Amazon发布新的会话管理器

Amazon发布了新的会话管理器。这个新的会话管理器位于AWS系统管理器中，将提供一种新的EC2实例shell级访问方式。IT系统管理员现在可以使用一种新的基于浏览器的交互式shell和命令行接口（CLI）管理他们的Windows和Linux实例。

之前，Amazon就通过AWS系统管理器Run Command提供了EC2实例shell级访问的安全选项——可以创建命令文档并在希望的任何EC2实例集上运行，包括Linux和Windows。此外，这些命令异步运行，可以获取输出并进行审查。现在，借助AWS系统管理器中新增的会话管理器，IT管理员可以使用一个基于浏览器的UI和CLI来完成这项工作。

根据发布公告，新增的基于浏览器的会话管理器将提供如下功能：

• 安全访问——不需要在实例上手动设置用户账号、密码或SSH密钥，IT管理员不必打开任何入站端口。
• 访问控制——IT管理员可以使用IAM策略和用户来控制实例访问，不需要分发SSH密钥。
• 可审计——命令和响应都会记入Amazon CloudWatch和S3桶。
• 交互性——命令在一个完全交互式的bash（Linux）或PowerShell（Windows）环境中同步执行。
• 编程和脚本——除了控制台访问，IT管理员还可以从命令行（aws ssm……）或者通过Session Manager API初始化会话。

使用新增的会话管理器访问EC2实例需要实例上有一个SSM代理，代理版本为2.3.12或更高。而且，代理必须能够连接会话管理器的公共端点，或者在不能访问互联网或没有公共IP地址时通过Private 连接。为了安全起见，每个实例上的实例角色必须引用一项策略才能访问恰当的服务。有了这些先决条件之后，IT管理员就可以指定实例会话参数了——例如，把会话输出写入一个S3桶，把输出发送到CloudWatch Logs。之后，IT管理员就可以启动实例的一个会话了。

图片来源：https://aws.amazon.com/blogs/aws/new-session-manager/

一旦会话建立，IT管理员就可以在会话中发送命令，并稍后在CloudWatch中检查日志流（每个流代表一个会话）。

Amazon发布会话管理器引起的反向似乎还不错。在一个reddit.com话题中，人们反应积极，对于有关会话管理器的Twitter消息也是如此。

会话管理器在AWS的所有区域都可以使用（包括AWS GovCloud），而且不会产生额外的费用。此外，Amazon正在计划其他的会话管理器特性，如SSH客户端、访问本地实例。要了解有关会话管理器的更多细节，请查阅AWS文档。

查看英文原文：Amazon Releases a New Session Manager in AWS Systems Manager