View a markdown version of this page

Passaggio all'accesso al nodo just-in-time da Session Manager - AWS Systems Manager
PrerequisitiValutazionePianificazionePassaggi dell’implementazioneMetodologia di effettuazione del testBest practice per una migrazione di successo

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio all'accesso al nodo just-in-time da Session Manager

Quando si abilita l'accesso al nodo just-in-time, Systems Manager non apporta alcuna modifica alle risorse esistenti per Session Manager. Ciò garantisce che non si verifichino interruzioni dell'ambiente esistente e che gli utenti possano continuare ad avviare le sessioni, mentre creano e convalidano le policy di approvazione. Quando vuoi testare le tue policy di approvazione, devi modificare le policy IAM esistenti per completare la transizione all'accesso ai nodi just-in-time. Ciò include l'aggiunta delle autorizzazioni necessarie per l'accesso ai nodi just-in-time alle identità e la rimozione dell'autorizzazione per il funzionamento dell'API StartSession per Session Manager. Consigliamo di testare le politiche di approvazione con un sottoinsieme di identità e nodi in un' Account AWS unica operazione. Regione AWS

Per ulteriori informazioni sulle autorizzazioni richieste per l'accesso ai nodi just-in-time, consulta Configurazione dell'accesso just-in-time con Systems Manager.

Per ulteriori informazioni sulla modifica e le autorizzazioni a un'identità IAM, consulta Aggiunta e rimozione di autorizzazioni a identità IAM nella Guida per l'utente IAM.

Di seguito viene descritto un metodo dettagliato per passare all'accesso ai nodi just-in-time da Session Manager.

Il passaggio da Session Manager all'accesso ai nodi just-in-time richiede un'attenta pianificazione e verifica per garantire una transizione fluida senza interruzioni delle operazioni. Le sezioni seguenti descrivono come è possibile completare questo processo.

Prerequisiti

Prima di iniziare, assicurati di aver completato le seguenti attività:

  • Configura la console unificata di Systems Manager.

  • Hai verificato di disporre delle autorizzazioni per modificare le policy IAM nel tuo account.

  • Ha identificato tutte le policy e i ruoli IAM che attualmente concedono le autorizzazioni a Session Manager.

  • Hai documentato l'attuale configurazione di Session Manager, incluse le preferenze di sessione e le impostazioni di registrazione.

Valutazione

Valuta l'ambiente attuale e delinea i comportamenti di approvazione desiderati completando le seguenti attività:

  1. Effettua un inventario dei nodi: identifica tutti i nodi a cui accedono attualmente gli utenti tramite Session Manager.

  2. Identifica i modelli di accesso degli utenti: documenta quali utenti o ruoli devono accedere a quali nodi e in quali circostanze.

  3. Mappa i flussi di lavoro di approvazione: stabilisci chi deve approvare le richieste di accesso per diversi tipi di nodi.

  4. Rivedi la strategia di etichettatura: assicurati che i tuoi nodi siano etichettati correttamente per supportare le policy di approvazione pianificate.

  5. Verifica le policy IAM esistenti: identifica tutte le policy che includono le autorizzazioni a Session Manager.

Pianificazione

Strategia graduale

Quando si passa da Session Manager all'accesso ai nodi just-in-time, si consiglia di utilizzare un approccio graduale come il seguente:

  1. Fase 1: installazione e configurazione: abilita l'accesso ai nodi just-in-time senza modificare le autorizzazioni a Session Manager esistenti.

  2. Fase 2: sviluppo delle policy: crea e testa le policy di approvazione per i nodi.

  3. Fase 3: migrazione pilota: modifica di un piccolo gruppo di nodi e utenti o ruoli non critici da Session Manager all'accesso ai nodi just-in-time.

  4. Fase 4: migrazione completa: migra gradualmente tutti i nodi, gli utenti o i ruoli restanti.

Considerazioni sulla cronologia

Considera i seguenti fattori quando crei la cronologia per passare da Session Managerall'accesso ai nodi just-in-time:

  • Dedica del tempo alla formazione degli utenti e all'adattamento al nuovo flusso di lavoro di approvazione.

  • Pianifica le migrazioni durante periodi di minore attività operativa.

  • Includi il tempo di buffer per la risoluzione dei problemi e gli adattamenti.

  • Pianifica un periodo di funzionamento parallelo in cui entrambi i sistemi siano disponibili.

Passaggi dell’implementazione

Fase 1: installazione e configurazione

  1. Abilita l'accesso ai nodi just-in-time nella console Systems Manager. Per informazioni dettagliate sulle fasi, consulta Configurazione dell'accesso just-in-time con Systems Manager.

  2. Configura le preferenze di sessione per l'accesso ai nodi just-in-time, in modo che corrispondano alle impostazioni attuali di Session Manager. Per ulteriori informazioni, consulta Aggiorna le preferenze della sessione di accesso ai nodi just-in-time.

  3. Configura le preferenze di notifica per le richieste di accesso. Per ulteriori informazioni, consulta Configura le notifiche per le richieste di accesso just-in-time.

  4. Se utilizzi connessioni RDP ai nodi Windows Server, configura la registrazione RDP. Per ulteriori informazioni, consulta Registrazione delle connessioni RDP.

Fase 2: sviluppo delle policy

  1. Crea policy IAM per amministratori e utenti con accesso ai nodi just-in-time.

  2. Sviluppa policy di approvazione basate sui tuoi requisiti di sicurezza e sui tuoi casi d'uso.

  3. Testa le policy in un ambiente non di produzione per assicurarti che funzionino come previsto.

Fase 3: migrazione del progetto pilota

  1. Seleziona un piccolo gruppo di utenti e nodi non critici per il progetto pilota.

  2. Crea nuove policy IAM per gli utenti del progetto pilota che includono autorizzazioni di accesso ai nodi just-in-time.

  3. Rimuovi le autorizzazioni a Session Manager (ssm:StartSession) dalle policy IAM degli utenti del progetto pilota.

  4. Addestra gli utenti del progetto pilota sul nuovo flusso di lavoro per le richieste di accesso.

  5. Monitora il progetto pilota per individuare eventuali problemi e raccogli feedback.

  6. Adatta le policy e le procedure in base ai risultati del progetto pilota.

Esempio di modifica della policy IAM per gli utenti del progetto pilota

Policy originale con autorizzazioni a Session Manager:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

Policy modificata per l'accesso ai nodi just-in-time:

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartAccessRequest",
        "ssm:GetAccessToken",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

Fase 4: migrazione completa

Sviluppa una pianificazione per la migrazione degli utenti e dei nodi restanti in batch.

Metodologia di effettuazione del test

Durante tutto il processo di migrazione, esegui i seguenti test:

  • Convalida delle policy: verifica che le policy di approvazione si applichino correttamente ai nodi e agli utenti previsti.

  • Flusso di lavoro delle richieste di accesso: testa il flusso di lavoro completo dalla richiesta di accesso alla creazione della sessione per scenari di approvazione automatica e manuale.

  • Notifiche: verifica che gli approvatori ricevano le notifiche tramite i canali configurati (e-mail, Slack, Microsoft Teams).

  • Registrazione e monitoraggio: verifica che i log delle sessioni e le richieste di accesso siano acquisiti e archiviati correttamente.

Best practice per una migrazione di successo

  • Comunica tempestivamente e spesso: informa gli utenti sulla cronologia della migrazione e sui vantaggi dell'accesso ai nodi just-in-time.

  • Inizia con sistemi non critici: inizia la migrazione con ambienti di sviluppo o test prima di passare alla produzione.

  • Documenta tutto: conserva registrazioni dettagliate delle policy di approvazione, delle modifiche alle policy IAM e delle impostazioni di configurazione.

  • Monitora e adatta: monitora continuamente le richieste di accesso e i flussi di lavoro di approvazione, adattando le policy in base alle esigenze.

  • Stabilisci la governance: crea un processo per rivedere e aggiornare regolarmente le policy di approvazione, man mano che l'ambiente cambia.