Come posso controllare l'accesso alle istanze utilizzando Session Manager?

3 minuti di lettura

Desidero controllare l'accesso alle istanze in modo che determinati utenti possano avviare una sessione di Session Manager per le istanze specificate. Come posso farlo?

Descrizione breve

È possibile gestire un’istanza Amazon Elastic Compute Cloud (Amazon EC2) o on-premise utilizzando Session Manager di AWS Systems Manager. Session Manager si connette tramite una shell basata su browser o tramite l'interfaccia della linea di comando AWS (AWS CLI).

Puoi utilizzare le policy Identity and Access Management (IAM) per determinare quali utenti potranno accedere all'istanza tramite Session Manager. La policy IAM controlla anche le azioni API che gli utenti possono eseguire.

Prerequisiti

Completa i prerequisiti di Session Manager.
Verifica o crea un profilo dell'istanza IAM con le autorizzazioni di Session Manager.
(Facoltativo) Installa il plugin Session Manager per AWS CLI.

Risoluzione

Per consentire agli utenti di connettersi a Session Manager, crea innanzitutto una policy IAM che conceda all'utente IAM l'accesso a StartSession. Quindi, collega la policy IAM all'utente IAM.

Segui questi passaggi per creare e collegare una policy IAM che consenta a un utente IAM di avviare una sessione di Session Manager utilizzando l'interfaccia della linea di comando AWS. La seguente policy di esempio limita la possibilità di avviare una sessione a istanze specifiche.

Nota: se si verificano errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.

1. Apri la console IAM, quindi scegli Policy nel riquadro di navigazione a sinistra.

2. Scegli Crea policy, quindi scegli la scheda JSON.

3. Copia il documento JSON di esempio Limita l'accesso a istanze specifiche, quindi incolla la policy nella scheda JSON della console.

Importante: la risorsa ARN nella policy di esempio utilizza la Regione AWS us-east-2 e include segnaposti per l'ID dell'istanza e l'ID dell'account. Assicurati di sostituire questi valori con i tuoi.

4. Scegli Successivo: tag.

5. Scegli Successivo: esamina.

6. In Nome, inserisci un nome per la policy.

7. (Facoltativo) In Descrizione, inserisci una descrizione.

8. Scegli Crea policy per salvare la policy.

9. Collega la policy IAM all'utente a cui desideri consentire l'accesso all'istanza tramite Session Manager.

Gli utenti a cui è garantito l'accesso possono ora avviare la chiamata API start-session utilizzando il seguente comando AWS CLI:

Nota: l'utente deve sostituire instance-id con l'ID dell'istanza di cui desidera avviare una sessione.

aws ssm start-session --target instance-id

Per consentire agli utenti di avviare una sessione utilizzando la console Amazon EC2, devi anche assegnare all'utente le seguenti policy gestite da AWS:

AmazonSSMReadOnlyAccess
AmazonEC2ReadOnlyAccess

Informazioni correlate

Additional sample IAM policies for Session Manager Avvio di una sessione

Creazione di policy IAM (console)

How AWS Systems Manager works with IAM

AWS managed policies for AWS Systems Manager

Argomenti

Gestione e amministrazione

Tag

AWS Systems Manager

Lingua

Italiano

AWS UFFICIALEAggiornata 3 anni fa

Contenuto pertinente

Come posso modificare la shell di Session Manager in bash nelle istanze Linux EC2?
AWS UFFICIALEAggiornata 3 anni fa
Perché quando mi connetto alla mia istanza Linux Amazon Elastic Compute Cloud (Amazon EC2) si verifica l’errore “imported-openssh-key” o “Putty Fatal Error”?
AWS UFFICIALEAggiornata un anno fa
Come vengono fatturate le ore di utilizzo di un’istanza Amazon EC2?
AWS UFFICIALEAggiornata 2 anni fa
Perché non posso usare Session Manager per connettermi alla mia istanza Amazon EC2?
AWS UFFICIALEAggiornata 10 mesi fa