Wie kann ich den Zugriff auf meine Instances mit dem Session Manager kontrollieren?
Ich möchte den Zugriff auf meine Instances kontrollieren, sodass bestimmte Benutzer eine Session Manager-Sitzung für die von mir angegebenen Instances starten können. Wie kann ich das machen?
Kurzbeschreibung
Sie können Ihre Amazon Elastic Compute Cloud (Amazon EC2)-Instance oder Ihre lokale Instance mithilfe des AWS Systems Manager Session Manager verwalten. Session Manager stellt eine Verbindung über eine browserbasierte Shell oder über das AWS-Command Line Interface (AWS CLI) her.
Sie können Richtlinien für das Identity and Access Management (IAM) verwenden, um zu kontrollieren, welche Benutzer mithilfe des Session Managers auf die Instance zugreifen können. Die IAM-Richtlinie steuert auch die API-Aktionen, die die Benutzer ausführen können.
Voraussetzungen
- Erfüllen Sie die Voraussetzungen für den Session Manager.
- Überprüfen oder erstellen Sie ein IAM-Instance-Profil mit Session Manager-Berechtigungen.
- (Optional) Installieren Sie das Session Manager-Plugin für den AWS-CLI.
Behebung
Damit Benutzer eine Verbindung zum Session Manager herstellen können, erstellen Sie zunächst eine IAM-Richtlinie, die dem IAM-Benutzer Zugriff zur StartSession gewährt. Hängen Sie dann die IAM-Richtlinie an den IAM-Benutzer an.
Gehen Sie wie folgt vor, um eine IAM-Richtlinie zu erstellen und anzuhängen, die es einem IAM-Benutzer ermöglicht, eine Session Manager-Sitzung über den AWS-CLI zu starten. Die folgende Beispielrichtlinie beschränkt die Möglichkeit, eine Sitzung für bestimmte Instances zu starten.
Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehlermeldungen erhalten, stellen Sie sicher, dass Sie die neueste Version des AWS CLI verwenden.
1.Öffnen Sie die IAM-Konsole und wählen Sie dann im linken Navigationsbereich Richtlinien aus.
2.Wählen Sie Richtlinie erstellen und dann die Registerkarte JSON aus.
3.Kopieren Sie das JSON-Beispieldokument Zugriff auf bestimmte Instances einschränken und fügen Sie die Richtlinie dann auf der Registerkarte JSON in der Konsole ein.
Wichtig: Der Ressourcen-ARN in der Beispielrichtlinie verwendet die AWS-Region us-east-2 und enthält Platzhalter für die Instance ID und die Konto-ID. Achten Sie darauf, diese Werte durch Ihre eigenen zu ersetzen.
4.Wählen Sie Weiter: Tags.
5.Wählen Sie Weiter: Bewertung.
6.Geben Sie für Name einen Richtliniennamen ein.
7.(Optional) Geben Sie für Beschreibung eine Beschreibung ein.
8.Wählen Sie Richtlinie erstellen, um die Richtlinie zu speichern.
9.Hängen Sie die IAM-Richtlinie an den Benutzer an, dem Sie mithilfe des Session Managers Zugriff auf die Instance gewähren möchten.
Benutzer, denen Zugriff gewährt wurde, können jetzt den API-Aufruf für die Start-Sitzung mithilfe des folgenden AWS-CLI-Befehls initiieren:
Hinweis: Der Benutzer muss die Instance-ID durch die Instance ID ersetzen, für die er eine Sitzung starten möchte.
aws ssm start-session --target instance-id
Damit Benutzer eine Sitzung über die Amazon EC2-Konsole starten können, müssen Sie dem Benutzer außerdem die folgenden von AWS verwalteten Richtlinien zuordnen:
- AmazonSSMReadOnlyAccess
- AmazonEC2ReadOnlyAccess
Weitere Informationen
Zusätzliche Beispiele für IAM-Richtlinien für Session Manager Starten eine Sitzung
IAM-Richtlinien erstellen (Konsole)
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Monaten
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 4 Jahren