從 移至just-in-time節點存取 Session Manager - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從 移至just-in-time節點存取 Session Manager

當您啟用just-in-time節點存取時,Systems Manager 不會對 的現有資源進行任何變更Session Manager。這可確保現有環境不會中斷,而且使用者可以在您建立和驗證核准政策時繼續啟動工作階段。準備好測試核准政策後,您必須修改現有的 IAM 政策,才能完成轉換為just-in-time節點存取。這包括新增just-in-time節點存取身分所需的許可,以及移除 的 StartSession API 操作許可Session Manager。建議您使用 AWS 帳戶 和 中的身分和節點子集來測試核准政策 AWS 區域。

如需just-in-time節點存取所需許可的詳細資訊,請參閱 使用 Systems Manager just-in-time存取

如需修改 和身分的 IAM 許可的詳細資訊,請參閱《IAM 使用者指南》中的新增和移除 IAM 身分許可

以下說明如何從 just-in-time節點存取的詳細方法Session Manager。

從 Session Manager 移至just-in-time節點存取需要仔細規劃和測試,以確保順利轉換,而不會中斷您的操作。下列各節說明如何完成此程序。

先決條件

開始之前,請確定您已完成下列任務:

  • 設定 Systems Manager 統一主控台。

  • 已驗證您擁有修改帳戶中 IAM 政策的許可。

  • 識別目前授予Session Manager許可的所有 IAM 政策和角色。

  • 已記錄您目前的Session Manager組態,包括工作階段偏好設定和記錄設定。

評估

完成下列任務,評估您目前的環境並概述所需的核准行為:

  1. 清查您的節點 - 識別使用者目前透過 存取的所有節點Session Manager。

  2. 識別使用者存取模式 - 記錄哪些使用者或角色需要存取哪些節點,以及在何種情況下。

  3. 映射核准工作流程 - 決定誰應該核准不同類型的節點的存取請求。

  4. 檢閱標記策略 - 確保您的節點已正確標記,以支援您計劃的核准政策。

  5. 稽核現有的 IAM 政策 - 識別包含Session Manager許可的所有政策。

規劃

分階段策略

從 移至Session Managerjust-in-time節點存取時,建議使用如下所示的分階段方法:

  1. 階段 1:設定和組態 - 啟用just-in-time節點存取,而不修改現有的Session Manager許可。

  2. 階段 2:政策開發 - 建立和測試節點的核准政策。

  3. 階段 3:試行遷移 - 將一小群非關鍵節點和使用者或角色從 修改Session Manager為just-in-time節點存取。

  4. 階段 4:完全遷移 - 逐漸遷移所有剩餘的節點和使用者或角色。

時間軸考量

建立要從 移至Session Managerjust-in-time節點存取的時間軸時,請考慮下列因素:

  • 允許使用者訓練和調整新核准工作流程的時間。

  • 在較低的操作活動期間排程遷移。

  • 包含用於疑難排解和調整的緩衝時間。

  • 規劃一段時間的平行操作,其中兩個系統都可用。

實作步驟

階段 1:設定和組態

  1. 在 Systems Manager just-in-time節點存取。如需詳細步驟,請參閱使用 Systems Manager just-in-time存取

  2. 設定just-in-time節點存取的工作階段偏好設定,以符合您目前的Session Manager設定。如需詳細資訊,請參閱更新just-in-time節點存取工作階段偏好設定

  3. 設定存取請求的通知偏好設定。如需詳細資訊,請參閱設定just-in-time存取請求的通知

  4. 如果您使用Windows Server節點的 RDP 連線,請設定 RDP 記錄。如需詳細資訊,請參閱記錄 RDP 連線

階段 2:政策開發

  1. 為just-in-time節點存取管理員和使用者建立 IAM 政策。

  2. 根據您的安全需求和使用案例制定核准政策。

  3. 在非生產環境中測試您的政策,以確保它們如預期般運作。

階段 3:試行遷移

  1. 為試行選取一小群使用者和非關鍵節點。

  2. 為包含just-in-time政策。

  3. 從試用使用者的 IAM 政策中移除Session Manager許可 (ssm:StartSession)。

  4. 在新的存取請求工作流程上訓練試行使用者。

  5. 監控試行方案是否有問題並收集意見回饋。

  6. 根據試行結果調整政策和程序。

試驗使用者的 IAM 政策修改範例

具有Session Manager許可的原始政策:

{
                      "Version": "2012-10-17",
                      "Statement": [
                          {
                              "Effect": "Allow",
                              "Action": [
                                  "ssm:StartSession",
                                  "ssm:ResumeSession",
                                  "ssm:TerminateSession"
                              ],
                              "Resource": "*"
                          }
                      ]
                  }

修改just-in-time節點存取的政策:

{
                      "Version": "2012-10-17",
                      "Statement": [
                          {
                              "Effect": "Allow",
                              "Action": [
                                  "ssm:StartAccessRequest",
                                  "ssm:GetAccessToken",
                                  "ssm:ResumeSession",
                                  "ssm:TerminateSession"
                              ],
                              "Resource": "*"
                          }
                      ]
                  }

階段 4:完整遷移

制定排程,以批次遷移剩餘的使用者和節點。

測試方法

在整個遷移過程中,執行下列測試:

  • 政策驗證 - 驗證核准政策是否正確套用至預期的節點和使用者。

  • 存取請求工作流程 - 針對自動核准和手動核准案例,測試從存取請求到工作階段建立的完整工作流程。

  • 通知 - 確認核准者透過設定的管道 (電子郵件、Slack、Microsoft Teams) 接收通知。

  • 記錄和監控 - 確認工作階段日誌和存取請求已正確擷取和儲存。

成功遷移的最佳實務

  • 及早且經常地溝通 - 通知使用者有關遷移時間表和just-in-time節點存取的優勢。

  • 從非關鍵系統開始 - 從開發或測試環境開始遷移,然後再移至生產環境。

  • 記錄一切 - 維護核准政策、IAM 政策變更和組態設定的詳細記錄。

  • 監控和調整 - 持續監控存取請求和核准工作流程,並視需要調整政策。

  • 建立控管 - 建立在您的環境變更時定期檢閱和更新核准政策的程序。