WKLD.06 – 使用 Systems Manager 而不是 SSH 或 RDP

具有指向網際網路閘道的預設路由的公有子網路本質上比沒有通往網際網路的路由的私有子網路具有更大的安全風險。您可以在私有子網路中執行 EC2 執行個體，並使用 AWS Systems Manager 的 Session Manager 功能透過 AWS Command Line Interface (AWS CLI) 或 AWS Management Console 遠端存取執行個體。然後，您可以使用 AWS CLI 或主控台啟動透過安全通道連接到執行個體的工作階段，從而無需管理用於 Secure Shell (SSH) 或 Windows 遠端桌面協定 (RDP) 的其他憑證。

使用 Session Manager 而不是在公有子網路中執行 EC2 執行個體、執行跳接方塊或執行堡壘主機。

設定 Session Manager

1. 確保 EC2 執行個體使用最新的作業系統 Amazon Machine Image (AMI)，例如 Amazon Linux 2 或 Ubuntu。AWS Systems Manager Agent (SSM Agent) 已預先安裝在 AMI 上。

2. 確保執行個體透過網際網路閘道或 VPC 端點連接至這些地址 (將 <region> 取代為適當的 AWS 區域)：

   1. Ec2messages.<region>.amazonaws.com

   2. ssm.<region>.amazonaws.com

   3. ssmmessages.<region>.amazonaws.com

3. 將 AWS 受管政策 AmazonSSMManagedInstanceCore 附接至與執行個體關聯的 IAM 角色。

如需詳細資訊，請參閱設定 Session Manager (Systems Manager 文件)。

啟動工作階段

• 啟動工作階段 (Systems Manager 文件)。