AWS

Pengurus Sesi AWS dengan Keupayaan SSH dan SCP yang Dipertingkatkan

Pengurus Sesi AWS dengan Keupayaan SSH dan SCP yang Dipertingkatkan
Setahun yang lalu, ciri baru dalam Pengurus Sesi Pengurus Sistem AWS ditemui oleh AWS (Amazon Web Services). Kini pengguna dapat langsung menyambungkan sambungan Secure Shell (SSH) dan Secure Copy (SCP) dari klien tempatan tanpa memerlukan konsol pengurusan AWS. Pengguna telah bergantung pada firewall selama bertahun-tahun untuk mengakses kandungan awan dengan selamat, tetapi pilihan ini mempunyai masalah enkripsi dan overhead pengurusan. Pengurus Sesi menawarkan penyambungan awan yang stabil dan disambungkan dengan konsol tanpa memerlukan titik akses jauh. Salah satu cabaran yang dihadapi oleh pengguna yang menggunakan AWS Session Manager adalah dihindari dengan memasukkan fungsi Secure Copy (SCP). Akses konsol aset awan diberikan di dalam konsol pengurusan AWS, tetapi setakat ini, tidak ada cara mudah untuk memindahkan fail ke sistem jauh. Membuat atau mengekalkan sistem langsung perlu menyalin tambalan atau data lain ke siaran langsung dalam kes tertentu. Kini Pengurus Sesi memberikan ini tanpa memerlukan penyelesaian luaran seperti firewall atau penggunaan S3 perantaraan. Mari lihat prosedur untuk menyediakan SCP dan SSH untuk menggunakannya dengan keupayaan yang dipertingkatkan.

Menyiapkan SCP dan SSH:

Anda perlu melaksanakan langkah konfigurasi berikut untuk melakukan operasi SCP dan SSH dari localhost hingga remote cloud asset:

Memasang Ejen Pengurus Sistem AWS pada contoh EC2:

Apa itu ejen SSM?

Ejen SSM perisian Amazon boleh dipasang dan dikonfigurasi pada contoh EC2, mesin maya, atau pelayan di lokasi. Ejen SSM membenarkan Pengurus Sistem mengemas kini, mengawal dan menyesuaikan alat ini. Ejen menangani permintaan dari perkhidmatan Pengurus Sistem Awan AWS, melaksanakannya seperti yang ditentukan dalam permintaan, dan memindahkan maklumat status dan pelaksanaan kembali ke perkhidmatan Pengurus Peranti menggunakan Perkhidmatan Penghantaran Mesej Amazon. Sekiranya anda mengesan lalu lintas, anda dapat melihat contoh Amazon EC2 anda dan mana-mana pelayan atau Mesin Maya di lokasi dalam sistem hibrid anda, berinteraksi dengan titik akhir mesej ec2.

Memasang ejen SSM:

Ejen SSM dipasang pada beberapa contoh EC2 dan Amazon System Images (AMI) secara lalai seperti Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 dan 20, dan Amazon 2 ECS dioptimumkan AMI. Selain itu, anda boleh memasang SSM secara manual dari mana-mana kawasan AWS.

Untuk memasangnya di Amazon Linux, pertama sekali, muat turun pemasang ejen SSM dan kemudian jalankan menggunakan arahan berikut:

[dilindungi e-mel]: ~ $ sudo yum install -y https: // s3.wilayah.amazonaws.com / amazon-ssm-region / terkini / linux_amd64 / amazon-ssm-agent.rpm

Dalam perintah di atas, "wilayah ” mencerminkan Pengenalpastian Wilayah AWS yang disediakan oleh Pengurus Sistem. Sekiranya anda tidak dapat memuat turunnya dari rantau ini, anda tentukan, gunakan URL global i.e

[dilindungi e-mel]: ~ $ sudo yum install -y https: // s3.amazonaws.com / ec2-muat turun-windows / SSMAgent / terkini / linux_amd64 / amazon-ssm-agent.rpm

Selepas pemasangan, sahkan sama ada ejen berjalan atau tidak dengan arahan berikut:

[dilindungi e-mel]: ~ $ sudo status amazon-ssm-agen

Sekiranya arahan di atas menunjukkan bahawa ejen amazon-ssm dihentikan, maka cuba perintah berikut:

[dilindungi e-mel]: ~ $ sudo mulakan amazon-ssm-agent
[dilindungi e-mel]: ~ $ sudo status amazon-ssm-agen

Membuat Profil contoh IAM:

Secara lalai, Pengurus Sistem AWS tidak mempunyai kebenaran untuk melakukan tindakan pada kejadian anda. Anda mesti membenarkan akses dengan menggunakan Profil Segera Pengurusan Identiti dan Akses AWS (IAM). Semasa pelancaran, kontena memindahkan data kedudukan IAM ke instance EC2 Amazon disebut profil instance. Syarat ini meliputi kelulusan untuk semua kemampuan Pengurus Sistem AWS. Sekiranya anda menggunakan kemampuan Pengurus Sistem, seperti perintah Jalankan, profil contoh dengan kebenaran asas yang diperlukan untuk Pengurus Sesi sudah dapat dilampirkan ke contoh anda. Sekiranya keadaan anda sudah disambungkan ke profil contoh yang merangkumi AmazonSSMManagedInstanceCore AWS Managed Policy, kebenaran Pengurus Sesi yang sesuai sudah dikeluarkan. Namun, dalam keadaan tertentu, izin mungkin harus diubah untuk menambahkan izin pengurus sesi ke profil instance. Pertama sekali, buka konsol IAM dengan log masuk ke konsol pengurusan AWS. Sekarang klik pada "PerananPilihan di bar navigasi. Di sini pilih nama kedudukan yang akan dimasukkan dalam polisi. Di tab Kebenaran, pilih untuk Menambah dasar sebaris yang terletak di bahagian bawah halaman. Klik pada tab JSON dan ganti kandungan yang sudah dilengkapkan dengan yang berikut:


"Versi": "2012-10-17",
"Penyataan": [

"Kesan": "Benarkan",
"Tindakan": [
"ssmmessages: CreateControlChannel",
"ssmmessages: CreateDataChannel",
"ssmmessages: OpenControlChannel",
"ssmmessages: OpenDataChannel"
],
"Sumber": "*"
,

"Kesan": "Benarkan",
"Tindakan": [
"s3: GetEncryptionConfiguration"
],
"Sumber": "*"
,

"Kesan": "Benarkan",
"Tindakan": [
"kms: Dekripsi"
],
"Sumber": "nama-kunci"

]

Setelah mengganti kandungan, klik pada Dasar Tinjauan. Di halaman ini, masukkan nama polisi sebaris seperti SessionManagerPermissions di bawah pilihan Nama. Setelah melakukan ini, pilih pilihan Buat Dasar.

Mengemas kini Antara Muka Perintah:

Untuk memuat turun versi 2 AWS CLI dari baris arahan Linux, muat turun terlebih dahulu fail pemasangan menggunakan perintah curl:

[dilindungi e-mel]: ~ $ curl "https: // awscli.amazonaws.com / awscli-exe-linux-x86_64.zip "-o" awscliv2.zip "

Buka zip pemasang menggunakan arahan ini:

[dilindungi e-mel]: ~ $ unzip awscliv2.zip

Untuk memastikan bahawa peningkatan diaktifkan di tempat yang sama dengan AWS CLI versi 2 yang sudah dipasang, cari symlink yang ada, gunakan perintah mana, dan direktori pemasangan menggunakan perintah ls seperti ini:

[dilindungi e-mel]: ~ $ yang aws
[dilindungi e-mel]: ~ $ ls -l / usr / local / bin / aws

Bina arahan pemasangan menggunakan maklumat pautan dan pautan ini dan kemudian sahkan pemasangan menggunakan arahan di bawah:

[dilindungi e-mel]: ~ $ sudo ./ aws / install --bin-dir / usr / local / bin --install-dir / usr / local / aws-cli --kemas kini
[dilindungi e-mel]: ~ $ aws --versi

Memasang Plugin Pengurus Sesi:

Pasang pemalam Session Manager pada komputer tempatan anda jika anda ingin menggunakan AWS CLI untuk memulakan dan mengakhiri sesi. Untuk memasang pemalam ini di Linux, pertama, muat turun pakej RPM dan kemudian pasangkannya menggunakan urutan arahan berikut:

[dilindungi e-mel]: ~ $ curl "https: // s3.amazonaws.com / session-manager-muat turun / plugin / terkini / linux_64bit / session-manager-plugin.rpm "-o" sesi-pengurus-pemalam.rpm "
[dilindungi e-mel]: ~ $ sudo yum install -y session-manager-plugin. rpm

Setelah memasang pakej, anda boleh mengesahkan sama ada plugin berjaya dipasang atau tidak menggunakan arahan berikut:

[dilindungi e-mel]: ~ $-sesi-pengurus-pemalam

ATAU

[dilindungi e-mel]: ~ sesi aws ssm $ aws --target id-of-an-instance-you-have-izin-to-access

Mengemas kini fail konfigurasi SSH host tempatan:

Tukar fail konfigurasi SSH untuk membolehkan arahan proksi memulakan sesi Pengurus Sesi dan meneruskan semua data melalui sambungan. Tambahkan kod ini ke fail konfigurasi SSH yang diatur di “~ /.ssh / konfigurasi ”:

Menggunakan SCP dan SSH:

Sekarang anda akan bersedia untuk menghantar sambungan SSH dan SCP dengan sifat awan anda secara langsung dari PC berdekatan anda setelah langkah-langkah yang disebutkan sebelumnya selesai.

Dapatkan id-contoh aset awan. Ini dapat dicapai melalui konsol pengurusan AWS atau arahan berikut:

[dilindungi e-mel]: ~ $ aws ec2 menggambarkan-contoh

SSH dapat dijalankan seperti biasa dengan menggunakan instance-id sebagai nama host, dan baris perintah SSH beralih seperti ini:

Kini fail dapat dipindahkan dengan mudah ke mesin jauh tanpa memerlukan tahap pertengahan, menggunakan SCP.

Kesimpulan:

Pengguna telah bergantung pada firewall selama bertahun-tahun untuk mengakses kandungan awan dengan selamat, tetapi pilihan ini mempunyai masalah enkripsi dan overhead pengurusan. Walaupun infrastruktur tanpa perubahan adalah objektif yang ideal untuk pelbagai sebab, dalam kes tertentu, membuat atau mengekalkan sistem langsung perlu menyalin tambalan atau data lain ke siaran langsung, dan banyak yang akan berakhir dengan keperluan untuk atau menyesuaikan sistem yang berjalan secara langsung. Pengurus Sesi Pengurus Sistem AWS membenarkan keupayaan ini tanpa pintu masuk firewall tambahan dan memerlukan penyelesaian luaran seperti penggunaan S3 perantaraan.

Tutorial OpenTTD
OpenTTD adalah salah satu permainan simulasi perniagaan yang paling popular di luar sana. Dalam permainan ini, anda perlu membuat perniagaan pengangku...
SuperTuxKart untuk Linux
SuperTuxKart adalah tajuk hebat yang direka untuk membawa anda pengalaman Mario Kart secara percuma pada sistem Linux anda. Ia cukup mencabar dan meny...
Tutorial Battle for Wesnoth
The Battle for Wesnoth adalah salah satu permainan strategi sumber terbuka paling popular yang boleh anda mainkan pada masa ini. Bukan hanya permainan...