Comment contrôler l'accès à mes instances à l'aide de Session Manager ?

Dernière mise à jour : 17/03/2021

Je souhaite contrôler l'accès à mes instances afin que certains utilisateurs puissent démarrer une session Session Manager pour les instances que je spécifie. Comment procéder ?

Brève description

Vous pouvez gérer votre instance Amazon Elastic Compute Cloud (Amazon EC2) ou votre instance sur site à l'aide de Session Manager d'AWS Systems Manager. Session Manager se connecte via un shell basé sur un navigateur ou via l'interface de ligne de commande AWS (AWS CLI).

Vous pouvez utiliser les stratégies IAM (Identity and Access Management) pour contrôler les utilisateurs qui peuvent accéder à l'instance en utilisant Session Manager. La stratégie IAM contrôle également les actions d'API que les utilisateurs peuvent effectuer.

Prérequis

Solution

Pour permettre aux utilisateurs de se connecter à Session Manager, créez d'abord une stratégie IAM qui accorde un accès StartSession à l'utilisateur IAM. Ensuite, attachez la stratégie IAM à l'utilisateur IAM.

Suivez ces étapes pour créer et attacher une stratégie IAM qui permet à un utilisateur IAM de démarrer une session Session Manager à l'aide de l'AWS CLI. L'exemple de stratégie suivant restreint la possibilité de démarrer une session à des instances spécifiques.

Remarque : si vous recevez des erreurs lors de l'exécution de commandes depuis AWS CLI, assurez-vous que vous utilisez la toute dernière version d'AWS CLI.

1.    Ouvrez la console IAM, puis sélectionnez Policies (Stratégies) dans le volet de navigation.

2.    Choisissez Créer une stratégie , puis choisissez l'option JSON onglet.

3.    Copiez le document exemple JSON Restreindre l'accès à des instances spécifiques, puis collez la stratégie dans l'onglet JSON de la console.

Important : L'ARN de la ressource dans l'exemple de stratégie utilise la région AWS us-east-2, et inclut des espaces réservés pour l'ID de l'instance et l'ID du compte. Veillez à remplacer ces valeurs par les vôtres.

4.    Choisissez Next: Tags (Suivant : Balises).

5.    Choisissez « Next: Review » (Étape suivante : Vérification).

6.    Pour Name (Nom), saisissez un nom de stratégie.

7.    Pour Description, saisissez une description.

8.    Choisissez Create policy (Créer la stratégie) pour enregistrer la stratégie.

9.     Attachez la stratégie IAM à l'utilisateur que vous souhaitez autoriser à accéder à l'instance à l'aide de Session Manager.

Les utilisateurs auxquels l'accès est autorisé peuvent désormais lancer l'appel API start-session à l'aide de la commande AWS CLI suivante :

Remarque : l'utilisateur doit remplacer instance-id par l'ID de l'instance pour laquelle il souhaite démarrer une session.

aws ssm start-session --target instance-id

Pour permettre aux utilisateurs de démarrer une session à l'aide de la console Amazon EC2, vous devez également attacher les stratégies gérées AWS suivantes à l'utilisateur :

  • AmazonSSMReadOnlyAccess
  • AmazonEC2ReadOnlyAccess