¿Cómo puedo controlar el acceso a mis instancias utilizando el administrador de sesiones?

3 minutos de lectura

Deseo controlar el acceso a mis instancias para que determinados usuarios puedan iniciar una sesión del administrador de sesiones para las instancias que yo especifique. ¿Cómo puedo hacerlo?

Descripción breve

Puede gestionar su instancia de Amazon Elastic Compute Cloud (Amazon EC2) o su instancia local mediante el administrador de sesiones de AWS Systems Manager. El administrador de sesiones se conecta a través de un shell del navegador o de la interfaz de la línea de comandos de AWS (AWS CLI).

Puede utilizar las políticas de Identity and Access Management (IAM) para controlar los usuarios que pueden acceder a la instancia utilizando el administrador de sesiones. La política de IAM también controla las acciones de la API que pueden realizar los usuarios.

Requisitos previos

Resolución

Para permitir que los usuarios se conecten al administrador de sesiones, cree primero una política de IAM que conceda acceso StartSession al usuario de IAM. A continuación, adjunte la política de IAM al usuario de IAM.

Siga estos pasos para crear y adjuntar una política de IAM que permita a un usuario de IAM iniciar una sesión de administrador de sesiones mediante la AWS CLI. La siguiente política de ejemplo restringe la capacidad de iniciar una sesión a unas instancias específicas.

Nota: Si recibe errores al ejecutar los comandos de la AWS CLI, asegúrese de utilizar la versión más reciente de la AWS CLI.

Abra la consola de IAM y, a continuación, seleccione Políticas en el panel de navegación izquierdo.
Seleccione Crear política y, a continuación, elija la pestaña JSON.
Copie el documento JSON de ejemplo Restringir acceso a instancias específicas y, a continuación, pegue la política en la pestaña JSON de la consola.

Importante: El ARN del recurso en la política de ejemplo utiliza la región de AWS us-east-2, e incluye marcadores de posición para el ID de la instancia y el ID de la cuenta. Asegúrese de sustituir estos valores por los suyos.

Seleccione Siguiente: Etiquetas.
Seleccione Siguiente: Revisar.
En Nombre, introduzca un nombre para la política.
(Opcional) En Descripción, introduzca una descripción.
Seleccione Crear política para guardarla.
Adjunte la política de IAM al usuario al que desea permitir el acceso a la instancia mediante el administrador de sesiones.

Los usuarios a los que se ha concedido acceso pueden ahora iniciar la llamada a la API start-session utilizando el siguiente comando de la AWS CLI:

Nota: El usuario debe sustituir instance-id por el ID de la instancia en la que desea iniciar una sesión.

aws ssm start-session --target instance-id

Para permitir que los usuarios inicien una sesión mediante la consola de Amazon EC2, también debe adjuntar al usuario las siguientes políticas gestionadas por AWS:

AmazonSSMReadOnlyAccess
AmazonEC2ReadOnlyAccess

Información relacionada

Más ejemplos de políticas de IAM para el administrador de sesiones Iniciar una sesión

Crear políticas de IAM (consola)

Cómo funciona AWS Systems Manager con IAM

Políticas gestionadas de AWS para AWS Systems Manager

Temas

Gestión y gobierno

Etiquetas

AWS Systems Manager

Idioma

Español

OFICIAL DE AWSActualizada hace 3 años

Contenido relevante

¿Cómo puedo cambiar el shell del Administrador de sesiones a bash en instancias de EC2 Linux?
OFICIAL DE AWSActualizada hace 3 años
¿Por qué no puedo usar el Administrador de sesiones para conectarme a mi instancia de Amazon EC2?
OFICIAL DE AWSActualizada hace 10 meses
¿Por qué se muestran los errores «imported-openssh-key» o «Putty Fatal Error» cuando me conecto a mi instancia de Linux de Amazon Elastic Compute Cloud (Amazon EC2)?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo configurar un bucket central de Amazon S3 para el registro del Administrador de sesiones desde varias cuentas?
OFICIAL DE AWSActualizada hace 10 meses