• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 从Session Manager移至即时节点访问
启用即时节点访问后,会话管理器不会对Session Manager的现有资源进行任何更改。这样可确保您的现有环境不会中断,并且在您创建和验证审批策略的同时,用户可以继续启动会话。您准备好测试审批策略后,必须修改现有 IAM 策略以完成向即时节点访问的过渡。这包括向身份添加即时节点访问所需的权限,并移除对Session Manager `StartSession` API 操作的权限。我们建议使用 AWS 账户和 AWS 区域中的身份和节点子集来测试审批策略。
有关即时节点访问所需权限的更多信息,请参阅[使用 Systems Manager 设置即时访问](systems-manager-just-in-time-node-access-setting-up.md)。
有关修改和身份的 IAM 权限的更多信息,请参阅《IAM 用户指南》**中的[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
下面介绍一种详细的方法,说明如何从Session Manager移至即时节点访问。
从会话管理器移至即时节点访问需要仔细的规划和测试,以确保在不中断操作的情况下平稳过渡。以下各部分将介绍如何完成此过程。
## 先决条件
在开始之前,请确保您已完成以下任务:
+ 设置 Systems Manager 统一控制台。
+ 已确认您有权修改账户中的 IAM 策略。
+ 已确定当前授予Session Manager权限的所有 IAM 策略和角色。
+ 记录了当前的Session Manager配置,包括会话首选项和日志记录设置。
## 评测
完成以下任务,评测当前的环境并概述所需的批准行为:
1. **清点您的节点**:确定用户当前通过Session Manager访问的所有节点。
1. **确定用户访问模式**:记录哪些用户或角色在什么情况下需要访问哪些节点。
1. **映射批准工作流**:确定谁应批准不同类型节点的访问请求。
1. **审查标记策略**:确保节点已正确标记,以支持计划的审批策略。
1. **审核现有 IAM 策略**:确定所有包含Session Manager权限的策略。
## 规划
### 分阶段策略
从Session Manager移至即时节点访问时,建议使用如下所示的分阶段方法:
1. **第 1 阶段:设置和配置** – 启用即时节点访问,无需修改现有Session Manager权限。
1. **第 2 阶段:策略制定** – 为节点创建和测试审批策略。
1. **第 3 阶段:试点迁移** – 将一小部分非关键节点和用户或角色从Session Manager修改为即时节点访问。
1. **第 4 阶段:完全迁移** – 逐步迁移所有剩余的节点和用户或角色。
### 时间线注意事项
在创建时间线以从Session Manager移至即时节点访问时,请考虑以下因素:
+ 留出时间以便根据新的审批工作流进行用户培训和调整。
+ 计划在操作活动较少的时段进行的迁移。
+ 将故障排除和调整的缓冲时间包含在内。
+ 在两个系统都可用的情况下,计划一段并行操作的时期。
## 实现步骤
### 第 1 阶段:设置和配置
1. 在 Systems Manager 控制台中启用即时节点访问。有关详细步骤,请参阅[使用 Systems Manager 设置即时访问](systems-manager-just-in-time-node-access-setting-up.md)。
1. 为即时节点访问配置会话首选项,使其与您当前的Session Manager设置相匹配。有关更多信息,请参阅 [更新即时节点访问会话首选项](systems-manager-just-in-time-node-access-session-preferences.md)。
1. 设置访问请求的通知首选项。有关更多信息,请参阅 [为即时访问请求配置通知](systems-manager-just-in-time-node-access-notifications.md)。
1. 如果您使用与 Windows Server 节点的 RDP 连接,请配置 RDP 录制。有关更多信息,请参阅 [录制 RDP 连接](systems-manager-just-in-time-node-access-rdp-recording.md)。
### 第 2 阶段:策略制定
1. 为即时节点访问管理员和用户创建 IAM 策略。
1. 根据您的安全要求和应用场景制定审批策略。
1. 请在非生产环境中测试策略,确保其按预期运行。
### 第 3 阶段:试点迁移
1. 为试点选择一小群用户和非关键节点。
1. 为试点用户创建包含即时节点访问权限的新 IAM 策略。
1. 从试点用户的 IAM 策略中删除Session Manager权限 (`ssm:StartSession`)。
1. 对试点用户进行有关新的访问请求工作流的培训。
1. 监控试点是否存在问题并收集反馈。
1. 根据试点结果调整策略和程序。
**试点用户的 IAM 策略修改示例**
具有Session Manager权限的原始策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
修改后的即时节点访问策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartAccessRequest",
"ssm:GetAccessToken",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
### 第 4 阶段:完全迁移
制定分批迁移剩余用户和节点的计划。
## 测试方法
在整个迁移过程中,请进行以下测试:
+ **策略验证**:验证审批策略是否正确适用于目标节点和用户。
+ **访问请求工作流**:针对自动审批和手动审批方案,测试从访问请求到会话建立的完整工作流。
+ **通知**:验证审批者是否通过配置的渠道(电子邮件、Slack、Microsoft Teams)接收通知。
+ **日志记录和监控**:验证是否正确捕获和存储了会话日志和访问请求。
## 有关成功迁移的最佳实践
+ **尽早并经常沟通**:告知用户迁移时间线和即时节点访问的优势。
+ **从非关键系统开始**:在进入生产环境之前,从开发或测试环境开始迁移。
+ **记录所有内容**:保留您的审批策略、IAM 策略更改和配置设置的详细记录。
+ **监控和调整**:持续监控访问请求和批准工作流,根据需要调整策略。
+ **建立治理方案**:创建流程,以便在环境改变时定期审查和更新审批策略。