Como posso controlar o acesso às minhas instâncias usando o Session Manager?

3 minuto de leitura

Quero controlar o acesso às minhas instâncias para que determinados usuários possam iniciar uma sessão do Session Manager para as instâncias que eu especificar. Como posso fazer isso?

Breve descrição

Você pode gerenciar sua instância do Amazon Elastic Compute Cloud (Amazon EC2) ou instância local usando o AWS Systems Manager Session Manager. O Session Manager se conecta por meio de um shell baseado em navegador ou por meio da AWS Command Line Interface (AWS CLI).

Você pode usar políticas de Gerenciamento de Identidade e Acesso (IAM) para controlar os usuários que podem acessar a instância usando o Session Manager. A política do IAM também controla as ações da API que os usuários podem realizar.

Pré-requisitos

Resolução

Para permitir que os usuários se conectem ao Session Manager, primeiro crie uma política do IAM que conceda acesso de StartSession ao usuário do IAM. Em seguida, anexe a política do IAM ao usuário do IAM.

Siga estas etapas para criar e anexar uma política do IAM que permita que um usuário do IAM inicie uma sessão do Session Manager usando a CLI da AWS. O exemplo de política a seguir restringe a capacidade de iniciar uma sessão a instâncias específicas.

Observação: Se você receber erros ao executar comandos da AWS CLI, verifique se está usando a versão mais recente da AWS CLI.

1.Abra o console do IAM e escolha Políticas no painel de navegação esquerdo.

2.Escolha Criar política e, em seguida, escolha a guia JSON.

3.Copie o documento JSON de amostra Restringir acesso a instâncias específicas e cole a política na guia JSON no console.

Importante: O recurso ARN na política de exemplo usa a região da AWS us-east-2 e inclui espaços reservados para o ID da instância e o ID da conta. Certifique-se de substituir esses valores pelos seus.

4.Escolha Próximo: Etiquetas.

5.Escolha Próximo: Revisão.

6.Em Nome, insira um nome de política.

7.(Opcional) Em Descrição, insira uma descrição.

8.Escolha Criar política para salvar a política.

9.Anexe a política do IAM ao usuário que você deseja permitir que acesse a instância usando o Session Manager.

Os usuários que recebem acesso agora podem iniciar a chamada de API de início da sessão usando o seguinte comando da AWS CLI:

Observação: O usuário deve substituir o instance-id pelo ID da instância para o qual deseja iniciar uma sessão.

aws ssm start-session --target instance-id

Para permitir que os usuários iniciem uma sessão usando o console do Amazon EC2, você também deve anexar as seguintes políticas gerenciadas pela AWS ao usuário:

Acesso somente para leitura do Amazon SSM
Acesso somente para leitura ao Amazon EC2

Informações relacionadas

Exemplos adicionais de políticas do IAM para o Session Manager Iniciar uma sessão

Criação de políticas do IAM (console)

Como o AWS Systems Manager trabalha com o IAM

Políticas gerenciadas pela AWS para o AWS Systems Manager

Tópicos

Gestão e governança

Conteúdo relevante

Por que não consigo usar o Session Manager para me conectar a uma instância do Amazon EC2?
AWS OFICIALAtualizada há 10 meses
Como posso alterar o shell do Session Manager para bash em instâncias do EC2 Linux?
AWS OFICIALAtualizada há 3 anos
Por que estou recebendo erros “imported-openssh-key” ou “Erro fatal do Putty” ao me conectar à instância Linux do Amazon Elastic Compute Cloud (Amazon EC2)?
AWS OFICIALAtualizada há um ano
Como criar endpoints da VPC para poder usar o Systems Manager para gerenciar instâncias privadas do EC2 sem acesso à Internet?
AWS OFICIALAtualizada há 5 meses