• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 從 Session Manager 遷移至即時節點存取
啟用即時節點存取後,Systems Manager 不會對 Session Manager 的現有資源進行任何變更。這可確保現有環境不會中斷,使用者可以在您建立和驗證核准政策後繼續啟動工作階段。準備好測試核准政策後,您必須修改現有的 IAM 政策,以完成到即時節點存取的轉換。這包括新增即時節點存取身分所需的許可,以及移除 Session Manager 的 `StartSession` API 操作的許可。建議您使用 AWS 帳戶 和 中的身分和節點子集來測試核准政策 AWS 區域。
如需有關即時節點存取所需許可的詳細資訊,請參閱[使用 Systems Manager just-in-time存取](systems-manager-just-in-time-node-access-setting-up.md)。
如需有關修改和識別 IAM 許可的詳細資訊,請參閱 *IAM User Guide* 中的 [Adding and removing IAM identity permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
以下內容說明從 Session Manager 遷移到即時節點存取的詳細方法。
從 Session Manager 遷移至即時節點存取需要仔細的規劃和測試,以確保順利轉換,而不會中斷您的營運。下列各節說明如何完成此程序。
## 先決條件
開始之前,請確保您已完成下列任務:
+ 設定 Systems Manager 整合式主控台。
+ 已確認您擁有修改帳戶中 IAM 政策的許可。
+ 已識別目前授予 Session Manager 許可的所有 IAM 政策和角色。
+ 已記錄您目前的 Session Manager 組態,包括工作階段偏好設定和記錄設定。
## 評估
完成下列任務,評估您目前的環境並概述所需的核准行為:
1. **清查您的節點** – 識別使用者目前透過 Session Manager 存取的所有節點。
1. **識別使用者存取模式** – 記錄哪些使用者或角色需要存取哪些節點,以及在何種情況下存取。
1. **映射核准工作流程** – 決定誰應該核准不同類型節點的存取請求。
1. **檢閱標記策略** – 確保您的節點都已正確標記,以支援您計劃的核准政策。
1. **稽核現有的 IAM 政策** – 識別包含 Session Manager 許可的所有政策。
## 規劃
### 分階段策略
從 Session Manager 遷移至即時節點存取時,建議使用如下的分階段方法:
1. **階段 1:設定與組態** – 啟用即時節點存取,而不修改現有的 Session Manager 許可。
1. **階段 2:政策開發** – 建立和測試節點的核准政策。
1. **階段 3:試行遷移** – 將一小群非關鍵節點和使用者或角色從 Session Manager 修改為即時節點存取。
1. **階段 4:完全遷移** – 逐漸遷移所有剩餘的節點和使用者或角色。
### 時間表考量
規劃從 Session Manager 遷移至即時節點存取的時間表時,請考慮下列因素:
+ 給予使用者訓練和適應新核准工作流程的時間。
+ 在營運活動較少的期間排程遷移。
+ 包含疑難排解和調整的緩衝時間。
+ 規劃一段平行操作期間,在此期間,兩個系統都可用。
## 實作步驟
### 階段 1:設定與組態
1. 在 Systems Manager 主控台中啟用即時節點存取。如需詳細步驟,請參閱[使用 Systems Manager just-in-time存取](systems-manager-just-in-time-node-access-setting-up.md)。
1. 設定即時節點存取的工作階段偏好設定,以符合您目前的 Session Manager 設定。如需詳細資訊,請參閱[更新即時節點存取工作階段偏好設定](systems-manager-just-in-time-node-access-session-preferences.md)。
1. 設定存取請求的通知偏好設定。如需詳細資訊,請參閱[設定即時存取請求的通知](systems-manager-just-in-time-node-access-notifications.md)。
1. 如果您的 Windows Server 節點使用 RDP 連線,請設定 RDP 錄製。如需詳細資訊,請參閱[錄製 RDP 連線](systems-manager-just-in-time-node-access-rdp-recording.md)。
### 階段 2:政策開發
1. 為即時節點存取管理員和使用者建立 IAM 政策。
1. 根據您的安全要求和使用案例開發核准政策。
1. 在非生產環境中測試您的政策,確保它們如預期般運作。
### 階段 3:試行遷移
1. 選取一小群使用者和非關鍵節點用於試行遷移。
1. 為試行遷移使用者建立包含即時節點存取許可的 IAM 政策。
1. 從試行遷移使用者的 IAM 政策中移除 Session Manager 許可 (`ssm:StartSession`)。
1. 為試行遷移使用者提供新存取請求工作流程的訓練。
1. 監控試行遷移是否有問題並收集意見回饋。
1. 根據試行遷移結果調整政策和程序。
**試行遷移使用者的 IAM 政策修改範例**
具有 Session Manager 許可的原始政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
修改後的即時節點存取政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartAccessRequest",
"ssm:GetAccessToken",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
### 階段 4:完全遷移
制定排程,分批遷移剩餘的使用者和節點。
## 測試方法
在整個遷移過程中,執行下列測試:
+ **政策驗證** – 驗證核准政策是否正確套用至預期的節點和使用者。
+ **存取請求工作流程** – 針對自動核准和手動核准案例,測試從存取請求到工作階段建立的完整工作流程。
+ **通知** – 確認核准者是否透過設定的管道 (電子郵件、Slack、Microsoft Teams) 收到通知。
+ **記錄和監控** – 確認工作階段日誌和存取請求是否已正確擷取和儲存。
## 成功遷移的最佳實務
+ **儘早且經常地溝通** – 告知使用者有關遷移的時間表和即時節點存取的優勢。
+ **從非關鍵系統開始遷移** – 從開發或測試環境開始遷移,然後再遷移生產環境。
+ **記錄一切** – 維護核准政策、IAM 政策變更和組態設定的詳細記錄。
+ **監控和調整** – 持續監控存取請求和核准工作流程,並視需要調整政策。
+ **建立控管** – 建立程序,用於定期檢閱核准政策並在環境變更時更新核准政策。