WKLD.06 – Verwenden Sie Systems Manager anstelle von SSH oder RDP

Öffentliche Subnetze, deren Standardroute auf ein Internet-Gateway verweist, stellen naturgemäß ein größeres Sicherheitsrisiko dar als private Subnetze, die keine Verbindung zum Internet haben. Sie können EC2-Instances in privaten Subnetzen ausführen und die Session Manager-Funktion von AWS Systems Manager verwenden, um remote auf die Instances zuzugreifen, entweder über AWS Command Line Interface (AWS CLI) oder AWS Management Console. Sie können dann die AWS CLI oder Konsole verwenden, um eine Sitzung zu starten, die über einen sicheren Tunnel eine Verbindung mit der Instance herstellt, sodass keine zusätzlichen Anmeldeinformationen für Secure Shell (SSH) oder Windows Remote Desktop Protocol (RDP) verwaltet werden müssen.

Verwenden Sie Session Manager, anstatt EC2-Instances in öffentlichen Subnetzen auszuführen, Jumpboxen auszuführen oder Bastion-Hosts auszuführen.

Session Manager einrichten

1. Stellen Sie sicher, dass die EC2-Instance das Amazon Machine Image (AMI) des neuesten Betriebssystems, wie Amazon Linux 2 oder Ubuntu verwendet. Der AWS Systems Manager-Agent (SSM Agent) ist auf dem AMI vorinstalliert.

2. Stellen Sie sicher, dass die Instance entweder über ein Internet-Gateway oder über VPC-Endpunkte mit diesen Adressen verbunden ist (ersetzen Sie <region> mit der entsprechenden AWS-Region):

   1. Ec2messages.<region>.amazonaws.com

   2. ssm.<region>.amazonaws.com

   3. ssmmessages.<region>.amazonaws.com

3. Hängen Sie die AWS-verwaltete Richtlinie AmazonSSMManagedInstanceCore an die IAM-Rolle an, mit der Ihre Instances verknüpft sind.

Weitere Informationen finden Sie unter Session Manager einrichten(Systems-Manager-Dokumentation).

Eine Sitzung starten

• Starten Sie eine Sitzung (Systems-Manager-Dokumentation).