AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, vedi modifica della AWS Systems ManagerChange Manager disponibilità.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Accesso ai nodi just-in-time utilizzando Systems Manager
Systems Manager migliora la sicurezza dei tuoi nodi supportando l'accesso just-in-time. L'accesso ai nodi just-in-time consente agli utenti di richiedere un accesso temporaneo e limitato nel tempo ai nodi che puoi approvare solo quando l'accesso è veramente necessario. Ciò elimina la necessità di fornire un accesso permanente ai nodi gestiti dalle policy IAM. Inoltre, Systems Manager fornisce la registrazione delle sessioni RDP sui nodi Windows Server per aiutarti a soddisfare i requisiti di conformità, eseguire l'analisi delle cause principali e altro ancora. Per utilizzare l'accesso al nodo just-in-time, è necessario configurare la console unificata Systems Manager.
Con l'accesso ai nodi just-in-time, puoi creare policy IAM granulari per garantire che solo gli utenti autorizzati possano inviare richieste di accesso ai tuoi nodi. Quindi crei policy di approvazione che definiscono le approvazioni necessarie per la connessione ai tuoi nodi. Per l'accesso immediato ai nodi just-in-time, sono disponibili politiche di approvazione automatica e di approvazione manuale. Una policy di approvazione automatica definisce a quali nodi gli utenti possono connettersi automaticamente. Le policy di approvazione manuale definiscono il numero e i livelli di approvazioni manuali da fornire per accedere ai nodi specificati. Inoltre, puoi creare una policy di negazione dell'accesso. Una policy di negazione dell'accesso impedisce esplicitamente l'approvazione automatica delle richieste di accesso ai nodi specificati. Una politica di negazione dell'accesso si applica a tutti gli account di un'organizzazione AWS Organizations. Le policy di approvazione automatica e manuale si applicano solo agli Account AWS e alle Regioni AWS in cui sono state create.
Quando un utente tenta di connettersi a un nodo, gli viene richiesto di inserire un motivo per l'accesso al nodo. Quindi, vengono valutate le tue policy di approvazione. A seconda delle policy, gli utenti o si connettono automaticamente al nodo di destinazione o Systems Manager crea automaticamente una richiesta di approvazione manuale per conto del richiedente. Gli approvatori specificati nella policy di approvazione manuale applicabile al nodo ricevono quindi una notifica della richiesta di accesso e possono approvare o rifiutare la richiesta. Gli approvatori e i richiedenti possono ricevere notifiche via e-mail o tramite Amazon Q Developer nell'integrazione delle applicazioni di chat con Slack o Microsoft Teams. Systems Manager concede l'accesso ai nodi richiesti, solo quando gli approvatori specificati forniscono tutte le approvazioni richieste. Una volta ricevute tutte le approvazioni richieste, l'utente può avviare tutte le sessioni sul nodo necessarie per la durata della finestra di accesso specificata nella policy di approvazione. Systems Manager non termina automaticamente le sessioni di accesso ai nodi just-in-time. Come best practice, è necessario specificare i valori per la durata massima della sessione e le preferenze del timeout della sessione inattiva. Queste preferenze impediscono agli utenti di rimanere connessi ai nodi oltre la finestra di accesso approvata.
Si consiglia di utilizzare una combinazione di policy di approvazione per aiutarti a proteggere i nodi con dati più critici, consentendo al contempo agli utenti di connettersi a nodi meno critici senza alcun intervento. Ad esempio, puoi richiedere approvazioni manuali per le richieste di accesso ai nodi del database e approvare automaticamente le sessioni per i nodi di livello di presentazione non persistenti.
Systems Manager supporta l'accesso ai nodi just-in-time per gli utenti federati con IAM Identity Center o IAM. Quando un utente federato invia una richiesta di accesso, specifica il nodo di destinazione e il motivo per cui è necessario connettersi al nodo. Systems Manager confronta l'identità dell'utente con i parametri definiti nelle policy di approvazione dell'organizzazione. Quando vengono soddisfatte le condizioni della policy di approvazione automatica o gli approvatori forniscono manualmente le approvazioni, il richiedente è in grado di connettersi al nodo di destinazione. Quando un utente tenta di connettersi a un nodo approvato, Systems Manager crea e utilizza un token temporaneo per stabilire la sessione.
Poiché il servizio di Systems Manager gestisce l'autenticazione per le richieste di accesso e la creazione di sessioni, non è necessario utilizzare le policy IAM per gestire l'accesso ai nodi. Utilizzando l'accesso ai nodi just-in-time, Systems Manager aiuta l'organizzazione ad avvicinarsi ai privilegi zero, poiché è sufficiente consentire agli utenti di creare richieste di accesso, invece di consentire loro di avviare sessioni con autorizzazioni persistenti per i nodi. Per aiutarti a soddisfare i requisiti di conformità, Systems Manager mantiene tutte le richieste di accesso per un anno. Systems Manager emette anche eventi EventBridge per l'accesso ai nodi just-in-time, in caso di richieste di accesso non riuscite e aggiornamenti di stato, per le richieste di accesso con approvazioni manuali. Per ulteriori informazioni, consulta Monitoraggio degli eventi di Systems Manager con Amazon EventBridge.
Argomenti
