從 Session Manager 遷移至即時節點存取 - AWS Systems Manager

AWS Systems ManagerChange Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱AWS Systems ManagerChange Manager可用性變更

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從 Session Manager 遷移至即時節點存取

啟用即時節點存取後,Systems Manager 不會對 Session Manager 的現有資源進行任何變更。這可確保現有環境不會中斷,使用者可以在您建立和驗證核准政策後繼續啟動工作階段。準備好測試核准政策後,您必須修改現有的 IAM 政策,以完成到即時節點存取的轉換。這包括新增即時節點存取身分所需的許可,以及移除 Session Manager 的 StartSession API 操作的許可。建議您使用 AWS 帳戶 和 中的身分和節點子集來測試核准政策 AWS 區域。

如需有關即時節點存取所需許可的詳細資訊,請參閱使用 Systems Manager just-in-time存取

如需有關修改和識別 IAM 許可的詳細資訊,請參閱 IAM User Guide 中的 Adding and removing IAM identity permissions

以下內容說明從 Session Manager 遷移到即時節點存取的詳細方法。

從 Session Manager 遷移至即時節點存取需要仔細的規劃和測試,以確保順利轉換,而不會中斷您的營運。下列各節說明如何完成此程序。

先決條件

開始之前,請確保您已完成下列任務:

  • 設定 Systems Manager 整合式主控台。

  • 已確認您擁有修改帳戶中 IAM 政策的許可。

  • 已識別目前授予 Session Manager 許可的所有 IAM 政策和角色。

  • 已記錄您目前的 Session Manager 組態,包括工作階段偏好設定和記錄設定。

評估

完成下列任務,評估您目前的環境並概述所需的核准行為:

  1. 清查您的節點 – 識別使用者目前透過 Session Manager 存取的所有節點。

  2. 識別使用者存取模式 – 記錄哪些使用者或角色需要存取哪些節點,以及在何種情況下存取。

  3. 映射核准工作流程 – 決定誰應該核准不同類型節點的存取請求。

  4. 檢閱標記策略 – 確保您的節點都已正確標記,以支援您計劃的核准政策。

  5. 稽核現有的 IAM 政策 – 識別包含 Session Manager 許可的所有政策。

規劃

分階段策略

從 Session Manager 遷移至即時節點存取時,建議使用如下的分階段方法:

  1. 階段 1:設定與組態 – 啟用即時節點存取,而不修改現有的 Session Manager 許可。

  2. 階段 2:政策開發 – 建立和測試節點的核准政策。

  3. 階段 3:試行遷移 – 將一小群非關鍵節點和使用者或角色從 Session Manager 修改為即時節點存取。

  4. 階段 4:完全遷移 – 逐漸遷移所有剩餘的節點和使用者或角色。

時間表考量

規劃從 Session Manager 遷移至即時節點存取的時間表時,請考慮下列因素:

  • 給予使用者訓練和適應新核准工作流程的時間。

  • 在營運活動較少的期間排程遷移。

  • 包含疑難排解和調整的緩衝時間。

  • 規劃一段平行操作期間,在此期間,兩個系統都可用。

實作步驟

階段 1:設定與組態

  1. 在 Systems Manager 主控台中啟用即時節點存取。如需詳細步驟,請參閱使用 Systems Manager just-in-time存取

  2. 設定即時節點存取的工作階段偏好設定,以符合您目前的 Session Manager 設定。如需詳細資訊,請參閱更新即時節點存取工作階段偏好設定

  3. 設定存取請求的通知偏好設定。如需詳細資訊,請參閱設定即時存取請求的通知

  4. 如果您的 Windows Server 節點使用 RDP 連線,請設定 RDP 錄製。如需詳細資訊,請參閱錄製 RDP 連線

階段 2:政策開發

  1. 為即時節點存取管理員和使用者建立 IAM 政策。

  2. 根據您的安全要求和使用案例開發核准政策。

  3. 在非生產環境中測試您的政策,確保它們如預期般運作。

階段 3:試行遷移

  1. 選取一小群使用者和非關鍵節點用於試行遷移。

  2. 為試行遷移使用者建立包含即時節點存取許可的 IAM 政策。

  3. 從試行遷移使用者的 IAM 政策中移除 Session Manager 許可 (ssm:StartSession)。

  4. 為試行遷移使用者提供新存取請求工作流程的訓練。

  5. 監控試行遷移是否有問題並收集意見回饋。

  6. 根據試行遷移結果調整政策和程序。

試行遷移使用者的 IAM 政策修改範例

具有 Session Manager 許可的原始政策:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

修改後的即時節點存取政策:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartAccessRequest",
        "ssm:GetAccessToken",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

階段 4:完全遷移

制定排程,分批遷移剩餘的使用者和節點。

測試方法

在整個遷移過程中,執行下列測試:

  • 政策驗證 – 驗證核准政策是否正確套用至預期的節點和使用者。

  • 存取請求工作流程 – 針對自動核准和手動核准案例,測試從存取請求到工作階段建立的完整工作流程。

  • 通知 – 確認核准者是否透過設定的管道 (電子郵件、Slack、Microsoft Teams) 收到通知。

  • 記錄和監控 – 確認工作階段日誌和存取請求是否已正確擷取和儲存。

成功遷移的最佳實務

  • 儘早且經常地溝通 – 告知使用者有關遷移的時間表和即時節點存取的優勢。

  • 從非關鍵系統開始遷移 – 從開發或測試環境開始遷移,然後再遷移生產環境。

  • 記錄一切 – 維護核准政策、IAM 政策變更和組態設定的詳細記錄。

  • 監控和調整 – 持續監控存取請求和核准工作流程,並視需要調整政策。

  • 建立控管 – 建立程序,用於定期檢閱核准政策並在環境變更時更新核准政策。