Passaggio all'accesso al just-in-time nodo da Session Manager - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio all'accesso al just-in-time nodo da Session Manager

Quando si abilita l'accesso ai just-in-time nodi, Systems Manager non apporta alcuna modifica alle risorse esistenti perSession Manager. Ciò garantisce che non si verifichino interruzioni dell'ambiente esistente e che gli utenti possano continuare ad avviare le sessioni mentre si creano e si convalidano le politiche di approvazione. Quando sei pronto a testare le tue politiche di approvazione, devi modificare le politiche IAM esistenti per completare la transizione all'accesso ai just-in-time nodi. Ciò include l'aggiunta delle autorizzazioni richieste per l'accesso ai just-in-time nodi alle identità e la rimozione dell'autorizzazione per il funzionamento dell'StartSessionAPI per. Session Manager Consigliamo di testare le politiche di approvazione con un sottoinsieme di identità e nodi in un'unica soluzione. Account AWS Regione AWS

Per ulteriori informazioni sulle autorizzazioni richieste per l'accesso ai just-in-time nodi, consulta. Configurazione dell' just-in-timeaccesso con Systems Manager

Per ulteriori informazioni sulla modifica delle autorizzazioni IAM e sull'identità, consulta Aggiungere e rimuovere le autorizzazioni di identità IAM nella Guida per l'utente IAM.

Di seguito viene descritto un metodo dettagliato per passare all'accesso ai just-in-time nodi da. Session Manager

Il passaggio da Session Manager all'accesso ai just-in-time nodi richiede un'attenta pianificazione e test per garantire una transizione fluida senza interruzioni delle operazioni. Le sezioni seguenti descrivono come completare questo processo.

Prerequisiti

Prima di iniziare, assicurati di aver completato le seguenti attività:

  • Configura la console unificata Systems Manager.

  • Hai verificato di disporre delle autorizzazioni per modificare le policy IAM nel tuo account.

  • Ha identificato tutte le politiche e i ruoli IAM che attualmente concedono le Session Manager autorizzazioni.

  • Ha documentato la tua Session Manager configurazione attuale, incluse le preferenze di sessione e le impostazioni di registrazione.

Valutazione

Valuta l'ambiente attuale e delinea i comportamenti di approvazione desiderati completando le seguenti attività:

  1. Inventaria i tuoi nodi: identifica tutti i nodi tramite i quali gli utenti accedono attualmente. Session Manager

  2. Identifica i modelli di accesso degli utenti: documenta quali utenti o ruoli devono accedere a quali nodi e in quali circostanze.

  3. Mappa i flussi di lavoro di approvazione: stabilisci chi deve approvare le richieste di accesso per diversi tipi di nodi.

  4. Rivedi la strategia di etichettatura: assicurati che i tuoi nodi siano etichettati correttamente per supportare le politiche di approvazione pianificate.

  5. Verifica le politiche IAM esistenti: identifica tutte le politiche che includono le Session Manager autorizzazioni.

Pianificazione

Strategia graduale

Quando si passa dall'accesso Session Manager ai just-in-time nodi, si consiglia di utilizzare un approccio graduale come il seguente:

  1. Fase 1: installazione e configurazione: abilita l'accesso al just-in-time nodo senza modificare le autorizzazioni esistentiSession Manager.

  2. Fase 2: Sviluppo delle politiche: creazione e test delle politiche di approvazione per i nodi.

  3. Fase 3: migrazione pilota: modifica di un piccolo gruppo di nodi e utenti o ruoli non critici dall'accesso Session Manager al just-in-time nodo.

  4. Fase 4: migrazione completa: migrazione graduale di tutti i nodi, gli utenti o i ruoli rimanenti.

Considerazioni sulla tempistica

Considera i seguenti fattori quando crei la sequenza temporale per passare dall'Session Manageraccesso al nodo: just-in-time

  • Dedica del tempo alla formazione degli utenti e all'adattamento al nuovo flusso di lavoro di approvazione.

  • Pianifica le migrazioni durante i periodi di minore attività operativa.

  • Includi il tempo di buffer per la risoluzione dei problemi e le regolazioni.

  • Pianifica un periodo di funzionamento parallelo in cui entrambi i sistemi siano disponibili.

Passaggi dell'implementazione

Fase 1: installazione e configurazione

  1. Abilita l'accesso ai just-in-time nodi nella console Systems Manager. Per informazioni dettagliate sulle fasi, consulta Configurazione dell' just-in-timeaccesso con Systems Manager.

  2. Configura le preferenze di sessione per l'accesso ai just-in-time nodi in modo che corrispondano Session Manager alle impostazioni correnti. Per ulteriori informazioni, consulta Aggiorna le preferenze della sessione di accesso al just-in-time nodo.

  3. Configura le preferenze di notifica per le richieste di accesso. Per ulteriori informazioni, consulta Configurare le notifiche per le richieste di just-in-time accesso.

  4. Se utilizzi connessioni RDP ai Windows Server nodi, configura la registrazione RDP. Per ulteriori informazioni, consulta Registrazione di connessioni RDP.

Fase 2: sviluppo delle politiche

  1. Crea policy IAM per amministratori e utenti di accesso ai just-in-time nodi.

  2. Sviluppa politiche di approvazione basate sui tuoi requisiti di sicurezza e sui tuoi casi d'uso.

  3. Testa le tue politiche in un ambiente non di produzione per assicurarti che funzionino come previsto.

Fase 3: migrazione pilota

  1. Seleziona un piccolo gruppo di utenti e nodi non critici per il progetto pilota.

  2. Crea nuove policy IAM per gli utenti pilota che includono le autorizzazioni di accesso ai just-in-time nodi.

  3. Rimuovi Session Manager le autorizzazioni (ssm:StartSession) dalle politiche IAM degli utenti pilota.

  4. Addestra gli utenti pilota sul nuovo flusso di lavoro per le richieste di accesso.

  5. Monitora il programma pilota per individuare eventuali problemi e raccogli feedback.

  6. Adatta le politiche e le procedure in base ai risultati del progetto pilota.

Esempio di modifica della policy IAM per gli utenti pilota

Politica originale con Session Manager autorizzazioni:

{
                      "Version": "2012-10-17",
                      "Statement": [
                          {
                              "Effect": "Allow",
                              "Action": [
                                  "ssm:StartSession",
                                  "ssm:ResumeSession",
                                  "ssm:TerminateSession"
                              ],
                              "Resource": "*"
                          }
                      ]
                  }

Politica modificata per l'accesso ai just-in-time nodi:

{
                      "Version": "2012-10-17",
                      "Statement": [
                          {
                              "Effect": "Allow",
                              "Action": [
                                  "ssm:StartAccessRequest",
                                  "ssm:GetAccessToken",
                                  "ssm:ResumeSession",
                                  "ssm:TerminateSession"
                              ],
                              "Resource": "*"
                          }
                      ]
                  }

Fase 4: migrazione completa

Sviluppa una pianificazione per la migrazione degli utenti e dei nodi rimanenti in batch.

Metodologia di test

Durante tutto il processo di migrazione, esegui i seguenti test:

  • Convalida delle politiche: verifica che le politiche di approvazione si applichino correttamente ai nodi e agli utenti previsti.

  • Flusso di lavoro delle richieste di accesso: testa il flusso di lavoro completo dalla richiesta di accesso alla creazione della sessione per scenari di approvazione automatica e di approvazione manuale.

  • Notifiche: verifica che gli approvatori ricevano le notifiche tramite i canali configurati (e-mail, Slack, Microsoft Teams).

  • Registrazione e monitoraggio: verifica che i registri delle sessioni e le richieste di accesso siano acquisiti e archiviati correttamente.

Le migliori pratiche per una migrazione di successo

  • Comunica tempestivamente e spesso: informa gli utenti sulla tempistica della migrazione e sui vantaggi dell'accesso ai just-in-time nodi.

  • Inizia con sistemi non critici: inizia la migrazione con ambienti di sviluppo o test prima di passare alla produzione.

  • Documenta tutto: conserva registrazioni dettagliate delle tue politiche di approvazione, delle modifiche alle policy IAM e delle impostazioni di configurazione.

  • Monitora e modifica: monitora continuamente le richieste di accesso e i flussi di lavoro di approvazione, adattando le politiche secondo necessità.

  • Stabilisci la governance: crea un processo per rivedere e aggiornare regolarmente le politiche di approvazione man mano che l'ambiente cambia.