本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用会话管理器连接到 Amazon EC2 实例
由 Jason Cornick (AWS)、Abhishek Bastikoppa () 和 Yaniv Ron () AWS 创作 AWS
摘要
此模式描述了如何使用会话管理器(Syst AWS ems Manager 的一项功能EC2)连接到亚马逊弹性计算云 (Amazon) 实例。使用这种模式,您可以通过 Web 浏览器在EC2实例上运行 bash 命令。会话管理器不需要您打开入站端口,也不需要公有 IP 地址作为EC2实例。此外,它还无需使用不同的 Secure Shell (SSH) 密钥维护堡垒主机。您可以使用 Ident AWS ity and Access Management (IAM) 策略来控制对会话管理器的访问权限,并配置日志记录,记录重要信息,例如实例访问和操作。
在此模式中,您可以配置IAM角色并将其与使用 Amazon 系统映像预配置的 Linux EC2 实例相关联 (AMI)。然后,您可以在 Amazon CloudWatch Logs 中配置日志记录,并使用会话管理器启动与该实例的会话。
尽管此模式连接到 Amazon Web Services (AWS) 云中的 Linux EC2 实例,但您可以使用此方法使用会话管理器与其他服务器(例如本地服务器或其他虚拟机)进行连接。
先决条件和限制
先决条件
一个活动的 AWS 账户。
访问托管节点的权限。有关说明,请参阅控制用户会话对托管节点的访问权限。
VPC
ssm
、、ec2
ec2messages
ssmmessages
、和的端点s3
。有关说明,请参阅 Systems Manager 文档中的创建VPC端点。
架构
目标技术堆栈
会话管理器
Amazon EC2
CloudWatch 日志
目标架构
用户通过IAM验证其身份和凭证。
用户通过SSH会话管理器启动会话并向EC2实例发送API呼叫。
安装在EC2实例上的 S AWS ystems Manager SSM 代理连接到会话管理器并运行命令。
出于审计和监视目的,会话管理器将日志数据发送到 CloudWatch 日志。或者,您可以将日志数据发送到 Amazon Simple Storage Service (Amazon S3) 存储桶。有关更多信息,请参阅使用 Amazon S3 记录会话数据(Systems Manager 文档)。
工具
AWS 服务
Amazon CloudWatch Lo gs 可帮助您集中管理所有系统、应用程序和AWS服务的日志,以便您可以对其进行监控并安全地存档。
亚马逊弹性计算云 (AmazonEC2) 在AWS云中提供可扩展的计算容量。您可以根据需要启动任意数量的虚拟服务器,并快速扩展或缩减它们。此模式使用 Amazon 系统映像 (AMI) 来配置 Linux EC2 实例。
AWSIdentity and Access Management (IAM) 通过控制谁经过身份验证并有权使用AWS资源,从而帮助您安全地管理对资源的访问权限。
AWSSystems Manager 可帮助您管理在AWS云中运行的应用程序和基础架构。它简化了应用程序和资源管理,缩短了检测和解决操作问题的时间,并帮助您大规模安全地管理您的 AWS 资源。此模式使用 Session Manager,这是 Systems Manager 的一项功能。
最佳实践
我们建议您阅读有关 Well-Architecte AWS d Framework 安全支柱的更多信息,探索加密选项,并应用设置会话管理器(Systems Manager 文档)中的安全建议。
操作说明
任务 | 描述 | 所需技能 |
---|---|---|
创建 IAM角色。 | 为SSM代理创建IAM角色。按照为AWS服务创建角色(IAM文档)中的说明进行操作,并注意以下几点:
| AWS系统管理员 |
创建实EC2例。 |
| AWS系统管理员 |
设置日志记录。 |
| AWS系统管理员 |
任务 | 描述 | 所需技能 |
---|---|---|
Connect 连接到EC2实例。 | AWS系统管理员 | |
验证日志记录。 |
| AWS系统管理员 |
故障排除
事务 | 解决方案 |
---|---|
IAM 问题 | 如需支持,请参阅故障排除(IAM文档)。 |
相关资源
完成 Session Manager 先决条件(Systems Manager 文档)
使用 Amazon 设计和实施日志记录和监控 CloudWatch(AWS规范性指南)