Come posso controllare l'accesso alle istanze utilizzando Session Manager?

3 minuti di lettura
0

Desidero controllare l'accesso alle istanze in modo che determinati utenti possano avviare una sessione di Session Manager per le istanze specificate. Come posso farlo?

Descrizione breve

È possibile gestire un’istanza Amazon Elastic Compute Cloud (Amazon EC2) o on-premise utilizzando Session Manager di AWS Systems Manager. Session Manager si connette tramite una shell basata su browser o tramite l'interfaccia della linea di comando AWS (AWS CLI).

Puoi utilizzare le policy Identity and Access Management (IAM) per determinare quali utenti potranno accedere all'istanza tramite Session Manager. La policy IAM controlla anche le azioni API che gli utenti possono eseguire.

Prerequisiti

Risoluzione

Per consentire agli utenti di connettersi a Session Manager, crea innanzitutto una policy IAM che conceda all'utente IAM l'accesso a StartSession. Quindi, collega la policy IAM all'utente IAM.

Segui questi passaggi per creare e collegare una policy IAM che consenta a un utente IAM di avviare una sessione di Session Manager utilizzando l'interfaccia della linea di comando AWS. La seguente policy di esempio limita la possibilità di avviare una sessione a istanze specifiche.

Nota: se si verificano errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.

1.    Apri la console IAM, quindi scegli Policy nel riquadro di navigazione a sinistra.

2.    Scegli Crea policy, quindi scegli la scheda JSON.

3.    Copia il documento JSON di esempio Limita l'accesso a istanze specifiche, quindi incolla la policy nella scheda JSON della console.

Importante: la risorsa ARN nella policy di esempio utilizza la Regione AWS us-east-2 e include segnaposti per l'ID dell'istanza e l'ID dell'account. Assicurati di sostituire questi valori con i tuoi.

4.    Scegli Successivo: tag.

5.    Scegli Successivo: esamina.

6.    In Nome, inserisci un nome per la policy.

7.    (Facoltativo) In Descrizione, inserisci una descrizione.

8.    Scegli Crea policy per salvare la policy.

9.     Collega la policy IAM all'utente a cui desideri consentire l'accesso all'istanza tramite Session Manager.

Gli utenti a cui è garantito l'accesso possono ora avviare la chiamata API start-session utilizzando il seguente comando AWS CLI:

Nota: l'utente deve sostituire instance-id con l'ID dell'istanza di cui desidera avviare una sessione.

aws ssm start-session --target instance-id

Per consentire agli utenti di avviare una sessione utilizzando la console Amazon EC2, devi anche assegnare all'utente le seguenti policy gestite da AWS:

  • AmazonSSMReadOnlyAccess
  • AmazonEC2ReadOnlyAccess

Informazioni correlate

Additional sample IAM policies for Session Manager Avvio di una sessione

Creazione di policy IAM (console)

How AWS Systems Manager works with IAM

AWS managed policies for AWS Systems Manager

AWS UFFICIALE
AWS UFFICIALEAggiornata 4 anni fa