Utilizando o Session Manager - AWS System Manager

O que o System Manager?

O System Manager, tambm conhecido como SSM, um servio que permite acompanhar e gerenciar sua infraestrutura. Sendo possvel automatizar tarefas, manter a conformidade e segurana de instncias EC2 e tambm servidores locais.

Ele composto por cinco (05) categorias: Operations Management, Application Management, Change Management, Node Management, e Shared Resources.

O que o Session Manager?

O Session Manager permite o gerenciamento de instncias EC2 e/ou mquinas locais, atravs de um shell baseado em browser e tambm atravs do AWS CLI.

Principais benefcios na utilizao:

• Controle quem pode utilizar o Session Manager e quais instncias podem eles podem acessar, de forma centralizada atravs do IAM.

• No necessrio ter portas SSH abertas para realizar um acesso remoto, como isso tambm no necessrio ficar gerenciando chaves SSH e certificados.

• Logging e auditora da sesso, fornecendo o registro de conexes, comandos executados na instncia e notificaes de incio/trmino de uma sesso.

Configurando o System Manager, para o Session Manager

Por padro o System Manager no tem permisso para executar aes nas instncias. Para isso necessrio utilizar um IAM Profile para conceder acesso, ento algumas polticas podem ser necessrias:

• AmazonSSMManagedInstanceCore: Essa poltica permite a utilizao principal do servio do System Manager. Sendo de uso obrigatrio.

• AmazonSSMDirectoryServiceAccess: Necessrio quando voc deseja associar a instncia a um Directory Service.

• CloudWatchAgentServerPolicy: Necessrio quando voc pretende utilizar recursos do Amazon EventBridge ou CloudWatch Logs na instncia.

Criei um cdigo Terraform para servir de exemplo de criao de uma politica, role e IAM Profile, confere l no meu Github o repositrio aws-ssm-policy

A poltica deve ser associada a role utilizada pelas instncias. Se a instncia no tenha nenhuma role, possvel associar a role que criamos com o cdigo Terraform anterior.

Caso deseje utilizar o KMS para criptografar a conexo ou exportar logs para o S3 , por exemplo, ser necessrio permisses adicionais, consulte a documentao para maiores detalhes:

possvel tambm restringir a utilizao por usurios/grupos, para isso verifique a documentao

Utilizando o Session Manager

Via Console EC2

1. Selecione a instncia e escolha Conectar .

2. Para Mtodo de conexo, escolha Gerenciador de sesso.

3. Escolha conectar .

Via AWS CLI

1. Para iniciar uma sesso usando o AWS CLI, execute o seguinte comando.

aws ssm start-session --target instance-id

O AWS CLI deve estar instalado e configurado no computador de origem.

Outros mtodos podem ser consultados na documentao.

Sobre o SSM agent

O SSM agent deve estar instalado em cada instncia para que seja possvel o gerenciamento por parte do System Manager.

Por padro o agente vem pr-instalado nas seguintes AMIs fornecidas pela AWS:

• Amazon Linux 1 e 2
• Amazon Linux 2 ECS-Optimized
• Ubuntu Server 16.04, 18.04 e 20.04
• Windows Server 2008-2019
• macOS 10.14.x e 10.15.x

Mais detalhes sobre o servio, consulta de logs do agente e atualizaes, acesse a pgina da documentao.