创建 Session Manager 首选项(命令行)
以下过程介绍了如何使用首选的命令行工具在选择的 Amazon Web Services 区域中为您的 Amazon Web Services 账户创建 Amazon Systems Manager Session Manager 首选项。使用 Session Manager 首选项来指定在 Amazon Simple Storage Service (Amazon S3) 存储桶或 Amazon CloudWatch Logs 日志组中记录会话数据的选项。您还可以使用 Session Manager 首选项来加密您的会话数据。
有关使用命令行工具更新现有 Session Manager 首选项的信息,请参阅 更新 Session Manager 首选项(命令行)。
有关如何使用 Amazon CloudFormation 创建会话首选项的示例,请参阅《Amazon CloudFormation 用户指南》中的为 Session Manager 首选项创建 Systems Manager 文档。
您可以使用此过程为 Session Manager 首选项创建覆盖账户级别设置的自定义会话文档。在创建自定义会话文档时,为 name 参数指定 SSM-SessionManagerRunShell 以外的值,并根据需要修改输入。要使用自定义会话文档,必须在从 Amazon Command Line Interface (Amazon CLI) 启动会话时为 --document-name 参数提供自定义会话文档的名称。从控制台启动会话时,无法指定自定义会话文档。
创建 Session Manager 首选项(命令行)
-
在本地计算机上使用
SessionManagerRunShell.json之类的名称创建一个 JSON 文件,然后将以下内容粘贴到此文件中。{ "schemaVersion": "1.0", "description": "Document to hold regional settings for Session Manager", "sessionType": "Standard_Stream", "inputs": { "s3BucketName": "", "s3KeyPrefix": "", "s3EncryptionEnabled": true, "cloudWatchLogGroupName": "", "cloudWatchEncryptionEnabled": true, "cloudWatchStreamingEnabled": false, "kmsKeyId": "", "runAsEnabled": false, "runAsDefaultUser": "", "idleSessionTimeout": "", "maxSessionDuration": "", "shellProfile": { "windows": "date", "linux": "pwd;ls" } } }您还可以使用参数将值传递到会话首选项,而不是硬编码这些值,如以下示例所示。
{ "schemaVersion":"1.0", "description":"Session Document Parameter Example JSON Template", "sessionType":"Standard_Stream", "parameters":{ "s3BucketName":{ "type":"String", "default":"" }, "s3KeyPrefix":{ "type":"String", "default":"" }, "s3EncryptionEnabled":{ "type":"Boolean", "default":"false" }, "cloudWatchLogGroupName":{ "type":"String", "default":"" }, "cloudWatchEncryptionEnabled":{ "type":"Boolean", "default":"false" } }, "inputs":{ "s3BucketName":"{{s3BucketName}}", "s3KeyPrefix":"{{s3KeyPrefix}}", "s3EncryptionEnabled":"{{s3EncryptionEnabled}}", "cloudWatchLogGroupName":"{{cloudWatchLogGroupName}}", "cloudWatchEncryptionEnabled":"{{cloudWatchEncryptionEnabled}}", "kmsKeyId":"" } } -
指定要发送会话数据的位置。您可以指定 S3 存储桶名称(包含可选前缀)或 CloudWatch Logs 日志组名称。如果您要进一步加密本地客户端与托管式节点之间的数据,请提供用于加密的 KMS 密钥。以下是示例。
{ "schemaVersion": "1.0", "description": "Document to hold regional settings for Session Manager", "sessionType": "Standard_Stream", "inputs": { "s3BucketName": "DOC-EXAMPLE-BUCKET", "s3KeyPrefix": "MyBucketPrefix", "s3EncryptionEnabled": true, "cloudWatchLogGroupName": "MyLogGroupName", "cloudWatchEncryptionEnabled": true, "cloudWatchStreamingEnabled": false, "kmsKeyId": "MyKMSKeyID", "runAsEnabled": true, "runAsDefaultUser": "MyDefaultRunAsUser", "idleSessionTimeout": "20", "maxSessionDuration": "60", "shellProfile": { "windows": "MyCommands", "linux": "MyCommands" } } }注意 如果不需要加密会话日志数据,请将
s3EncryptionEnabled的true更改为false。如果您不是将日志发送到 Amazon S3 存储桶或 CloudWatch Logs 日志组,不希望加密活动会话的数据,或不希望为账户中的会话启用“运行身份”支持,则可以删除这些选项的行。确保
inputs部分中的最后一行不以逗号结尾。如果您添加 KMS 密钥 ID 来加密会话数据,启动会话的用户及其所连接的托管式节点都必须具有使用该密钥的权限。您可以通过 IAM policy 向 Session Manager 提供使用 KMS 密钥的权限。有关信息,请参阅以下主题:
-
为您账户中的用户添加 Amazon KMS 权限:Session Manager 的默认 IAM policy 快速入门。
-
为账户中的托管式节点添加 Amazon KMS 权限:步骤 2:验证或创建具有 Session Manager 权限的 IAM 角色
-
-
保存该文件。
-
在创建此 JSON 文件的目录中,运行以下命令。
如果成功,该命令将返回类似于以下内容的输出。
{ "DocumentDescription": { "Status": "Creating", "Hash": "ce4fd0a2ab9b0fae759004ba603174c3ec2231f21a81db8690a33eb66EXAMPLE", "Name": "SSM-SessionManagerRunShell", "Tags": [], "DocumentType": "Session", "PlatformTypes": [ "Windows", "Linux" ], "DocumentVersion": "1", "HashType": "Sha256", "CreatedDate": 1547750660.918, "Owner": "111122223333", "SchemaVersion": "1.0", "DefaultVersion": "1", "DocumentFormat": "JSON", "LatestVersion": "1" } }