从Session Manager移至即时节点访问 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

从Session Manager移至即时节点访问

启用即时节点访问后,会话管理器不会对Session Manager的现有资源进行任何更改。这样可确保您的现有环境不会中断,并且在您创建和验证审批策略的同时,用户可以继续启动会话。您准备好测试审批策略后,必须修改现有 IAM 策略以完成向即时节点访问的过渡。这包括向身份添加即时节点访问所需的权限,并移除对Session Manager StartSession API 操作的权限。我们建议使用 Amazon Web Services 账户和 Amazon Web Services 区域中的身份和节点子集来测试审批策略。

有关即时节点访问所需权限的更多信息,请参阅使用 Systems Manager 设置即时访问

有关修改和身份的 IAM 权限的更多信息,请参阅《IAM 用户指南》中的添加和删除 IAM 身份权限

下面介绍一种详细的方法,说明如何从Session Manager移至即时节点访问。

从会话管理器移至即时节点访问需要仔细的规划和测试,以确保在不中断操作的情况下平稳过渡。以下各部分将介绍如何完成此过程。

先决条件

在开始之前,请确保您已完成以下任务:

  • 设置 Systems Manager 统一控制台。

  • 已确认您有权修改账户中的 IAM 策略。

  • 已确定当前授予Session Manager权限的所有 IAM 策略和角色。

  • 记录了当前的Session Manager配置,包括会话首选项和日志记录设置。

评测

完成以下任务,评测当前的环境并概述所需的批准行为:

  1. 清点您的节点:确定用户当前通过Session Manager访问的所有节点。

  2. 确定用户访问模式:记录哪些用户或角色在什么情况下需要访问哪些节点。

  3. 映射批准工作流程:确定谁应批准不同类型节点的访问请求。

  4. 审查标记策略:确保节点已正确标记,以支持计划的审批策略。

  5. 审核现有 IAM 策略:确定所有包含Session Manager权限的策略。

规划

分阶段策略

从Session Manager移至即时节点访问时,建议使用如下所示的分阶段方法:

  1. 第 1 阶段:设置和配置 – 启用即时节点访问,无需修改现有Session Manager权限。

  2. 第 2 阶段:策略制定 – 为节点创建和测试审批策略。

  3. 第 3 阶段:试点迁移 – 将一小部分非关键节点和用户或角色从Session Manager修改为即时节点访问。

  4. 第 4 阶段:完全迁移 – 逐步迁移所有剩余的节点和用户或角色。

时间线注意事项

在创建时间线以从Session Manager移至即时节点访问时,请考虑以下因素:

  • 留出时间以便根据新的审批工作流程进行用户培训和调整。

  • 计划在操作活动较少的时段进行的迁移。

  • 将故障排除和调整的缓冲时间包含在内。

  • 在两个系统都可用的情况下,计划一段并行操作的时期。

实施步骤

第 1 阶段:设置和配置

  1. 在 Systems Manager 控制台中启用即时节点访问。有关详细步骤,请参阅使用 Systems Manager 设置即时访问

  2. 为即时节点访问配置会话首选项,使其与您当前的Session Manager设置相匹配。有关更多信息,请参阅 更新即时节点访问会话首选项

  3. 设置访问请求的通知首选项。有关更多信息,请参阅 为即时访问请求配置通知

  4. 如果您使用与 Windows Server 节点的 RDP 连接,请配置 RDP 录制。有关更多信息,请参阅 录制 RDP 连接

第 2 阶段:策略制定

  1. 为即时节点访问管理员和用户创建 IAM 策略。

  2. 根据您的安全要求和应用场景制定审批策略。

  3. 请在非生产环境中测试策略,确保其按预期运行。

第 3 阶段:试点迁移

  1. 为试点选择一小群用户和非关键节点。

  2. 为试点用户创建包含即时节点访问权限的新 IAM 策略。

  3. 从试点用户的 IAM 策略中删除Session Manager权限 (ssm:StartSession)。

  4. 对试点用户进行有关新的访问请求工作流程的培训。

  5. 监控试点是否存在问题并收集反馈。

  6. 根据试点结果调整策略和程序。

试点用户的 IAM 策略修改示例

具有Session Manager权限的原始策略:

{
                      "Version": "2012-10-17",
                      "Statement": [
                          {
                              "Effect": "Allow",
                              "Action": [
                                  "ssm:StartSession",
                                  "ssm:ResumeSession",
                                  "ssm:TerminateSession"
                              ],
                              "Resource": "*"
                          }
                      ]
                  }

修改后的即时节点访问策略:

{
                      "Version": "2012-10-17",
                      "Statement": [
                          {
                              "Effect": "Allow",
                              "Action": [
                                  "ssm:StartAccessRequest",
                                  "ssm:GetAccessToken",
                                  "ssm:ResumeSession",
                                  "ssm:TerminateSession"
                              ],
                              "Resource": "*"
                          }
                      ]
                  }

第 4 阶段:完全迁移

制定分批迁移剩余用户和节点的计划。

测试方法

在整个迁移过程中,请进行以下测试:

  • 策略验证:验证审批策略是否正确适用于目标节点和用户。

  • 访问请求工作流程:针对自动审批和手动审批方案,测试从访问请求到会话建立的完整工作流程。

  • 通知:验证审批者是否通过配置的渠道(电子邮件、Slack、Microsoft Teams)接收通知。

  • 日志记录和监控:验证是否正确捕获和存储了会话日志和访问请求。

有关成功迁移的最佳实践

  • 尽早并经常沟通:告知用户迁移时间线和即时节点访问的优势。

  • 从非关键系统开始:在进入生产环境之前,从开发或测试环境开始迁移。

  • 记录所有内容:保留您的审批策略、IAM 策略更改和配置设置的详细记录。

  • 监控和调整:持续监控访问请求和批准工作流程,根据需要调整策略。

  • 建立治理方案:创建流程,以便在环境改变时定期审查和更新审批策略。