Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Passaggio all'accesso al just-in-time nodo da Session Manager
Quando si abilita l'accesso ai just-in-time nodi, Systems Manager non apporta alcuna modifica alle risorse esistenti per Session Manager. In questo modo non si verificheranno interruzioni dell'ambiente esistente e gli utenti possono continuare ad avviare le sessioni mentre si creano e si convalidano le politiche di approvazione. Quando sei pronto a testare le tue politiche di approvazione, devi modificare le politiche IAM esistenti per completare la transizione all'accesso ai just-in-time nodi. Ciò include l'aggiunta delle autorizzazioni richieste per l'accesso ai just-in-time nodi alle identità e la rimozione dell'autorizzazione per il funzionamento dell'StartSessionAPI per Session Manager. Consigliamo di testare le politiche di approvazione con un sottoinsieme di identità e nodi in un' Account AWS unica soluzione. Regione AWS
Per ulteriori informazioni sulle autorizzazioni richieste per l'accesso ai just-in-time nodi, consulta. Configurazione dell' just-in-timeaccesso con Systems Manager
Per ulteriori informazioni sulla modifica delle autorizzazioni IAM e sull'identità, consulta Aggiungere e rimuovere le autorizzazioni di identità IAM nella Guida per l'utente IAM.
Di seguito viene descritto un metodo dettagliato per passare all'accesso ai nodi da just-in-time Session Manager.
Il passaggio da Session Manager all'accesso ai just-in-time nodi richiede un'attenta pianificazione e test per garantire una transizione fluida senza interruzioni delle operazioni. Le sezioni seguenti descrivono come completare questo processo.
Prerequisiti
Prima di iniziare, assicuratevi di aver completato le seguenti attività:
-
Configura la console unificata Systems Manager.
-
Hai verificato di disporre delle autorizzazioni per modificare le policy IAM nel tuo account.
-
Ha identificato tutte le politiche e i ruoli IAM attualmente concessi Session Manager autorizzazioni.
-
Ha documentato il tuo attuale Session Manager configurazione, incluse le preferenze di sessione e le impostazioni di registrazione.
Valutazione
Valuta l'ambiente attuale e delinea i comportamenti di approvazione desiderati completando le seguenti attività:
-
Inventaria i tuoi nodi: identifica tutti i nodi tramite i quali gli utenti accedono attualmente Session Manager.
-
Identifica i modelli di accesso degli utenti: documenta quali utenti o ruoli devono accedere a quali nodi e in quali circostanze.
-
Mappa i flussi di lavoro di approvazione: stabilisci chi deve approvare le richieste di accesso per diversi tipi di nodi.
-
Rivedi la strategia di etichettatura: assicurati che i tuoi nodi siano etichettati correttamente per supportare le politiche di approvazione pianificate.
-
Verifica le politiche IAM esistenti: identifica tutte le politiche che includono Session Manager autorizzazioni.
Pianificazione
Strategia graduale
Quando ci si sposta da Session Manager per l'accesso ai just-in-time nodi, consigliamo di utilizzare un approccio graduale come il seguente:
-
Fase 1: installazione e configurazione: abilita l'accesso ai just-in-time nodi senza modificare quelli esistenti Session Manager autorizzazioni.
-
Fase 2: Sviluppo delle politiche: crea e testa le politiche di approvazione per i tuoi nodi.
-
Fase 3: migrazione pilota: modifica di un piccolo gruppo di nodi e utenti o ruoli non critici da Session Manager all'accesso ai just-in-time nodi.
-
Fase 4: migrazione completa: migrazione graduale di tutti i nodi, gli utenti o i ruoli rimanenti.
Considerazioni sulla tempistica
Considerate i seguenti fattori quando create la timeline da cui partire Session Manager all'accesso al just-in-time nodo:
-
Dedica del tempo alla formazione degli utenti e all'adattamento al nuovo flusso di lavoro di approvazione.
-
Pianifica le migrazioni durante i periodi di minore attività operativa.
-
Includi il tempo di buffer per la risoluzione dei problemi e le regolazioni.
-
Pianifica un periodo di funzionamento parallelo in cui entrambi i sistemi siano disponibili.
Passaggi dell'implementazione
Fase 1: installazione e configurazione
-
Abilita l'accesso ai just-in-time nodi nella console Systems Manager. Per informazioni dettagliate sulle fasi, consulta Configurazione dell' just-in-timeaccesso con Systems Manager.
-
Configura le preferenze di sessione per l'accesso ai just-in-time nodi in modo che corrispondano a quelle correnti Session Manager impostazioni. Per ulteriori informazioni, consulta Aggiorna le preferenze della sessione di accesso al just-in-time nodo.
-
Configura le preferenze di notifica per le richieste di accesso. Per ulteriori informazioni, consulta Configurare le notifiche per le richieste di just-in-time accesso.
-
Se si utilizzano connessioni RDP per Windows Server nodi, configura la registrazione RDP. Per ulteriori informazioni, consulta Registrazione di connessioni RDP.
Fase 2: sviluppo delle politiche
-
Crea policy IAM per amministratori e utenti di accesso ai just-in-time nodi.
-
Sviluppa politiche di approvazione basate sui tuoi requisiti di sicurezza e sui tuoi casi d'uso.
-
Testa le tue politiche in un ambiente non di produzione per assicurarti che funzionino come previsto.
Fase 3: migrazione pilota
-
Seleziona un piccolo gruppo di utenti e nodi non critici per il progetto pilota.
-
Crea nuove policy IAM per gli utenti pilota che includono le autorizzazioni di accesso ai just-in-time nodi.
-
Rimuovi Session Manager permessi (
ssm:StartSession) dalle politiche IAM degli utenti pilota. -
Addestra gli utenti pilota sul nuovo flusso di lavoro per le richieste di accesso.
-
Monitora il programma pilota per individuare eventuali problemi e raccogli feedback.
-
Adatta le politiche e le procedure in base ai risultati del progetto pilota.
Esempio di modifica della policy IAM per gli utenti pilota
Policy originale con Session Manager autorizzazioni:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:ResumeSession", "ssm:TerminateSession" ], "Resource": "*" } ] }
Politica modificata per l'accesso ai just-in-time nodi:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:StartAccessRequest", "ssm:GetAccessToken", "ssm:ResumeSession", "ssm:TerminateSession" ], "Resource": "*" } ] }
Fase 4: migrazione completa
Sviluppa una pianificazione per la migrazione degli utenti e dei nodi rimanenti in batch.
Metodologia di test
Durante tutto il processo di migrazione, esegui i seguenti test:
-
Convalida delle politiche: verifica che le politiche di approvazione si applichino correttamente ai nodi e agli utenti previsti.
-
Flusso di lavoro delle richieste di accesso: testa il flusso di lavoro completo dalla richiesta di accesso alla creazione della sessione per scenari di approvazione automatica e di approvazione manuale.
-
Notifiche: verifica che gli approvatori ricevano le notifiche tramite i canali configurati (e-mail, Slack, Microsoft Teams).
-
Registrazione e monitoraggio: verifica che i registri delle sessioni e le richieste di accesso siano acquisiti e archiviati correttamente.
Le migliori pratiche per una migrazione di successo
-
Comunica tempestivamente e spesso: informa gli utenti sulla tempistica della migrazione e sui vantaggi dell'accesso ai just-in-time nodi.
-
Inizia con sistemi non critici: inizia la migrazione con ambienti di sviluppo o test prima di passare alla produzione.
-
Documenta tutto: conserva registrazioni dettagliate delle tue politiche di approvazione, delle modifiche alle policy IAM e delle impostazioni di configurazione.
-
Monitora e modifica: monitora continuamente le richieste di accesso e i flussi di lavoro di approvazione, adattando le politiche in base alle esigenze.
-
Stabilisci la governance: crea un processo per rivedere e aggiornare regolarmente le politiche di approvazione man mano che l'ambiente cambia.
