使用 Systems Manager 进行即时节点访问 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Systems Manager Change Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 Amazon Systems Manager Change Manager 可用性变更

使用 Systems Manager 进行即时节点访问

Systems Manager 通过支持即时访问来帮助您提高节点的安全性。即时节点访问允许用户请求对节点的临时、有时限的访问,只有在真正需要访问时才可批准访问。这样就无需为由 IAM 策略管理的节点提供长期访问权限。此外,Systems Manager 还为 Windows Server 节点的 RDP 会话提供会话录制,以帮助您满足合规性要求、执行根本原因分析等。要使用即时节点访问,必须设置统一的 Systems Manager 控制台。

通过即时节点访问,您可以创建精细的 IAM 策略,确保只有您许可的用户才能向您的节点提交访问请求。然后,您可以创建审批策略,这些策略定义了连接到您的节点所需的审批。对于即时节点访问,有自动审批策略手动审批策略。自动审批策略定义了用户可以自动连接到哪些节点。手动审批策略定义了访问您指定的节点时必须提供的手动审批的数量和级别。此外,您还可以创建拒绝访问策略。拒绝访问策略明确禁止对您指定节点的访问请求的自动审批。拒绝访问策略适用于 Amazon Organizations 组织中的所有账户。自动审批和手动审批策略仅适用于其创建所在的 Amazon Web Services 账户和 Amazon Web Services 区域。

当用户尝试连接到某个节点时,系统会提示他们输入访问该节点的原因。然后您的审批策略会经过评估。根据您的策略,用户要么自动连接到目标节点,要么 Systems Manager 自动代表请求者创建手动审批请求。然后,在适用于该节点的手动审批策略中指定的审批者会收到访问请求的通知,他们可以批准或拒绝该请求。审批者和请求者可以通过电子邮件收到通知,也可以通过与 Slack 或 Microsoft Teams 集成的聊天应用程序中的 Amazon Q 开发者版收到通知。只有当指定的审批者提供全部所需批准时,Systems Manager 才会授予对所请求节点的访问权限。收到全部所需批准后,用户可以在审批策略中指定的访问时段期间根据需要启动任意数量的节点会话。Systems Manager 不会自动终止即时节点访问会话。作为最佳实践,请指定最长会话持续时间空闲会话超时会话首选项的值。这些首选项可防止用户在批准的访问时段之外仍保持与节点的连接。

我们建议使用审批策略组合来帮助您保护包含更多关键数据的节点,同时允许用户无需干预即可连接到不太重要的节点。例如,您可以要求手动审批对数据库节点的访问请求,以及自动审批非持久性表示层节点的会话。

Systems Manager 支持与 IAM Identity Center 或 IAM 联合的用户进行即时节点访问。当联合用户提交访问请求时,他们会指定目标节点以及需要连接到该节点的原因。Systems Manager 会将用户的身份与组织的审批策略中定义的参数进行比较。当满足自动审批策略条件或审批者手动提供批准时,请求者便可连接到目标节点。用户尝试连接到已批准的节点时,Systems Manager 会创建并使用临时令牌来建立会话。

由于 Systems Manager 服务负责处理访问请求的身份验证和建立会话,您不必使用 IAM 策略来管理对节点的访问。通过使用即时节点访问,Systems Manager 可以帮助组织接近零常设权限,因为您只需要允许用户创建访问请求,而不必允许他们以对节点的永久权限启动会话。为帮助您满足合规性要求,Systems Manager 会将所有访问请求保留 1 年。Systems Manager 还会针对以下情况发出 EventBridge 事件:失败访问请求的即时节点访问,以及手动审批的访问请求状态更新。有关更多信息,请参阅使用 Amazon EventBridge 监控 Systems Manager 事件

主题