For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
Wie kann ich den Session Manager verwenden, um den Zugriff auf meine Instances zu kontrollieren?
Ich möchte den Zugriff auf meine Instances kontrollieren, sodass bestimmte Benutzer eine Session Manager-Sitzung starten können, eine Funktion der AWS Systems Manager-Sitzung.
Kurzbeschreibung
Verwende Session Manager, um deine Amazon Elastic Compute Cloud (Amazon EC2)-Instance oder deine On-Premises-Instance zu verwalten. Session Manager stellt eine Verbindung über eine browserbasierte Shell oder über das AWS-Command Line Interface (AWS CLI) her.
Verwende Richtlinien für Identity and Access Management (IAM), um zu kontrollieren, welche Benutzer mit Session Manager auf die Instance zugreifen können. Die IAM-Richtlinie steuert auch die API-Aktionen, die die Benutzer ausführen können.
**Hinweis:**Wenn Sie beim Ausführen von Befehlen in AWS CLI Fehlermeldungen erhalten, finden Sie weitere Informationen unter Beheben von AWS CLI-Fehlern. Stelle außerdem sicher, dass du die neueste Version der AWS CLI verwendest.
Voraussetzungen:
- Erfüllen der Voraussetzungen für Session Manager.
- Überprüfe oder erstelle ein IAM-Instance-Profil mit Session Manager-Berechtigungen.
- (Optional) Installieren Sie das Session Manager-Plugin für den AWS-CLI.
Behebung
Damit Benutzer eine Verbindung zum Session Manager herstellen können, erstellen Sie zunächst eine IAM-Richtlinie, die dem IAM-Benutzer Zugriff zur StartSession gewährt. Hänge dann die IAM-Richtlinie an den IAM-Benutzer an.
Führe die folgenden Schritte aus:
- Öffne die IAM-Konsole.
- Wähle im Navigationsbereich unter Zugriffsverwaltung die Option Richtlinien aus.
- Wähle Richtlinie erstellen und dann die Registerkarte JSON aus.
- Kopiere das JSON-Beispieldokument Zugriff auf bestimmte verwaltete Knoten einschränken und gib die Richtlinie dann auf der Registerkarte JSON in der Konsole ein.
Wichtig: Der Ressourcen-ARN in der Beispielrichtlinie verwendet die AWS-Region us-east-2 und enthält Platzhalter für die Instance-ID und die Konto-ID. Ersetze diese Werte durch deine eigenen. - Wähle Weiter.
- Gib auf der Seite Überprüfen und erstellen die folgenden Informationen ein:
Gib unter Richtlinienname einen Namen für deine Richtlinie ein.
(Optional) Gib unter Beschreibung eine Beschreibung für die Richtlinie ein. - Wähle Richtlinie erstellen.
- Hänge die IAM-Richtlinie an den Benutzer an.
Benutzer, die Zugriff haben, können den folgenden Befehl ausführen, um den API-Aufruf start-session zu initiieren:
aws ssm start-session --target instance-id
Hinweis: Ersetze instance-id durch die Instace-ID, für die der Benutzer eine Sitzung starten möchte.
Damit Benutzer die Amazon EC2-Konsole verwenden können, um eine Sitzung zu starten, hänge dem Benutzer die folgenden von AWS verwalteten Richtlinien an:
- AmazonSSMReadOnlyAccess
- AmazonEC2ReadOnlyAccess
Weitere Informationen
Zusätzliche Beispiele für IAM-Richtlinien für Session Manager
IAM-Richtlinien erstellen (Konsole)
- Themen
- Management & Governance
- Sprache
- Deutsch
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 5 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr