EC2 Instance Connect 的先决条件
以下是安装和使用 EC2 Instance Connect 的先决条件:
安装 EC2 Instance Connect
要使用 EC2 Instance Connect 连接到实例,该实例必须安装 EC2 Instance Connect。您可以使用预装 EC2 Instance Connect 的 AMI 启动实例,也可以在使用支持的 AMI 启动的实例上安装 EC2 Instance Connect。有关更多信息,请参阅 在您的 EC2 实例上安装 EC2 Instance Connect。
保障网络连接质量
可以将实例配置为允许用户通过互联网或通过实例的私有 IP 地址连接到您的实例。根据您的用户使用 EC2 Instance Connect 连接到实例的方式,您必须配置以下网络访问:
-
如果您的用户通过互联网连接到您的实例,则您的实例必须具有公有 IP 地址,并位于公有子网中。有关更多信息,请参阅 Amazon VPC 用户指南中的启用 Internet 访问。
-
如果您的用户要通过实例的私有 IP 地址连接到您的实例,则必须建立与您的 VPC 的私有网络连接,例如使用 AWS Direct Connect、AWS Site-to-Site VPN 或 VPC 对等连接,以便用户能够访问实例的私有 IP 地址。
如果您的实例没有公有 IPv4 地址,并且您不希望按照上述方式配置网络访问权限,则可以考虑将 EC2 Instance Connect Endpoint 作为 EC2 Instance Connect 的替代方案。借助 EC2 Instance Connect Endpoint,您可以通过 SSH 或 RDP 连接到实例,即使实例没有公有 IPv4 地址。有关更多信息,请参阅 使用 Amazon EC2 控制台连接到您的 Linux 实例。
允许入站 SSH 流量
确保与您实例关联的安全组允许来自您 IP 地址端口 22 或您网络上的传入 SSH 流量。默认情况下,VPC 的默认安全组不允许传入 SSH 流量。默认情况下,启动实例向导创建的安全组允许传入的 SSH 流量。有关更多信息,请参阅 用于从您的计算机连接到实例的规则。
EC2 Instance Connect 使用特定的 IP 地址范围通过基于浏览器的 SSH 连接到您的实例(当用户使用 Amazon EC2 控制台连接到实例时)。如果您的用户使用 Amazon EC2 控制台连接到实例,请确保与您的实例关联的安全组允许来自 EC2_INSTANCE_CONNECT 的 IP 地址范围的入站 SSH 流量。要识别地址范围,请下载由 AWS 提供的 JSON 文件并筛选 EC2 Instance Connect 的子网,使用 EC2_INSTANCE_CONNECT 作为服务值。这些 IP 地址范围因 AWS 区域 而异。有关下载 JSON 文件和按服务进行筛选的更多信息,请参阅 Amazon VPC 用户指南中的 AWS IP 地址范围。
授予权限
您必须向使用 EC2 Instance Connect 连接到实例的每个 IAM 用户授予所需的权限。有关更多信息,请参阅 为 EC2 Instance Connect 授予 IAM 权限。
在本地计算机上安装 SSH 客户端
如果您的用户使用 SSH 进行连接,他们必须确保其本地计算机具有 SSH 客户端。
用户的本地计算机可能已默认安装 SSH 客户端。他们可以通过在命令行键入 ssh 来检查 SSH 客户端。如果他们的本地计算机无法识别该命令,可安装 SSH 客户端。有关在 Linux 或 macOS X 上安装 SSH 客户端的信息,请参阅 http://www.openssh.com
如果用户仅使用 Amazon EC2 控制台连接到实例,则无需在本地计算机上安装 SSH 客户端。
满足用户名要求
使用 EC2 Instance Connect 连接到实例时,用户名必须满足以下要求:
-
第一个字符:必须是字母(
A-Z、a-z)、数字(0-9)或下划线(_) -
后续字符:可以是字母(
A-Z、a-z)、数字 (0-9) 或以下字符:@ . _ - -
最小长度是 1 个字符
-
最大长度为 31 个字符
