AWS Systems Manager Session Manager - AWS Systems Manager
Quali sono i vantaggi di Session Manager per la mia organizzazione?A chi è consigliato l'uso di Session Manager?Quali sono le caratteristiche principali del Session Manager?Che cos'è una sessione?

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Systems Manager Session Manager

Session Managerè uno AWS Systems Manager strumento completamente gestito. ConSession Manager, puoi gestire istanze Amazon Elastic Compute Cloud (Amazon EC2), dispositivi edge, server locali e macchine virtuali (). VMs Puoi utilizzare una shell interattiva basata su browser con un solo clic o il (). AWS Command Line Interface AWS CLISession Managerfornisce una gestione sicura dei nodi senza la necessità di aprire le porte in entrata, mantenere gli host bastion o gestire le chiavi SSH. Session Managerconsente inoltre di rispettare le politiche aziendali che richiedono l'accesso controllato ai nodi gestiti, pratiche di sicurezza rigorose e registri con i dettagli di accesso ai nodi, fornendo al contempo agli utenti finali un semplice accesso multipiattaforma con un clic ai nodi gestiti. Per cominciare a utilizzare Session Manager, apri la console di Systems Manager. Nel pannello di navigazione, scegli Session Manager.

Quali sono i vantaggi di Session Manager per la mia organizzazione?

Session Manager offre questi vantaggi:

  • Controllo degli accessi centralizzato ai nodi che utilizzano policy IAM

    Gli amministratori dispongono di un'unica posizione da cui concedere e revocare l'accesso ai nodi gestiti. Utilizzando solo le policy AWS Identity and Access Management (IAM), puoi controllare quali singoli utenti o gruppi dell'organizzazione possono utilizzare Session Manager e a quali nodi gestiti possono accedere.

  • Nessuna porta in entrata aperta e nessuna necessità di gestire bastion host o chiavi SSH

    Lasciando le porte PowerShell remote o SSH in entrata aperte sui nodi gestiti aumenta notevolmente il rischio che le entità eseguano comandi non autorizzati o dannosi sui nodi gestiti. Session Manager ti aiuta a migliorare la tua posizione di sicurezza consentendoti di chiudere le porte in entrata e liberandoti quindi dalla gestione di certificati e chiavi SSH, host bastione e jumpbox.

  • Accesso con un clic ai nodi gestiti dalla console e dall'interfaccia a riga di comando (CLI)

    Utilizzando la AWS Systems Manager console o la EC2 console Amazon, puoi avviare una sessione con un solo clic. Utilizzando AWS CLI, puoi anche avviare una sessione che esegue un singolo comando o una sequenza di comandi. Poiché le autorizzazioni ai nodi gestiti vengono fornite tramite le policy IAM anziché le chiavi SSH o altri meccanismi, il tempo di connessione viene notevolmente ridotto.

  • Connect sia alle EC2 istanze Amazon che ai nodi non EC2 gestiti in ambienti ibridi e multicloud

    Puoi connetterti sia a istanze Amazon Elastic Compute Cloud (Amazon EC2) che a non EC2 nodi nel tuo ambiente ibrido e multicloud.

    Per connetterti a utenti non EC2 nodi utilizzandoSession Manager, devi prima attivare il livello delle istanze avanzate. Viene addebitato un costo per l'utilizzo del livello dei parametri avanzati. Tuttavia, non sono previsti costi aggiuntivi per la connessione alle istanze che utilizzano. EC2 Session Manager Per informazioni, consulta Configurazione dei livelli di istanza.

  • Inoltro alla porta

    Reindirizzare qualsiasi porta all'interno del nodo gestito a una porta locale su un client. Successivamente, connettersi alla porta locale e accedere all'applicazione server in esecuzione all'interno del nodo.

  • Supporto multipiattaforma per Windows, Linux e macOS

    Session Manager fornisce supporto per Windows, Linux e macOS da un unico strumento. Ad esempio, non è necessario utilizzare un client SSH per i nodi gestiti Linux e macOS o una connessione RDP per i nodi gestiti Windows Server.

  • Attività di registrazione delle sessioni

    Per soddisfare i requisiti operativi o di sicurezza della tua organizzazione, potresti dover fornire un registro delle connessioni effettuate ai nodi gestiti e dei comandi che sono stati eseguiti su di essi. È possibile anche ricevere notifiche quando un utente nella tua organizzazione inizia o termina un'attività della sessione.

    Le funzionalità di registrazione vengono fornite tramite l'integrazione con i seguenti Servizi AWS:

    • AWS CloudTrail— AWS CloudTrail acquisisce informazioni sulle chiamate Session Manager API effettuate nel tuo Account AWS e le scrive in file di log archiviati in un bucket Amazon Simple Storage Service (Amazon S3) da te specificato. Un bucket viene utilizzato per tutti i CloudTrail log del tuo account. Per ulteriori informazioni, consulta Registrazione delle chiamate API AWS Systems Manager con AWS CloudTrail.

    • Amazon Simple Storage Service: è possibile decidere di archiviare i dati di log delle sessioni in un bucket Amazon S3 di tua scelta a scopi di debug e risoluzione dei problemi. I dati di log possono essere inviati al tuo bucket Amazon S3 con o senza crittografia utilizzando la tua chiave AWS KMS key. Per ulteriori informazioni, consulta Registrazione dei dati delle sessioni mediante Amazon S3 (console).

    • Amazon CloudWatch Logs — CloudWatch Logs ti consente di monitorare, archiviare e accedere a file di registro da vari file. Servizi AWS Puoi inviare i dati dei log di sessione a un gruppo di log CloudWatch Logs per scopi di debug e risoluzione dei problemi. I dati di registro possono essere inviati al gruppo di log con o senza AWS KMS crittografia utilizzando la chiave KMS. Per ulteriori informazioni, consulta Registrazione dei dati della sessione tramite Amazon CloudWatch Logs (console).

    • Amazon EventBridge e Amazon Simple Notification Service: ti EventBridge consente di configurare regole per rilevare quando vengono apportate modifiche alle AWS risorse specificate. È possibile creare una regola per rilevare quando un utente della tua organizzazione avvia o arresta una sessione e quindi ricevere una notifica tramite Amazon SNS (ad esempio, un testo o un messaggio e-mail) sull'evento. Puoi anche configurare un CloudWatch evento per avviare altre risposte. Per ulteriori informazioni, consulta Monitoraggio dell'attività delle sessioni tramite Amazon EventBridge (console).

    Nota

    La registrazione non è disponibile per sessioni Session Manager che si connettono tramite port forwarding o SSH. Questo perché SSH crittografa tutti i dati della sessione all'interno della connessione TLS sicura stabilita tra gli Session Manager endpoint AWS CLI e funge Session Manager solo da tunnel per le connessioni SSH.

A chi è consigliato l'uso di Session Manager?

  • Qualsiasi AWS cliente che desideri migliorare il proprio livello di sicurezza, ridurre il sovraccarico operativo centralizzando il controllo degli accessi sui nodi gestiti e ridurre l'accesso ai nodi in entrata.

  • Gli esperti di sicurezza delle informazioni che desiderano monitorare e tracciare l'accesso e le attività dei nodi e chiudere le porte in entrata sui nodi gestiti o permettere le connessioni ai nodi gestiti che non dispongono di un indirizzo IP pubblico.

  • Gli amministratori che desiderano concedere e revocare l'accesso da una singola postazione e fornire agli utenti una soluzione per i nodi gestiti Linux, macOS e Windows Server.

  • Utenti che desiderano connettersi a un nodo gestito con un solo clic dal browser o AWS CLI senza dover fornire chiavi SSH.

Quali sono le caratteristiche principali del Session Manager?

  • Supporto per i nodi gestiti Windows Server, Linux e macOS

    Session Managerti consente di stabilire connessioni sicure alle tue istanze Amazon Elastic Compute Cloud (EC2), ai dispositivi edge, ai server locali e alle macchine virtuali (). VMs Per un elenco dei tipi di sistema operativo dell'istanza supportati, consulta Configurazione di Session Manager.

    Nota

    Il supporto Session Manager per server on-premise è fornito solo per il piano istanze avanzate. Per informazioni, consulta Attivazione del piano istanze avanzate.

  • Accesso alle funzionalità del Session Manager tramite console, interfaccia a riga di comando (CLI) e SDK

    È possibile utilizzare Session Manager nei modi seguenti:

    La console AWS Systems Manager include l'accesso a tutte le funzionalità del Session Manager sia per gli amministratori sia per gli utenti finali. Tramite la console Systems Manager, è possibile eseguire qualsiasi processo correlato alle tue sessioni.

    La EC2 console Amazon offre agli utenti finali la possibilità di connettersi alle EC2 istanze per le quali sono state concesse le autorizzazioni di sessione.

    AWS CLI include l'accesso alle funzionalità del Session Manager per gli utenti finali. Puoi avviare una sessione, visualizzare un elenco di sessioni e terminare definitivamente una sessione utilizzando il. AWS CLI

    Nota

    Per utilizzare i comandi AWS CLI to run session, devi utilizzare la versione 1.16.12 della CLI (o successiva) e devi aver installato il Session Manager plug-in sul tuo computer locale. Per informazioni, consulta Installazione del plugin Session Manager per la AWS CLI. Per visualizzare il plugin suGitHub, vedi. session-manager-plugin

  • Controllo degli accessi IAM

    Mediante le policy IAM, è possibile controllare quali membri della tua organizzazione possono avviare sessioni ai nodi gestiti e a quali nodi possono accedere. È possibile anche fornire un accesso temporaneo ai tuoi nodi gestiti. Ad esempio, è possibile assegnare a un tecnico reperibile (o a un gruppo di tecnici reperibili) l'accesso al server di produzione solo per la durata della loro rotazione.

  • Supporto per la registrazione

    Session Manager fornisce le opzioni per la registrazione delle cronologie delle sessioni nell' Account AWS , attraverso l'integrazione con diversi altri Servizi AWS. Per ulteriori informazioni, consultare Attività di registrazione delle sessioni e Abilitazione e disabilitazione della registrazione di sessione.

  • Profili della shell configurabili

    Session Manager fornisce opzioni per configurare le preferenze all'interno delle sessioni. Questi profili personalizzabili permettono di definire preferenze quali le preferenze della shell, le variabili di ambiente, le directory di lavoro ed eseguire più comandi all'avvio di una sessione.

  • Supporto per la crittografia dei dati della chiave del cliente

    Puoi configurare Session Manager la crittografia dei log dei dati di sessione che invii a un bucket Amazon Simple Storage Service (Amazon S3) o trasmetti in streaming a un gruppo di log Logs. CloudWatch È possibile anche configurare Session Manager per crittografare ulteriormente i dati trasmessi tra computer client e i tuoi nodi gestiti durante le sessioni. Per informazioni, consulta Abilitazione e disabilitazione della registrazione di sessione e Configurare le preferenze delle sessioni.

  • AWS PrivateLink supporto per nodi gestiti senza indirizzi IP pubblici

    Puoi anche configurare VPC Endpoints for Systems Manager utilizzando AWS PrivateLink per proteggere ulteriormente le tue sessioni. AWS PrivateLink limita tutto il traffico di rete tra i nodi gestiti, Systems Manager e Amazon EC2 alla rete Amazon. Per ulteriori informazioni, consulta Migliorare la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager.

  • Tunneling

    In una sessione, utilizzate un documento di tipo sessione AWS Systems Manager (SSM) per effettuare il tunneling del traffico, ad esempio http o un protocollo personalizzato, tra una porta locale su un computer client e una porta remota su un nodo gestito.

  • Comandi interattivi

    Crea un documento SSM di tipo sessione che utilizza una sessione per eseguire in modo interattivo un singolo comando, offrendo un modo per gestire ciò che gli utenti possono eseguire su un nodo gestito.

Che cos'è una sessione?

Una sessione è una connessione effettuata a un nodo gestito utilizzando Session Manager. Le sessioni si basano su un canale di comunicazione bidirezionale sicuro tra il client (l'utente) e il nodo gestito remoto che trasmette input e output per i comandi. Il traffico tra un client e un nodo gestito viene crittografato utilizzando TLS 1.2 e le richieste per creare la connessione sono firmate utilizzando Sigv4. Questa comunicazione bidirezionale consente una bash interattiva e PowerShell l'accesso ai nodi gestiti. Puoi anche utilizzare una chiave AWS Key Management Service (AWS KMS) per crittografare ulteriormente i dati oltre alla crittografia TLS predefinita.

Ad esempio, supponi che John sia un tecnico reperibile del tuo reparto IT. Riceve una notifica di un problema che richiede di connettersi da remoto a un nodo gestito, ad esempio un errore che richiede la risoluzione del problema o una direttiva per modificare una semplice opzione di configurazione su un nodo gestito. Utilizzando la AWS Systems Manager console, la EC2 console Amazon o il AWS CLI, John avvia una sessione collegandolo al nodo gestito, esegue i comandi sul nodo necessari per completare l'attività e quindi termina la sessione.

Quando John invia il primo comando per avviare la sessione, il servizio Session Manager autentica il suo ID, verifica le autorizzazioni concesse da una policy IAM, controlla le impostazioni di configurazione (ad esempio verifica i limiti consentiti per le sessioni) e invia un messaggio all'SSM Agent per aprire il collegamento bidirezionale. Una volta stabilita la connessione e dopo aver digitato il comando successivo, l'output del comando da parte dell'SSM Agent viene caricato su questo canale di comunicazione e inviato nuovamente al computer locale di John.

Argomenti