Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie kann ich den Zugriff auf meine Instances mit dem Session Manager kontrollieren?

Lesedauer: 3 Minute
0

Ich möchte den Zugriff auf meine Instances kontrollieren, sodass bestimmte Benutzer eine Session Manager-Sitzung für die von mir angegebenen Instances starten können. Wie kann ich das machen?

Kurzbeschreibung

Sie können Ihre Amazon Elastic Compute Cloud (Amazon EC2)-Instance oder Ihre lokale Instance mithilfe des AWS Systems Manager Session Manager verwalten. Session Manager stellt eine Verbindung über eine browserbasierte Shell oder über das AWS-Command Line Interface (AWS CLI) her.

Sie können Richtlinien für das Identity and Access Management (IAM) verwenden, um zu kontrollieren, welche Benutzer mithilfe des Session Managers auf die Instance zugreifen können. Die IAM-Richtlinie steuert auch die API-Aktionen, die die Benutzer ausführen können.

Voraussetzungen

Behebung

Damit Benutzer eine Verbindung zum Session Manager herstellen können, erstellen Sie zunächst eine IAM-Richtlinie, die dem IAM-Benutzer Zugriff zur StartSession gewährt. Hängen Sie dann die IAM-Richtlinie an den IAM-Benutzer an.

Gehen Sie wie folgt vor, um eine IAM-Richtlinie zu erstellen und anzuhängen, die es einem IAM-Benutzer ermöglicht, eine Session Manager-Sitzung über den AWS-CLI zu starten. Die folgende Beispielrichtlinie beschränkt die Möglichkeit, eine Sitzung für bestimmte Instances zu starten.

Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehlermeldungen erhalten, stellen Sie sicher, dass Sie die neueste Version des AWS CLI verwenden.

1.Öffnen Sie die IAM-Konsole und wählen Sie dann im linken Navigationsbereich Richtlinien aus.

2.Wählen Sie Richtlinie erstellen und dann die Registerkarte JSON aus.

3.Kopieren Sie das JSON-Beispieldokument Zugriff auf bestimmte Instances einschränken und fügen Sie die Richtlinie dann auf der Registerkarte JSON in der Konsole ein.

Wichtig: Der Ressourcen-ARN in der Beispielrichtlinie verwendet die AWS-Region us-east-2 und enthält Platzhalter für die Instance ID und die Konto-ID. Achten Sie darauf, diese Werte durch Ihre eigenen zu ersetzen.

4.Wählen Sie Weiter: Tags.

5.Wählen Sie Weiter: Bewertung.

6.Geben Sie für Name einen Richtliniennamen ein.

7.(Optional) Geben Sie für Beschreibung eine Beschreibung ein.

8.Wählen Sie Richtlinie erstellen, um die Richtlinie zu speichern.

9.Hängen Sie die IAM-Richtlinie an den Benutzer an, dem Sie mithilfe des Session Managers Zugriff auf die Instance gewähren möchten.

Benutzer, denen Zugriff gewährt wurde, können jetzt den API-Aufruf für die Start-Sitzung mithilfe des folgenden AWS-CLI-Befehls initiieren:

Hinweis: Der Benutzer muss die Instance-ID durch die Instance ID ersetzen, für die er eine Sitzung starten möchte.

aws ssm start-session --target instance-id

Damit Benutzer eine Sitzung über die Amazon EC2-Konsole starten können, müssen Sie dem Benutzer außerdem die folgenden von AWS verwalteten Richtlinien zuordnen:

  • AmazonSSMReadOnlyAccess
  • AmazonEC2ReadOnlyAccess

Weitere Informationen

Zusätzliche Beispiele für IAM-Richtlinien für Session Manager Starten eine Sitzung

IAM-Richtlinien erstellen (Konsole)

So arbeitet der AWS Systems Manager mit IAM

Von AWS verwaltete Richtlinien für den AWS Systems Manager

Themen
Management & Unternehmensführung
Tags
AWS Systems Manager
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 3 Jahren

Relevanter Inhalt