Einfachere Admin-Zugänge mit dem AWS Systems Manager Session Manager

Shell-Zugriffe auf einen öffentlich erreichbaren Server sind unter Administratoren verpönt. Vor allem Sicherheitsbedenken, die Gefahr von Configuration Drifts und die mangelnde Auditierbarkeit sprechen gegen ein solches Vorgehen. Trotzdem gibt es in der Praxis immer wieder Gründe für einen direkten Zugriff, etwa im Notfall oder zur Fehlerfindung, wenn ein zentrales Logging noch nicht existiert. Deshalb betreiben viele Administratoren Bastion Hosts. Diese müssen jedoch gewartet werden und führen daher zu höherem Aufwand für die Zugriffsverwaltung und die zusätzlich nötige Firewall-Konfiguration.

Anders verhält es sich mit dem AWS Systems Manager Session Manager, durch den der Betrieb von Bastion-Hosts sowie offene Ports für eingehende Verbindungen nicht länger nötig sind. Auf dem Server muss lediglich der Systems Manager Agent installiert sein, um eine verschlüsselte Verbindung vom Host über Port 443 zum AWS Systems Manager aufbauen zu können. Dies funktioniert über nicht-öffentliche Verbindungen mittels PrivateLink oder über das öffentliche Internet.

Zum Einsatz des Systems benötigt die Instanz nur eine Identity and Access Management (IAM) Rolle. Sie enthält die Berechtigung zur Nutzung des Session Managers, der sich eigenständig um die weiteren Schritte kümmert. Über die AWS Management Konsole ist der Zugriff auf eine Session möglich.