Come posso controllare l'accesso alle istanze utilizzando Session Manager?
Desidero controllare l'accesso alle istanze in modo che determinati utenti possano avviare una sessione di Session Manager per le istanze specificate. Come posso farlo?
Descrizione breve
È possibile gestire un’istanza Amazon Elastic Compute Cloud (Amazon EC2) o on-premise utilizzando Session Manager di AWS Systems Manager. Session Manager si connette tramite una shell basata su browser o tramite l'interfaccia della linea di comando AWS (AWS CLI).
Puoi utilizzare le policy Identity and Access Management (IAM) per determinare quali utenti potranno accedere all'istanza tramite Session Manager. La policy IAM controlla anche le azioni API che gli utenti possono eseguire.
Prerequisiti
- Completa i prerequisiti di Session Manager.
- Verifica o crea un profilo dell'istanza IAM con le autorizzazioni di Session Manager.
- (Facoltativo) Installa il plugin Session Manager per AWS CLI.
Risoluzione
Per consentire agli utenti di connettersi a Session Manager, crea innanzitutto una policy IAM che conceda all'utente IAM l'accesso a StartSession. Quindi, collega la policy IAM all'utente IAM.
Segui questi passaggi per creare e collegare una policy IAM che consenta a un utente IAM di avviare una sessione di Session Manager utilizzando l'interfaccia della linea di comando AWS. La seguente policy di esempio limita la possibilità di avviare una sessione a istanze specifiche.
Nota: se si verificano errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.
1. Apri la console IAM, quindi scegli Policy nel riquadro di navigazione a sinistra.
2. Scegli Crea policy, quindi scegli la scheda JSON.
3. Copia il documento JSON di esempio Limita l'accesso a istanze specifiche, quindi incolla la policy nella scheda JSON della console.
Importante: la risorsa ARN nella policy di esempio utilizza la Regione AWS us-east-2 e include segnaposti per l'ID dell'istanza e l'ID dell'account. Assicurati di sostituire questi valori con i tuoi.
4. Scegli Successivo: tag.
5. Scegli Successivo: esamina.
6. In Nome, inserisci un nome per la policy.
7. (Facoltativo) In Descrizione, inserisci una descrizione.
8. Scegli Crea policy per salvare la policy.
9. Collega la policy IAM all'utente a cui desideri consentire l'accesso all'istanza tramite Session Manager.
Gli utenti a cui è garantito l'accesso possono ora avviare la chiamata API start-session utilizzando il seguente comando AWS CLI:
Nota: l'utente deve sostituire instance-id con l'ID dell'istanza di cui desidera avviare una sessione.
aws ssm start-session --target instance-id
Per consentire agli utenti di avviare una sessione utilizzando la console Amazon EC2, devi anche assegnare all'utente le seguenti policy gestite da AWS:
- AmazonSSMReadOnlyAccess
- AmazonEC2ReadOnlyAccess
Informazioni correlate
Additional sample IAM policies for Session Manager Avvio di una sessione
Creazione di policy IAM (console)
Contenuto pertinente
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 3 anni fa
- AWS UFFICIALEAggiornata 4 anni fa