Passaggio all'accesso al just-in-time nodo da Session Manager - AWS Systems Manager

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio all'accesso al just-in-time nodo da Session Manager

Quando si abilita l'accesso ai just-in-time nodi, Systems Manager non apporta alcuna modifica alle risorse esistenti perSession Manager. Ciò garantisce che non si verifichino interruzioni dell'ambiente esistente e che gli utenti possano continuare ad avviare le sessioni, mentre creano e convalidano le policy di approvazione. Quando sei pronto a testare le tue politiche di approvazione, devi modificare le politiche IAM esistenti per completare la transizione all'accesso ai just-in-time nodi. Ciò include l'aggiunta delle autorizzazioni richieste per l'accesso ai just-in-time nodi alle identità e la rimozione dell'autorizzazione per il funzionamento dell'StartSessionAPI per. Session Manager Consigliamo di testare le politiche di approvazione con un sottoinsieme di identità e nodi in un'unica soluzione. Account AWS Regione AWS

Per ulteriori informazioni sulle autorizzazioni richieste per l'accesso ai just-in-time nodi, consulta. Configurazione dell' just-in-timeaccesso con Systems Manager

Per ulteriori informazioni sulla modifica e le autorizzazioni a un'identità IAM, consulta Aggiunta e rimozione di autorizzazioni a identità IAM nella Guida per l'utente IAM.

Di seguito viene descritto un metodo dettagliato per passare all'accesso al just-in-time nodo daSession Manager.

Il passaggio da Session Manager all'accesso ai just-in-time nodi richiede un'attenta pianificazione e test per garantire una transizione fluida senza interruzioni delle operazioni. Le sezioni seguenti descrivono come è possibile completare questo processo.

Prerequisiti

Prima di iniziare, assicurati di aver completato le seguenti attività:

  • Configura la console unificata di Systems Manager.

  • Hai verificato di disporre delle autorizzazioni per modificare le policy IAM nel tuo account.

  • Ha identificato tutte le policy e i ruoli IAM che attualmente concedono le autorizzazioni a Session Manager.

  • Hai documentato l'attuale configurazione di Session Manager, incluse le preferenze di sessione e le impostazioni di registrazione.

Valutazione

Valuta l'ambiente attuale e delinea i comportamenti di approvazione desiderati completando le seguenti attività:

  1. Effettua un inventario dei nodi: identifica tutti i nodi a cui accedono attualmente gli utenti tramite Session Manager.

  2. Identifica i modelli di accesso degli utenti: documenta quali utenti o ruoli devono accedere a quali nodi e in quali circostanze.

  3. Mappa i flussi di lavoro di approvazione: stabilisci chi deve approvare le richieste di accesso per diversi tipi di nodi.

  4. Rivedi la strategia di etichettatura: assicurati che i tuoi nodi siano etichettati correttamente per supportare le policy di approvazione pianificate.

  5. Verifica le policy IAM esistenti: identifica tutte le policy che includono le autorizzazioni a Session Manager.

Pianificazione

Strategia graduale

Quando si passa dall'accesso Session Manager ai just-in-time nodi, si consiglia di utilizzare un approccio graduale come il seguente:

  1. Fase 1: installazione e configurazione: abilita l'accesso al just-in-time nodo senza modificare le autorizzazioni esistentiSession Manager.

  2. Fase 2: sviluppo delle policy: crea e testa le policy di approvazione per i nodi.

  3. Fase 3: migrazione pilota: modifica di un piccolo gruppo di nodi e utenti o ruoli non critici dall'accesso Session Manager al just-in-time nodo.

  4. Fase 4: migrazione completa: migra gradualmente tutti i nodi, gli utenti o i ruoli restanti.

Considerazioni sulla cronologia

Considerate i seguenti fattori quando create la sequenza temporale per passare dall'accesso Session Manager ai just-in-time nodi:

  • Dedica del tempo alla formazione degli utenti e all'adattamento al nuovo flusso di lavoro di approvazione.

  • Pianifica le migrazioni durante periodi di minore attività operativa.

  • Includi il tempo di buffer per la risoluzione dei problemi e gli adattamenti.

  • Pianifica un periodo di funzionamento parallelo in cui entrambi i sistemi siano disponibili.

Passaggi dell'implementazione

Fase 1: installazione e configurazione

  1. Abilita l'accesso ai just-in-time nodi nella console Systems Manager. Per informazioni dettagliate sulle fasi, consulta Configurazione dell' just-in-timeaccesso con Systems Manager.

  2. Configura le preferenze di sessione per l'accesso ai just-in-time nodi in modo che corrispondano Session Manager alle impostazioni correnti. Per ulteriori informazioni, consulta Aggiorna le preferenze della sessione di accesso al just-in-time nodo.

  3. Configura le preferenze di notifica per le richieste di accesso. Per ulteriori informazioni, consulta Configurare le notifiche per le richieste di just-in-time accesso.

  4. Se utilizzi connessioni RDP ai nodi Windows Server, configura la registrazione RDP. Per ulteriori informazioni, consulta Registrazione delle connessioni RDP.

Fase 2: sviluppo delle policy

  1. Crea policy IAM per amministratori e utenti di accesso ai just-in-time nodi.

  2. Sviluppa policy di approvazione basate sui tuoi requisiti di sicurezza e sui tuoi casi d'uso.

  3. Testa le policy in un ambiente non di produzione per assicurarti che funzionino come previsto.

Fase 3: migrazione del progetto pilota

  1. Seleziona un piccolo gruppo di utenti e nodi non critici per il progetto pilota.

  2. Crea nuove policy IAM per gli utenti pilota che includono le autorizzazioni di accesso ai just-in-time nodi.

  3. Rimuovi le autorizzazioni a Session Manager (ssm:StartSession) dalle policy IAM degli utenti del progetto pilota.

  4. Addestra gli utenti del progetto pilota sul nuovo flusso di lavoro per le richieste di accesso.

  5. Monitora il progetto pilota per individuare eventuali problemi e raccogli feedback.

  6. Adatta le policy e le procedure in base ai risultati del progetto pilota.

Esempio di modifica della policy IAM per gli utenti del progetto pilota

Policy originale con autorizzazioni a Session Manager:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

Policy modificata per l'accesso ai just-in-time nodi:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartAccessRequest",
        "ssm:GetAccessToken",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

Fase 4: migrazione completa

Sviluppa una pianificazione per la migrazione degli utenti e dei nodi restanti in batch.

Metodologia di effettuazione del test

Durante tutto il processo di migrazione, esegui i seguenti test:

  • Convalida delle policy: verifica che le policy di approvazione si applichino correttamente ai nodi e agli utenti previsti.

  • Flusso di lavoro delle richieste di accesso: testa il flusso di lavoro completo dalla richiesta di accesso alla creazione della sessione per scenari di approvazione automatica e manuale.

  • Notifiche: verifica che gli approvatori ricevano le notifiche tramite i canali configurati (e-mail, Slack, Microsoft Teams).

  • Registrazione e monitoraggio: verifica che i log delle sessioni e le richieste di accesso siano acquisiti e archiviati correttamente.

Best practice per una migrazione di successo

  • Comunica tempestivamente e spesso: informa gli utenti sulla tempistica della migrazione e sui vantaggi dell'accesso ai just-in-time nodi.

  • Inizia con sistemi non critici: inizia la migrazione con ambienti di sviluppo o test prima di passare alla produzione.

  • Documenta tutto: conserva registrazioni dettagliate delle policy di approvazione, delle modifiche alle policy IAM e delle impostazioni di configurazione.

  • Monitora e adatta: monitora continuamente le richieste di accesso e i flussi di lavoro di approvazione, adattando le policy in base alle esigenze.

  • Stabilisci la governance: crea un processo per rivedere e aggiornare regolarmente le policy di approvazione, man mano che l'ambiente cambia.