` SSM Agentmemerlukan file sementara saat sesi masuk ke CloudWatch atau Amazon S3 diaktifkan.
Jika Anda menentukan parameter ini dan pencatatan sesi ke CloudWatch atau Amazon S3 *dinonaktifkan*, SSM Agent tidak akan membuat file. `ipcTempFile.log`
Gunakan prosedur berikut untuk mengaktifkan atau menonaktifkan pembuatan file log `ipcTempFile.log` sementara ke disk ketika sesi ditatap.
**Untuk mengaktifkan atau menonaktifkan pembuatan file log Session Manager sementara ke disk**
1. Instal SSM Agent pada instans Anda atau tingkatkan ke versi 3.2.2086 atau lebih tinggi. Untuk informasi tentang cara memeriksa nomor versi agen, lihat[Memeriksa nomor SSM Agent versi](ssm-agent-get-version.md). Untuk informasi tentang cara menginstal agen secara manual, cari prosedur untuk sistem operasi Anda di bagian berikut:
+ [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Linux](manually-install-ssm-agent-linux.md)
+ [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk macOS](manually-install-ssm-agent-macos.md)
+ [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Windows Server](manually-install-ssm-agent-windows.md)
1. Connect ke instans Anda dan temukan `amazon-ssm-agent.json` file di lokasi berikut.
+ **Linux**:/etc/amazon/ssm/
+ **macOS**: /opt/aws/ssm/
+ **Windows Server**: C:\$1Program File\$1 Amazon\$1 SSM
Jika file `amazon-ssm-agent.json` tidak ada, salin isi file `amazon-ssm-agent.json.template` ke file baru di direktori yang sama. Beri nama file baru`amazon-ssm-agent.json`.
1. Tentukan salah satu `none` atau `disk` untuk `SessionLogsDestination` parameter. Simpan perubahan Anda.
1. [Mulai ulang](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-status-and-restart.html)SSM Agent.
Jika Anda menentukan `disk` `SessionLogsDestination` parameter, Anda dapat memverifikasi bahwa SSM Agent membuat file log sementara dengan memulai sesi baru dan kemudian menemukan `ipcTempFile.log` di lokasi berikut:
+ **Linux**://var/lib/amazon/ssm/session/orchestration/ *target ID* /Standard\$1Stream/ .log *session ID* ipcTempFile
+ **macOS**://opt/aws/ssm/data/sesi/orchestration/ *target ID* /Standard\$1Stream/ .log *session ID* ipcTempFile
+ **Windows Server**: C:\$1\$1 AmazonProgramData\$1 SSM\$1\$1\$1 sesiInstanceData\$1 orchestration*target ID*\$1\$1 Standard\$1Stream\$1 *session ID* .log ipcTempFile
**catatan**
Secara default, file log sementara disimpan pada instance selama 14 hari.
Jika Anda ingin memperbarui `SessionLogsDestination` parameter di beberapa instance, kami sarankan Anda membuat Dokumen SSM yang menentukan konfigurasi baru. Anda kemudian dapat menggunakan Systems Manager Run Command untuk mengimplementasikan perubahan pada instans Anda. Untuk informasi selengkapnya, lihat [Menulis AWS Systems Manager dokumen Anda sendiri (blog)](https://aws.amazon.com/blogs/mt/writing-your-own-aws-systems-manager-documents/) dan[Menjalankan perintah pada node terkelola](running-commands.md).
# Menyesuaikan berapa lama file log Session Manager sementara disimpan pada disk
Setelah Anda mengaktifkan Session Manager logging ke CloudWatch atau Amazon S3, semua perintah yang dijalankan selama sesi (dan output yang dihasilkan dari perintah tersebut) akan dicatat ke file sementara pada disk instance target. File sementara diberi nama`ipcTempFile.log`. Selama sesi, atau setelah selesai, Session Manager unggah log sementara ini ke salah satu CloudWatch atau S3. Log sementara kemudian dihapus sesuai dengan durasi yang ditentukan untuk parameter SSM Agent `SessionLogsRetentionDurationHours` konfigurasi. Secara default, file log sementara disimpan pada instance selama 14 hari di lokasi berikut:
+ **Linux**://var/lib/amazon/ssm/session/orchestration/ *target ID* /Standard\$1Stream/ .log *session ID* ipcTempFile
+ **macOS**://opt/aws/ssm/data/sesi/orchestration/ *target ID* /Standard\$1Stream/ .log *session ID* ipcTempFile
+ **Windows Server**: C:\$1\$1 AmazonProgramData\$1 SSM\$1\$1\$1 sesiInstanceData\$1 orchestration*target ID*\$1\$1 Standard\$1Stream\$1 *session ID* .log ipcTempFile
Gunakan prosedur berikut untuk menyesuaikan berapa lama file log Session Manager sementara disimpan pada disk.
**Untuk menyesuaikan berapa lama `ipcTempFile.log` file disimpan pada disk**
1. Connect ke instans Anda dan temukan `amazon-ssm-agent.json` file di lokasi berikut.
+ **Linux**:/etc/amazon/ssm/
+ **macOS**: /opt/aws/ssm/
+ **Windows Server**: C:\$1Program File\$1 Amazon\$1 SSM
Jika file `amazon-ssm-agent.json` tidak ada, salin isi file `amazon-ssm-agent.json.template` ke file baru di direktori yang sama. Beri nama file baru`amazon-ssm-agent.json`.
1. Ubah nilai `SessionLogsRetentionDurationHours` ke jumlah jam yang diinginkan. Jika `SessionLogsRetentionDurationHours` diatur ke 0, file log sementara dibuat selama sesi dan dihapus ketika sesi selesai. Pengaturan ini harus memastikan file log tidak bertahan setelah sesi berakhir.
1. Simpan perubahan Anda.
1. [Mulai ulang](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-status-and-restart.html)SSM Agent.
# Menonaktifkan Session Manager login di CloudWatch Log dan Amazon S3
Anda dapat menggunakan konsol Systems Manager atau AWS CLI untuk menonaktifkan pencatatan sesi di akun Anda.
**Untuk menonaktifkan pencatatan sesi (konsol)**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Session Manager**.
1. Pilih tab **Preferensi**, dan kemudian pilih **Edit**.
1. Untuk menonaktifkan CloudWatch logging, di bagian **CloudWatch logging**, kosongkan kotak centang **Aktifkan**.
1. Untuk menonaktifkan logging S3, di bagian **logging S3**, kosongkan kotak centang **Aktifkan**.
1. Pilih **Simpan**.
**Untuk menonaktifkan pencatatan sesi (AWS CLI)**
Untuk menonaktifkan pencatatan sesi menggunakan AWS CLI, ikuti instruksi di[Perbarui Session Manager preferensi (baris perintah)](getting-started-configure-preferences-cli.md).
Dalam file JSON Anda, pastikan bahwa `s3BucketName` dan `cloudWatchLogGroupName` input tidak mengandung nilai. Contoh:
```
"inputs": {
"s3BucketName": "",
...
"cloudWatchLogGroupName": "",
...
}
```
Atau, untuk menonaktifkan logging, Anda dapat menghapus semua `S3*` dan `cloudWatch*` input dari file JSON Anda.
**catatan**
Tergantung pada konfigurasi Anda, setelah Anda menonaktifkan CloudWatch atau S3, file log sementara mungkin masih dihasilkan ke disk olehSSM Agent. Untuk informasi tentang cara menonaktifkan logging ke disk, lihat[Mengkonfigurasi pencatatan sesi ke disk](session-manager-logging-disk.md).
# Skema dokumen sesi
Informasi berikut menjelaskan elemen skema dokumen Sesi. AWS Systems Manager Session Manager Menggunakan dokumen Sesi untuk menentukan jenis sesi yang akan dimulai, seperti sesi standar, sesi penerusan port, atau sesi untuk menjalankan perintah interaktif.
[schemaVersion](#version)
Versi skema dokumen Sesi. Dokumen Sesi hanya mendukung versi 1.0.
Tipe: String
Wajib: Ya
[description](#descript)
Deskripsi yang Anda tentukan untuk dokumen Sesi. Misalnya, “Dokumen untuk memulai sesi penerusan port dengan Session Manager".
Tipe: String
Wajib: Tidak
[sessionType](#type)
Tipe sesi dokumen Sesi digunakan untuk membuat.
Tipe: String
Wajib: Ya
Nilai valid: `InteractiveCommands` \$1 `NonInteractiveCommands` \$1 `Port` \$1 `Standard_Stream`
[inputs](#in)
Preferensi sesi yang akan digunakan untuk sesi yang dibuat menggunakan dokumen Sesi ini. Elemen ini diperlukan untuk dokumen Sesi yang digunakan untuk membuat sesi `Standard_Stream`.
Jenis: StringMap
Wajib: Tidak
[s3BucketName](#bucket)
Bucket Amazon Simple Storage Service (Amazon S3) yang ingin Anda kirimkan log sesi di akhir sesi Anda.
Tipe: String
Wajib: Tidak
[s3KeyPrefix](#prefix)
Prefiks yang digunakan saat mengirim log ke bucket Amazon S3 yang Anda tentukan di input `s3BucketName`. Untuk informasi selengkapnya tentang menggunakan awalan bersama dengan objek yang disimpan di Amazon S3, [lihat Bagaimana cara menggunakan folder di bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/using-folders.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
Tipe: String
Wajib: Tidak
[s3EncryptionEnabled](#s3Encrypt)
Jika diatur ke `true`, bucket Amazon S3 yang Anda tentukan di input `s3BucketName` harus dienkripsi.
Tipe: Boolean
Wajib: Ya
[cloudWatchLogGroupName](#logGroup)
Nama grup Amazon CloudWatch Logs (CloudWatch Log) yang ingin Anda kirimi log sesi di akhir sesi.
Tipe: String
Wajib: Tidak
[cloudWatchEncryptionEnabled](#cwEncrypt)
Jika diatur ke `true`, grup log yang Anda tentukan dalam input `cloudWatchLogGroupName` harus dienkripsi.
Tipe: Boolean
Wajib: Ya
[cloudWatchStreamingEnabled](#cwStream)
Jika diatur ke `true`, aliran terus-menerus sesi data log dikirim ke grup log yang Anda tentukan di input `cloudWatchLogGroupName`. Jika diatur ke `false`, log sesi dikirim ke grup log yang Anda tentukan di input `cloudWatchLogGroupName` di akhir sesi Anda.
Tipe: Boolean
Wajib: Ya
[kmsKeyId](#kms)
ID yang ingin AWS KMS key Anda gunakan untuk mengenkripsi data lebih lanjut antara mesin klien lokal Anda dan node terkelola Amazon Elastic Compute Cloud EC2 (Amazon) yang Anda sambungkan.
Tipe: String
Wajib: Tidak
[runAsEnabled](#run)
Jika disetel ke`true`, Anda harus menentukan akun pengguna yang ada di node terkelola yang akan Anda sambungkan di `runAsDefaultUser` input. Jika tidak, sesi akan gagal untuk memulai. Secara default, sesi dimulai menggunakan `ssm-user` akun yang dibuat oleh AWS Systems Manager SSM Agent. Fitur Run As hanya didukung untuk menghubungkan ke Linux and macOS node terkelola.
Jenis: Boolean
Wajib: Ya
[runAsDefaultUser](#runUser)
Nama akun pengguna untuk memulai sesi dengan on Linux and macOS node terkelola saat `runAsEnabled` input diatur ke`true`. Akun pengguna yang Anda tentukan untuk input ini harus ada pada node terkelola yang akan Anda sambungkan; jika tidak, sesi akan gagal dimulai.
Tipe: String
Wajib: Tidak
[idleSessionTimeout](#timeout)
Jumlah waktu tidak aktif yang ingin Anda izinkan sebelum sesi berakhir. Input ini diukur dalam hitungan menit.
Tipe: String
Nilai valid: 1–60
Wajib: Tidak
[maxSessionDuration](#maxDuration)
Jumlah maksimum waktu yang ingin Anda izinkan sebelum sesi berakhir. Input ini diukur dalam hitungan menit.
Tipe: String
Nilai yang valid: 1-1440
Wajib: Tidak
[shellProfile](#shell)
Preferensi yang Anda tentukan per sistem operasi untuk diterapkan dalam sesi seperti preferensi shell, variabel lingkungan, direktori kerja, dan menjalankan beberapa perintah ketika sesi dimulai.
Jenis: StringMap
Wajib: Tidak
[windows](#win)
Preferensi shell, variabel lingkungan, direktori kerja, dan perintah yang Anda tentukan untuk sesi Windows Server node terkelola.
Tipe: String
Wajib: Tidak
[linux](#lin)
Preferensi shell, variabel lingkungan, direktori kerja, dan perintah yang Anda tentukan untuk sesi Linux and macOS node terkelola.
Tipe: String
Wajib: Tidak
[parameters](#param)
Objek yang menentukan parameter yang diterima dokumen. Untuk informasi lebih lanjut tentang menentukan parameter dokumen, lihat **parameter** di [Elemen data tingkat atas](documents-syntax-data-elements-parameters.md#top-level). Untuk parameter yang sering Anda referensikan, kami sarankan Anda menyimpan parameter tersebut di Systems Manager Parameter Store dan kemudian referensi mereka. Anda dapat referensi `String` dan `StringList` Parameter Store parameter di bagian dokumen ini. Anda tidak bisa referensi `SecureString` Parameter Store parameter di bagian dokumen ini. Anda dapat mereferensikan Parameter Store parameter menggunakan format berikut.
```
{{ssm:parameter-name}}
```
Untuk informasi lebih lanjut tentang Parameter Store, lihat [AWS Systems Manager Parameter Store](systems-manager-parameter-store.md).
Jenis: StringMap
Wajib: Tidak
[properties](#props)
Objek yang nilainya Anda tentukan yang digunakan dalam operasi API `StartSession`.
Untuk dokumen Sesi yang digunakan untuk sesi `InteractiveCommands`, objek properti termasuk perintah untuk berjalan pada sistem operasi yang Anda tentukan. Anda juga dapat menentukan apakah perintah dijalankan seperti `root` menggunakan properti `runAsElevated` boolean. Untuk informasi selengkapnya, lihat [Membatasi akses ke perintah dalam sesi](session-manager-restrict-command-access.md).
Untuk dokumen Sesi yang digunakan untuk sesi `Port`, objek properti berisi nomor port tempat lalu lintas harus diarahkan. Sebagai contoh, lihat contoh dokumen Sesi tipe `Port` nanti di topik ini.
Jenis: StringMap
Wajib: Tidak
Contoh dokumen sesi tipe `Standard_Stream`
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to hold regional settings for Session Manager
sessionType: Standard_Stream
inputs:
s3BucketName: ''
s3KeyPrefix: ''
s3EncryptionEnabled: true
cloudWatchLogGroupName: ''
cloudWatchEncryptionEnabled: true
cloudWatchStreamingEnabled: true
kmsKeyId: ''
runAsEnabled: true
runAsDefaultUser: ''
idleSessionTimeout: '20'
maxSessionDuration: '60'
shellProfile:
windows: ''
linux: ''
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to hold regional settings for Session Manager",
"sessionType": "Standard_Stream",
"inputs": {
"s3BucketName": "",
"s3KeyPrefix": "",
"s3EncryptionEnabled": true,
"cloudWatchLogGroupName": "",
"cloudWatchEncryptionEnabled": true,
"cloudWatchStreamingEnabled": true,
"kmsKeyId": "",
"runAsEnabled": true,
"runAsDefaultUser": "",
"idleSessionTimeout": "20",
"maxSessionDuration": "60",
"shellProfile": {
"windows": "date",
"linux": "pwd;ls"
}
}
}
```
------
Contoh dokumen sesi tipe `InteractiveCommands`
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to view a log file on a Linux instance
sessionType: InteractiveCommands
parameters:
logpath:
type: String
description: The log file path to read.
default: "/var/log/amazon/ssm/amazon-ssm-agent.log"
allowedPattern: "^[a-zA-Z0-9-_/]+(.log)$"
properties:
linux:
commands: "tail -f {{ logpath }}"
runAsElevated: true
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to view a log file on a Linux instance",
"sessionType": "InteractiveCommands",
"parameters": {
"logpath": {
"type": "String",
"description": "The log file path to read.",
"default": "/var/log/amazon/ssm/amazon-ssm-agent.log",
"allowedPattern": "^[a-zA-Z0-9-_/]+(.log)$"
}
},
"properties": {
"linux": {
"commands": "tail -f {{ logpath }}",
"runAsElevated": true
}
}
}
```
------
Contoh dokumen sesi tipe `Port`
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Document to open given port connection over Session Manager
sessionType: Port
parameters:
paramExample:
type: string
description: document parameter
properties:
portNumber: anyPortNumber
```
------
#### [ JSON ]
```
{
"schemaVersion": "1.0",
"description": "Document to open given port connection over Session Manager",
"sessionType": "Port",
"parameters": {
"paramExample": {
"type": "string",
"description": "document parameter"
}
},
"properties": {
"portNumber": "anyPortNumber"
}
}
```
------
Contoh dokumen sesi dengan karakter khusus
------
#### [ YAML ]
```
---
schemaVersion: '1.0'
description: Example document with quotation marks
sessionType: InteractiveCommands
parameters:
Test:
type: String
description: Test Input
maxChars: 32
properties:
windows:
commands: |
$Test = '{{ Test }}'
$myVariable = \"Computer name is $env:COMPUTERNAME\"
Write-Host "Test variable: $myVariable`.`nInput parameter: $Test"
runAsElevated: false
```
------
#### [ JSON ]
```
{
"schemaVersion":"1.0",
"description":"Test document with quotation marks",
"sessionType":"InteractiveCommands",
"parameters":{
"Test":{
"type":"String",
"description":"Test Input",
"maxChars":32
}
},
"properties":{
"windows":{
"commands":[
"$Test = '{{ Test }}'",
"$myVariable = \\\"Computer name is $env:COMPUTERNAME\\\"",
"Write-Host \"Test variable: $myVariable`.`nInput parameter: $Test\""
],
"runAsElevated":false
}
}
}
```
------
# Pemecahan Masalah Session Manager
Gunakan informasi berikut untuk membantu Anda memecahkan masalah. AWS Systems Manager Session Manager
**Topics**
+ [AccessDeniedException saat memanggil TerminateSession operasi](#session-manager-troubleshooting-access-denied-exception)
+ [Proses dokumen gagal secara tak terduga: pekerja dokumen kehabisan waktu](#session-manager-troubleshooting-document-worker-timed-out)
+ [Session Managertidak dapat terhubung dari konsol Amazon EC2](#session-manager-troubleshooting-EC2-console)
+ [Tidak ada izin untuk memulai sesi](#session-manager-troubleshooting-start-permissions)
+ [SSM Agenttidak online](#session-manager-troubleshooting-agent-not-online)
+ [Tidak ada izin untuk mengubah preferensi sesi](#session-manager-troubleshooting-preferences-permissions)
+ [Node terkelola tidak tersedia atau tidak dikonfigurasi untuk Session Manager](#session-manager-troubleshooting-instances)
+ [Session ManagerPlugin tidak ditemukan](#plugin-not-found)
+ [Session Managerplugin tidak secara otomatis ditambahkan ke jalur baris perintah (Windows)](#windows-plugin-env-var-not-set)
+ [Session ManagerPlugin menjadi tidak responsif](#plugin-unresponsive)
+ [TargetNotConnected](#ssh-target-not-connected)
+ [Layar kosong ditampilkan setelah memulai sesi](#session-manager-troubleshooting-start-blank-screen)
+ [Node terkelola menjadi tidak responsif selama sesi berjalan lama](#session-manager-troubleshooting-log-retention)
+ [Terjadi kesalahan (InvalidDocument) saat memanggil StartSession operasi](#session-manager-troubleshooting-invalid-document)
## AccessDeniedException saat memanggil TerminateSession operasi
**Masalah**: Saat mencoba mengakhiri sesi, Systems Manager mengembalikan kesalahan berikut:
```
An error occurred (AccessDeniedException) when calling the TerminateSession operation:
User: is not authorized to perform: ssm:TerminateSession on resource:
because no identity-based policy allows the ssm:TerminateSession action.
```
**Solusi A: Konfirmasikan bahwa [versi terbaru Session Manager plugin](https://docs.aws.amazon.com/systems-manager/latest/userguide/plugin-version-history.html) diinstal pada node**
Masukkan perintah berikut di terminal dan tekan Enter.
```
session-manager-plugin --version
```
**Solusi B: Instal atau instal ulang versi terbaru plugin**
Untuk informasi selengkapnya, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).
**Solusi C: Mencoba membangun kembali koneksi ke node**
Verifikasi bahwa node merespons permintaan. Coba bangun kembali sesi. Atau, jika perlu, buka konsol Amazon EC2 dan verifikasi status instans sedang berjalan.
## Proses dokumen gagal secara tak terduga: pekerja dokumen kehabisan waktu
**Masalah**: Saat memulai sesi ke host Linux, Systems Manager mengembalikan kesalahan berikut:
```
document process failed unexpectedly: document worker timed out,
check [ssm-document-worker]/[ssm-session-worker] log for crash reason
```
Jika Anda mengonfigurasi SSM Agent logging, seperti yang dijelaskan di[Melihat SSM Agent log](ssm-agent-logs.md), Anda dapat melihat detail selengkapnya di log debugging. Untuk masalah ini, Session Manager menampilkan entri log berikut:
```
failed to create channel: too many open files
```
Kesalahan ini biasanya menunjukkan bahwa ada terlalu banyak proses Session Manager pekerja yang berjalan dan sistem operasi yang mendasarinya mencapai batas. Anda memiliki dua opsi untuk menyelesaikan masalah ini.
**Solusi A: Tingkatkan batas notifikasi file sistem operasi**
Anda dapat meningkatkan batas dengan menjalankan perintah berikut dari host Linux terpisah. Perintah ini menggunakan Systems ManagerRun Command. Nilai yang ditentukan meningkat `max_user_instances` menjadi 8192. Nilai ini jauh lebih tinggi daripada nilai default 128, tetapi tidak akan membebani sumber daya host:
```
aws ssm send-command --document-name AWS-RunShellScript \
--instance-id i-02573cafcfEXAMPLE --parameters \
"commands=sudo sysctl fs.inotify.max_user_instances=8192"
```
**Solusi B: Kurangi notifikasi file yang digunakan oleh Session Manager host target**
Jalankan perintah berikut dari host Linux terpisah untuk membuat daftar sesi yang berjalan pada host target:
```
aws ssm describe-sessions --state Active --filters key=Target,value=i-02573cafcfEXAMPLE
```
Tinjau output perintah untuk mengidentifikasi sesi yang tidak lagi diperlukan. Anda dapat mengakhiri sesi tersebut dengan menjalankan perintah berikut dari host Linux terpisah:
```
aws ssm terminate-session —session-id session ID
```
Secara opsional, setelah tidak ada lagi sesi yang berjalan di server jarak jauh, Anda dapat membebaskan sumber daya tambahan dengan menjalankan perintah berikut dari host Linux terpisah. Perintah ini menghentikan semua Session Manager proses yang berjalan pada host jarak jauh, dan akibatnya semua sesi ke host jarak jauh. Sebelum Anda menjalankan perintah ini, pastikan tidak ada sesi yang sedang berlangsung yang ingin Anda pertahankan:
```
aws ssm send-command --document-name AWS-RunShellScript \
--instance-id i-02573cafcfEXAMPLE --parameters \
'{"commands":["sudo kill $(ps aux | grep ssm-session-worker | grep -v grep | awk '"'"'{print $2}'"'"')"]}'
```
## Session Managertidak dapat terhubung dari konsol Amazon EC2
**Masalah**: Setelah membuat instance baru, tombol **Connect** > tab **Session Manager** di konsol Amazon Elastic Compute Cloud (Amazon EC2) tidak memberi Anda opsi untuk terhubung.
**Solusi A: Buat profil instance**: Jika Anda belum melakukannya (seperti yang diinstruksikan oleh informasi pada tab **Session Manager** di konsol EC2), buat profil instans AWS Identity and Access Management (IAM) dengan menggunakan. Quick Setup Quick Setupadalah alat di AWS Systems Manager.
Session Managermemerlukan profil instans IAM untuk terhubung ke instans Anda. Anda dapat membuat profil instans dan menetapkannya ke instans Anda dengan membuat [konfigurasi manajemen host](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) denganQuick Setup. *Konfigurasi manajemen host* membuat profil instance dengan izin yang diperlukan dan menetapkannya ke instans Anda. Konfigurasi manajemen host juga memungkinkan alat Systems Manager lainnya dan membuat peran IAM untuk menjalankan alat tersebut. Tidak ada biaya untuk menggunakan Quick Setup atau alat yang diaktifkan oleh konfigurasi manajemen host. [Buka Quick Setup dan buat konfigurasi manajemen host](https://console.aws.amazon.com/systems-manager/quick-setup/create-configuration&configurationType=SSMHostMgmt).
**penting**
Setelah Anda membuat konfigurasi manajemen host, Amazon EC2 dapat mengambil beberapa menit untuk mendaftarkan perubahan dan menyegarkan tab **Session Manager**. Jika tab tidak menampilkan tombol **Connect** setelah dua menit, reboot instance Anda. Setelah reboot, jika Anda masih tidak melihat opsi untuk terhubung, buka [Quick Setup](https://console.aws.amazon.com/systems-manager/quick-setup/create-configuration&configurationType=SSMHostMgmt) dan verifikasi bahwa Anda hanya memiliki satu konfigurasi manajemen host. Jika ada dua, hapus konfigurasi yang lebih lama dan tunggu beberapa menit.
Jika Anda masih tidak dapat terhubung setelah membuat konfigurasi manajemen host, atau jika Anda menerima kesalahan, termasuk kesalahanSSM Agent, lihat salah satu solusi berikut:
+ [Solusi B: Tidak ada kesalahan, tetapi masih tidak dapat terhubung](#session-manager-troubleshooting-EC2-console-no-error)
+ [Solusi C: Kesalahan tentang hilang SSM Agent](#session-manager-troubleshooting-EC2-console-no-agent)
### Solusi B: Tidak ada kesalahan, tetapi masih tidak dapat terhubung
Jika Anda membuat konfigurasi manajemen host, menunggu beberapa menit sebelum mencoba terhubung, dan masih tidak dapat terhubung, maka Anda mungkin perlu menerapkan konfigurasi manajemen host secara manual ke instans Anda. Gunakan prosedur berikut untuk memperbarui konfigurasi manajemen Quick Setup host dan menerapkan perubahan pada instance.
**Untuk memperbarui konfigurasi manajemen host menggunakan Quick Setup**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Quick Setup**.
1. Dalam daftar **Konfigurasi**, pilih konfigurasi **Manajemen Host** yang Anda buat.
1. Pilih **Tindakan**, lalu pilih **Edit konfigurasi**.
1. Di dekat bagian bawah bagian **Target**, di bawah **Pilih cara Anda ingin menargetkan instance**, pilih **Manual**.
1. Di bagian **Instances**, pilih instance yang Anda buat.
1. Pilih **Perbarui**.
Tunggu beberapa menit hingga EC2 menyegarkan tab **Session Manager**. Jika Anda masih tidak dapat terhubung atau jika Anda menerima kesalahan, tinjau solusi yang tersisa untuk masalah ini.
### Solusi C: Kesalahan tentang hilang SSM Agent
Jika Anda tidak dapat membuat konfigurasi manajemen host dengan menggunakanQuick Setup, atau jika Anda menerima kesalahan tentang SSM Agent tidak diinstal, Anda mungkin perlu menginstal secara manual SSM Agent pada instans Anda. SSM Agentadalah perangkat lunak Amazon yang memungkinkan Systems Manager terhubung ke instans Anda dengan menggunakanSession Manager. SSM Agentdiinstal secara default di sebagian besar Gambar Mesin Amazon (AMIs). Jika instans Anda dibuat dari AMI non-standar atau AMI yang lebih lama, Anda mungkin harus menginstal agen secara manual. Untuk prosedur yang akan diinstalSSM Agent, lihat topik berikut yang sesuai dengan sistem operasi instans Anda.
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-windows.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-windows.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-macos.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-macos.html)
+ [AlmaLinux](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-alma.html)
+ [Amazon Linux 2 dan AL2023](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-al2.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-oracle.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-oracle.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rhel.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rhel.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rocky.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-rocky.html)
+ [https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-ubuntu.html](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-ubuntu.html)
Untuk masalah denganSSM Agent, lihat[Pemecahan Masalah SSM Agent](troubleshooting-ssm-agent.md).
## Tidak ada izin untuk memulai sesi
**Masalah**: Anda mencoba untuk memulai sesi, tetapi sistem memberitahu Anda bahwa Anda tidak memiliki izin yang diperlukan.
+ **Solusi**: Administrator sistem belum memberi Anda izin kebijakan AWS Identity and Access Management (IAM) untuk memulai Session Manager sesi. Untuk informasi, lihat [Kontrol akses sesi pengguna ke instans](session-manager-getting-started-restrict-access.md).
## SSM Agenttidak online
**Masalah**: Anda melihat pesan di **Session Manager**tab instans Amazon EC2 yang menyatakan: "SSM Agenttidak online. SSM AgentItu tidak dapat terhubung ke titik akhir Systems Manager untuk mendaftarkan dirinya dengan layanan.
**Solusi**: SSM Agent adalah perangkat lunak Amazon yang berjalan pada instans Amazon EC2 sehingga Session Manager dapat terhubung dengannya. Jika Anda melihat kesalahan SSM Agent ini, tidak dapat membuat koneksi dengan titik akhir Systems Manager. Kemungkinan sumber masalah bisa berupa pembatasan firewall, masalah perutean, atau kurangnya konektivitas internet. Untuk mengatasi masalah ini, selidiki masalah konektivitas jaringan. Untuk informasi selengkapnya, lihat [Pemecahan Masalah SSM Agent](troubleshooting-ssm-agent.md) dan [Memecahkan masalah ketersediaan node terkelola](fleet-manager-troubleshooting-managed-nodes.md). Untuk informasi tentang titik akhir Systems Manager, lihat [AWS Systems Manager titik akhir dan kuota di Referensi](https://docs.aws.amazon.com/general/latest/gr/ssm.html) Umum. AWS
## Tidak ada izin untuk mengubah preferensi sesi
**Masalah**: Anda mencoba untuk memperbarui preferensi sesi global untuk organisasi Anda, tetapi sistem memberitahu Anda bahwa Anda tidak memiliki izin yang diperlukan.
+ **Solusi**: Administrator sistem belum memberi Anda izin kebijakan IAM untuk menyetel Session Manager preferensi. Untuk informasi, lihat [Berikan atau tolak izin pengguna untuk memperbarui preferensi Session Manager](preference-setting-permissions.md).
## Node terkelola tidak tersedia atau tidak dikonfigurasi untuk Session Manager
**Masalah 1**: Anda ingin memulai sesi di halaman **Mulai konsol sesi**, tetapi node terkelola tidak ada dalam daftar.
+ **Solusi A**: Node terkelola yang ingin Anda sambungkan mungkin belum dikonfigurasi AWS Systems Manager. Untuk informasi selengkapnya, lihat [Menyiapkan konsol terpadu Systems Manager untuk organisasi](systems-manager-setting-up-organizations.md).
**catatan**
Jika AWS Systems Manager SSM Agent sudah berjalan pada node terkelola saat Anda melampirkan profil instans IAM, Anda mungkin perlu memulai ulang agen sebelum instance terdaftar di halaman **Mulai konsol sesi**.
+ **Solusi B**: Konfigurasi proxy yang Anda terapkan SSM Agent pada node terkelola Anda mungkin salah. Jika konfigurasi proxy salah, node terkelola tidak akan dapat mencapai titik akhir layanan yang diperlukan, atau node mungkin melaporkan sebagai sistem operasi yang berbeda dengan Systems Manager. Untuk informasi selengkapnya, lihat [Mengkonfigurasi SSM Agent untuk menggunakan proxy pada node Linux](configure-proxy-ssm-agent.md) dan [SSM AgentKonfigurasikan untuk menggunakan proxy untuk Windows Server instance](configure-proxy-ssm-agent-windows.md).
**Masalah 2**: Node terkelola yang ingin Anda sambungkan ada dalam daftar di halaman **Mulai konsol sesi**, tetapi halaman tersebut melaporkan bahwa “Instance yang Anda pilih tidak dikonfigurasi untuk digunakanSession Manager.”
+ **Solusi A**: Node terkelola telah dikonfigurasi untuk digunakan dengan layanan Systems Manager, tetapi profil instans IAM yang dilampirkan ke node mungkin tidak menyertakan izin untuk alat tersebutSession Manager. Untuk selengkapnya, lihat [Memverifikasi atau Membuat Profil Instans IAM dengan Session Manager Izin](session-manager-getting-started-instance-profile.md).
+ **Solusi B**: Node terkelola tidak menjalankan versi SSM Agent yang mendukungSession Manager. Perbarui SSM Agent pada node ke versi 2.3.68.0 atau yang lebih baru.
Perbarui SSM Agent secara manual pada node terkelola dengan mengikuti langkah-langkah dalam [Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Windows Server](manually-install-ssm-agent-windows.md)[Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk Linux](manually-install-ssm-agent-linux.md),[Menginstal dan menghapus instalasi secara manual SSM Agent pada instans EC2 untuk macOS](manually-install-ssm-agent-macos.md), atau, tergantung pada sistem operasi.
Atau, gunakan Run Command dokumen `AWS-UpdateSSMAgent` untuk memperbarui versi agen pada satu atau lebih node terkelola pada satu waktu. Untuk informasi, lihat [Memperbarui SSM Agent penggunaan Run Command](run-command-tutorial-update-software.md#rc-console-agentexample).
**Tip**
Untuk selalu memperbarui agen Anda, kami sarankan memperbarui SSM Agent ke versi terbaru pada jadwal otomatis yang Anda tentukan menggunakan salah satu metode berikut:
Jalankan `AWS-UpdateSSMAgent` sebagai bagian dari State Manager asosiasi. Untuk informasi, lihat [Walkthrough: Perbarui SSM Agent secara otomatis dengan AWS CLI](state-manager-update-ssm-agent-cli.md).
Jalankan `AWS-UpdateSSMAgent` sebagai bagian dari jendela pemeliharaan. Untuk informasi tentang bekerja dengan jendela pemeliharaan, lihat [Membuat dan mengelola jendela pemeliharaan menggunakan konsol](sysman-maintenance-working.md) dan [Tutorial: Membuat dan mengkonfigurasi jendela pemeliharaan menggunakan AWS CLI](maintenance-windows-cli-tutorials-create.md).
+ **Solusi C**: Node terkelola tidak dapat mencapai titik akhir layanan yang diperlukan. Anda dapat meningkatkan postur keamanan node terkelola dengan menggunakan titik akhir antarmuka yang didukung oleh AWS PrivateLink untuk terhubung ke titik akhir Systems Manager. Alternatif untuk menggunakan titik akhir antarmuka adalah mengizinkan akses internet keluar pada node terkelola Anda. Untuk informasi selengkapnya, lihat [Menggunakan PrivateLink untuk menyiapkan titik akhir VPC](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-privatelink.html). Session Manager
+ **Solusi D**: Node yang dikelola memiliki sumber daya CPU atau memori yang terbatas. Meskipun node terkelola Anda mungkin berfungsi, jika node tidak memiliki cukup sumber daya yang tersedia, Anda tidak dapat membuat sesi. Untuk informasi selengkapnya, lihat [Memecahkan masalah instans yang tidak dapat dijangkau](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-console.html).
## Session ManagerPlugin tidak ditemukan
Untuk menggunakan perintah AWS CLI to run session, Session Manager plugin juga harus diinstal pada mesin lokal Anda. Untuk informasi, lihat [Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).
## Session Managerplugin tidak secara otomatis ditambahkan ke jalur baris perintah (Windows)
Ketika Anda menginstal Session Manager pluginWindows, `session-manager-plugin` executable harus secara otomatis ditambahkan ke variabel `PATH` lingkungan sistem operasi Anda. Jika perintah gagal setelah Anda menjalankannya untuk memeriksa apakah Session Manager plugin diinstal dengan benar (`aws ssm start-session --target instance-id`), Anda mungkin perlu mengaturnya secara manual menggunakan prosedur berikut.
**Untuk memodifikasi variabel PATH Anda (Windows)**
1. Tekan Windows tombol dan masukkan**environment variables**.
1. Pilih **Mengedit variabel lingkungan untuk akun Anda**.
1. Pilih **PATH** dan kemudian pilih **Edit**.
1. Tambahkan jalur ke bidang **Nilai variabel**, dipisahkan oleh titik koma, seperti yang ditunjukkan dalam contoh ini: *`C:\existing\path`*;*`C:\new\path`*
*`C:\existing\path`*mewakili nilai yang sudah ada di lapangan. *`C:\new\path`*mewakili jalur yang ingin Anda tambahkan, seperti yang ditunjukkan pada contoh berikut.
+ **Mesin 64-bit**: `C:\Program Files\Amazon\SessionManagerPlugin\bin\`
1. Pilih **OK** dua kali untuk menggunakan pengaturan baru.
1. Tutup semua prompt perintah yang berjalan dan buka kembali.
## Session ManagerPlugin menjadi tidak responsif
Selama sesi penerusan port, lalu lintas mungkin berhenti meneruskan jika Anda memiliki perangkat lunak antivirus yang diinstal pada komputer lokal Anda. Dalam beberapa kasus, perangkat lunak antivirus mengganggu Session Manager plugin yang menyebabkan kebuntuan proses. Untuk mengatasi masalah ini, izinkan atau kecualikan Session Manager plugin dari perangkat lunak antivirus. Untuk informasi tentang jalur instalasi default untuk Session Manager plugin, lihat[Instal Session Manager plugin untuk AWS CLI](session-manager-working-with-install-plugin.md).
## TargetNotConnected
**Masalah**: Anda mencoba memulai sesi, tetapi sistem mengembalikan pesan kesalahan, “Terjadi kesalahan (TargetNotConnected) saat memanggil StartSession operasi: *InstanceID* tidak terhubung.”
+ **Solusi A**: Kesalahan ini dikembalikan ketika node terkelola target yang ditentukan untuk sesi tidak sepenuhnya dikonfigurasi untuk digunakan dengan Session Manager. Untuk informasi, lihat [Mengatur Session Manager](session-manager-getting-started.md).
+ **Solusi B**: Kesalahan ini juga dikembalikan jika Anda mencoba memulai sesi pada node terkelola yang terletak di node yang berbeda Akun AWS atau Wilayah AWS.
## Layar kosong ditampilkan setelah memulai sesi
**Masalah**: Anda memulai sesi dan Session Manager menampilkan layar kosong.
+ **Solusi A**: Masalah ini dapat terjadi ketika volume root pada node terkelola penuh. Karena kurangnya ruang disk, SSM Agent pada node berhenti bekerja. Untuk mengatasi masalah ini, gunakan Amazon CloudWatch untuk mengumpulkan metrik dan log dari sistem operasi. Untuk selengkapnya, lihat [Mengumpulkan metrik, log, dan jejak dengan CloudWatch agen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) di *Panduan CloudWatch Pengguna Amazon*.
+ **Solusi B**: Layar kosong mungkin tampil jika Anda mengakses konsol menggunakan tautan yang menyertakantitik akhir dan pasangan Wilayah yang tidak cocok. Sebagai contoh, dalam URL konsol berikut, `us-west-2` adalah titik akhir yang ditentukan, tapi `us-west-1` adalah Wilayah AWS yang ditentukan.
```
https://us-west-2.console.aws.amazon.com/systems-manager/session-manager/sessions?region=us-west-1
```
+ **Solusi C**: Node terkelola terhubung ke Systems Manager menggunakan titik akhir VPC, dan Session Manager preferensi Anda menulis output sesi ke bucket Amazon S3 atau grup log CloudWatch Amazon Logs, tetapi `s3` titik akhir gateway `logs` atau titik akhir antarmuka tidak ada di VPC. `s3`Titik akhir dalam format **`com.amazonaws.region.s3`**diperlukan jika node terkelola Anda terhubung ke Systems Manager menggunakan titik akhir VPC, dan preferensi Session Manager Anda menulis output sesi ke bucket Amazon S3. Atau, `logs` titik akhir dalam format **`com.amazonaws.region.logs`**diperlukan jika node terkelola Anda terhubung ke Systems Manager menggunakan titik akhir VPC, dan preferensi Session Manager Anda menulis output sesi ke CloudWatch grup log Log. Untuk informasi selengkapnya, lihat [Membuat VPC endpoint untuk Systems Manager](setup-create-vpc.md#create-vpc-endpoints).
+ **Solusi D**: Grup log atau bucket Amazon S3 yang Anda tentukan dalam preferensi sesi Anda telah dihapus. Untuk mengatasi masalah ini, perbarui preferensi sesi Anda dengan grup log atau bucket S3 yang valid.
+ **Solusi E**: Grup log atau bucket Amazon S3 yang Anda tentukan dalam preferensi sesi Anda tidak dienkripsi, tetapi Anda telah menetapkan `cloudWatchEncryptionEnabled` atau `s3EncryptionEnabled` input ke `true`. Untuk mengatasi masalah ini, perbarui preferensi sesi Anda dengan grup log atau bucket Amazon S3 yang dienkripsi, atau atur `cloudWatchEncryptionEnabled` atau `s3EncryptionEnabled` input ke `false`. Skenario ini hanya berlaku untuk pelanggan yang membuat preferensi sesi menggunakan alat baris perintah.
## Node terkelola menjadi tidak responsif selama sesi berjalan lama
**Masalah**: Node terkelola Anda menjadi tidak responsif atau mogok selama sesi berjalan lama.
**Solusi**: Kurangi durasi retensi SSM Agent log untukSession Manager.
**Untuk mengurangi durasi retensi SSM Agent log untuk sesi**
1. Temukan `amazon-ssm-agent.json.template` di `/etc/amazon/ssm/` direktori untukLinux, atau `C:\Program Files\Amazon\SSM` untukWindows.
1. Salin isi `amazon-ssm-agent.json.template` ke file baru di direktori yang sama bernama `amazon-ssm-agent.json`.
1. Kurangi nilai default dari nilai `SessionLogsRetentionDurationHours` dalam properti `SSM`, dan simpan file.
1. Mulai ulangSSM Agent.
## Terjadi kesalahan (InvalidDocument) saat memanggil StartSession operasi
**Masalah**: Anda menerima kesalahan berikut saat memulai sesi dengan menggunakan AWS CLI.
```
An error occurred (InvalidDocument) when calling the StartSession operation: Document type: 'Command' is not supported. Only type: 'Session' is supported for Session Manager.
```
**Solusi**: Dokumen SSM yang Anda tentukan untuk `--document-name` parameter bukanlah dokumen *Sesi*. Gunakan prosedur berikut untuk melihat daftar dokumen Sesi di Konsol Manajemen AWS.
**Untuk melihat daftar dokumen Sesi**
1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Di panel navigasi, pilih **Dokumen**.
1. Dalam daftar **Kategori**, pilih **Dokumen sesi**.