使用 Systems Manager 即時存取節點

Systems Manager 支援即時存取，藉此協助您提升節點的安全性。即時節點存取允許使用者請求暫時、有時限的節點存取，而該節點是只有在真正需要存取時才能核准的節點。這樣就不需要為 IAM 政策管理的節點提供長期存取權。此外，Systems Manager 還提供 RDP 工作階段的工作階段記錄至 Windows Server 節點，協助您滿足合規需求、執行根本原因分析等。若要使用即時節點存取，必須設定 Systems Manager 整合式主控台。

透過即時節點存取，您可以建立精細的 IAM 政策，確保只有您允許的使用者才能向節點提交存取請求。然後，您可以建立核准政策，定義連線至節點所需的核准。對於即時節點存取，有自動核准政策和手動核准政策。自動核准政策定義使用者可以自動連線哪些節點。手動核准政策定義要存取您指定的節點而必須取得的手動核准數量和層級。此外，您還可以建立拒絕存取政策。拒絕存取政策明確防止自動核准對您指定節點的存取請求。拒絕存取政策適用於 AWS Organizations 組織中的所有帳戶。自動核准政策和手動核准政策僅適用於建立它們的 AWS 帳戶和 AWS 區域。

當使用者嘗試連線至節點時，系統會提示他們輸入節點存取原因。然後系統會對核准政策進行評估。根據您的政策，使用者會自動連線至目標節點，或者 Systems Manager 會自動代表請求者建立手動核准請求。然後，套用至節點的手動核准政策中指定的核准者會收到存取請求通知，並且可以核准或拒絕該請求。核准者和請求者可以透過電子郵件接收通知，也可以在與 Slack 或 Microsoft Teams 整合的聊天應用程式中透過 Amazon Q Developer 接收通知。在指定的核准者提供所有必要的核准後，Systems Manager 才會授予對所請求節點的存取權。取得所有必要的核准後，使用者可以在核准政策中指定的存取時段期間，視需要對節點啟動任意數量的工作階段。Systems Manager 不會自動終止即時節點存取工作階段。最佳實務是為工作階段持續時間上限和閒置工作階段逾時工作階段偏好設定指定值。這些偏好設定可防止使用者在超出核准的存取時段之後仍保持與節點的連線。

建議您使用核准政策組合，來協助您保護具有更關鍵資料的節點，同時無需介入便能允許使用者連線至較不關鍵的節點。例如，您可以要求手動核准對資料庫節點的存取請求，自動核准對非持久性表示層節點的存取工作階段。

Systems Manager 支援與 IAM Identity Center 或 IAM 身分聯合的使用者即時存取節點。當聯合身分使用者提交存取請求時，他們會指定目標節點，以及說明需要連線至該節點的原因。Systems Manager 會將使用者的身分與貴組織的核准政策中定義的參數進行比較。如果符合自動核准政策條件，或核准者手動提供核准，請求者可以連線至目標節點。當使用者嘗試連線至核准的節點時，Systems Manager 會建立並使用暫時權杖來建立工作階段。

Systems Manager 服務會處理存取請求和工作階段建立中的身分驗證，因此您不必使用 IAM 政策來管理對節點的存取。透過使用即時節點存取，Systems Manager 可讓您的組織更接近零常設權限，因為您只需要允許使用者建立存取請求，而不是允許他們啟動對節點具有持久許可的工作階段。為了協助您符合合規要求，Systems Manager 會保留所有存取請求 1 年時間。針對即時節點存取，Systems Manager 也會為失敗的存取請求和為取得手動核准的存取請求狀態更新，發出 EventBridge 事件。如需詳細資訊，請參閱使用 Amazon EventBridge 監控 Systems Manager。