从Session Manager移至即时节点访问 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Systems Manager Change Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 Amazon Systems Manager Change Manager 可用性变更

从Session Manager移至即时节点访问

启用即时节点访问后,会话管理器不会对Session Manager的现有资源进行任何更改。这样可确保您的现有环境不会中断,并且在您创建和验证审批策略的同时,用户可以继续启动会话。您准备好测试审批策略后,必须修改现有 IAM 策略以完成向即时节点访问的过渡。这包括向身份添加即时节点访问所需的权限,并移除对Session Manager StartSession API 操作的权限。我们建议使用 Amazon Web Services 账户和 Amazon Web Services 区域中的身份和节点子集来测试审批策略。

有关即时节点访问所需权限的更多信息,请参阅使用 Systems Manager 设置即时访问

有关修改和身份的 IAM 权限的更多信息,请参阅《IAM 用户指南》中的添加和删除 IAM 身份权限

下面介绍一种详细的方法,说明如何从Session Manager移至即时节点访问。

从会话管理器移至即时节点访问需要仔细的规划和测试,以确保在不中断操作的情况下平稳过渡。以下各部分将介绍如何完成此过程。

先决条件

在开始之前,请确保您已完成以下任务:

  • 设置 Systems Manager 统一控制台。

  • 已确认您有权修改账户中的 IAM 策略。

  • 已确定当前授予Session Manager权限的所有 IAM 策略和角色。

  • 记录了当前的Session Manager配置,包括会话首选项和日志记录设置。

评测

完成以下任务,评测当前的环境并概述所需的批准行为:

  1. 清点您的节点:确定用户当前通过Session Manager访问的所有节点。

  2. 确定用户访问模式:记录哪些用户或角色在什么情况下需要访问哪些节点。

  3. 映射批准工作流:确定谁应批准不同类型节点的访问请求。

  4. 审查标记策略:确保节点已正确标记,以支持计划的审批策略。

  5. 审核现有 IAM 策略:确定所有包含Session Manager权限的策略。

规划

分阶段策略

从Session Manager移至即时节点访问时,建议使用如下所示的分阶段方法:

  1. 第 1 阶段:设置和配置 – 启用即时节点访问,无需修改现有Session Manager权限。

  2. 第 2 阶段:策略制定 – 为节点创建和测试审批策略。

  3. 第 3 阶段:试点迁移 – 将一小部分非关键节点和用户或角色从Session Manager修改为即时节点访问。

  4. 第 4 阶段:完全迁移 – 逐步迁移所有剩余的节点和用户或角色。

时间线注意事项

在创建时间线以从Session Manager移至即时节点访问时,请考虑以下因素:

  • 留出时间以便根据新的审批工作流进行用户培训和调整。

  • 计划在操作活动较少的时段进行的迁移。

  • 将故障排除和调整的缓冲时间包含在内。

  • 在两个系统都可用的情况下,计划一段并行操作的时期。

实施步骤

第 1 阶段:设置和配置

  1. 在 Systems Manager 控制台中启用即时节点访问。有关详细步骤,请参阅使用 Systems Manager 设置即时访问

  2. 为即时节点访问配置会话首选项,使其与您当前的Session Manager设置相匹配。有关更多信息,请参阅 更新即时节点访问会话首选项

  3. 设置访问请求的通知首选项。有关更多信息,请参阅 为即时访问请求配置通知

  4. 如果您使用与 Windows Server 节点的 RDP 连接,请配置 RDP 录制。有关更多信息,请参阅 录制 RDP 连接

第 2 阶段:策略制定

  1. 为即时节点访问管理员和用户创建 IAM 策略。

  2. 根据您的安全要求和应用场景制定审批策略。

  3. 请在非生产环境中测试策略,确保其按预期运行。

第 3 阶段:试点迁移

  1. 为试点选择一小群用户和非关键节点。

  2. 为试点用户创建包含即时节点访问权限的新 IAM 策略。

  3. 从试点用户的 IAM 策略中删除Session Manager权限 (ssm:StartSession)。

  4. 对试点用户进行有关新的访问请求工作流的培训。

  5. 监控试点是否存在问题并收集反馈。

  6. 根据试点结果调整策略和程序。

试点用户的 IAM 策略修改示例

具有Session Manager权限的原始策略:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

修改后的即时节点访问策略:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartAccessRequest",
        "ssm:GetAccessToken",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}

第 4 阶段:完全迁移

制定分批迁移剩余用户和节点的计划。

测试方法

在整个迁移过程中,请进行以下测试:

  • 策略验证:验证审批策略是否正确适用于目标节点和用户。

  • 访问请求工作流:针对自动审批和手动审批方案,测试从访问请求到会话建立的完整工作流。

  • 通知:验证审批者是否通过配置的渠道(电子邮件、Slack、Microsoft Teams)接收通知。

  • 日志记录和监控:验证是否正确捕获和存储了会话日志和访问请求。

有关成功迁移的最佳实践

  • 尽早并经常沟通:告知用户迁移时间线和即时节点访问的优势。

  • 从非关键系统开始:在进入生产环境之前,从开发或测试环境开始迁移。

  • 记录所有内容:保留您的审批策略、IAM 策略更改和配置设置的详细记录。

  • 监控和调整:持续监控访问请求和批准工作流,根据需要调整策略。

  • 建立治理方案:创建流程,以便在环境改变时定期审查和更新审批策略。