AWS

AWS Session Manager med forbedret SSH- og SCP-kapacitet

AWS Session Manager med forbedret SSH- og SCP-kapacitet
For et år siden blev nye funktioner i AWS Systems Manager Session Manager afdækket af AWS (Amazon Web Services). Nu kan brugere direkte tunnel Secure Shell (SSH) og Secure Copy (SCP) forbindelser fra lokale klienter uden at have brug for en AWS-administrationskonsol. Brugere har stole på firewalls i årevis for at få adgang til skyindhold sikkert, men disse muligheder har problemer med kryptering og styring. Session Manager tilbyder cloududbydere stabil, revideret konsolforbindelse uden behov for fjernadgangspunkter. En af udfordringerne for brugere, der vedtager AWS Session Manager, undgås ved at inkorporere SCP-funktionalitet (Secure Copy). Adgang til Cloud-aktivkonsol blev givet inde i AWS-styringskonsollen, men indtil videre var der ingen praktisk måde at overføre filer til eksterne systemer. Oprettelse eller vedligeholdelse af et live system kræver kopiering af programrettelser eller andre data til liveinstanserne i visse tilfælde. Nu tildeler Session Manager dette uden behov for eksterne løsninger som firewalls eller mellemliggende S3-brug. Lad os se på proceduren for at konfigurere SCP og SSH til at bruge dem med forbedrede muligheder.

Opsætning af SCP og SSH:

Du bliver nødt til at udføre følgende konfigurationstrin for at udføre SCP- og SSH-operationer fra localhost til eksternt cloud-aktiv:

Installation af AWS Systems Manager Agent på EC2-forekomster:

Hvad er en SSM-agent?

Amazons software SSM Agent kan installeres og konfigureres på en EC2-forekomst, virtuel maskine eller on-site server. SSM Agent giver System Manager mulighed for at opdatere, kontrollere og tilpasse disse værktøjer. Agenten håndterer anmodninger fra AWS Cloud System Manager-tjenesten, udfører dem som defineret i anmodningen og overfører status og udførelsesoplysninger tilbage til Device Manager-tjenesten ved hjælp af Amazon Message Delivery Service. Hvis du sporer trafikken, kan du se dine Amazon EC2-forekomster og eventuelle on-site servere eller virtuelle maskiner i dit hybridsystem, der interagerer med ec2-meddelelsesendepunkter.

Installation af SSM-agent:

SSM Agent er installeret på nogle forekomster af EC2 og Amazon System Images (AMI'er) som Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 og 20 og Amazon 2 ECS-optimerede AMI'er. Derudover kan du installere SSM manuelt fra enhver AWS-region.

For at installere det på Amazon Linux skal du først downloade SSM-agentinstallationsprogrammet og derefter køre det ved hjælp af følgende kommando:

[e-mail-beskyttet]: ~ $ sudo yum installation -y https: // s3.område.amazonaws.com / amazon-ssm-region / nyeste / linux_amd64 / amazon-ssm-agent.omdrejningstal

I ovenstående kommando, “område" afspejler AWS-regionidentifikator leveret af systemadministratoren. Hvis du ikke kan downloade det fra regionen, har du angivet, brug den globale URL i.e

[e-mail-beskyttet]: ~ $ sudo yum installation -y https: // s3.amazonaws.com / ec2-downloads-windows / SSMAgent / seneste / linux_amd64 / amazon-ssm-agent.omdrejningstal

Efter installationen skal du bekræfte, om agenten kører eller ikke ved hjælp af følgende kommando:

[e-mail-beskyttet]: ~ $ sudo-status amazon-ssm-agent

Hvis ovenstående kommando viser, at amazon-ssm-agent er stoppet, så prøv disse kommandoer:

[e-mail-beskyttet]: ~ $ sudo starter amazon-ssm-agent
[e-mail-beskyttet]: ~ $ sudo-status amazon-ssm-agent

Oprettelse af IAM-instansprofil:

Som standard har AWS Systems Manager ikke tilladelse til at udføre handlinger på dine instanser. Du skal tillade adgang ved hjælp af AWS Identity and Access Management Instant Profile (IAM). Ved lanceringen overfører en container IAM-positionsdata til en Amazon EC2-forekomst kaldes en instansprofil. Denne betingelse udvides til godkendelser af al AWS Systems Manager-kapacitet. Hvis du bruger System Manager-funktioner, som kommandoen Kør, kan en instansprofil med de grundlæggende tilladelser, der er nødvendige for Session Manager, allerede være knyttet til dine forekomster. Hvis dine forekomster allerede er tilsluttet en instansprofil, der inkluderer AmazonSSMManagedInstanceCore AWS Managed Policy, er de relevante Session Manager-tilladelser allerede udstedt. I bestemte tilfælde kan det dog være nødvendigt at ændre tilladelser for at tilføje session manager tilladelser til en instansprofil. Først og fremmest skal du åbne IAM-konsollen ved at logge på AWS-styringskonsollen. Klik nu på “Roller”I navigationslinjen. Vælg her navnet på den position, der skal medtages i politikken. På fanen Tilladelser skal du vælge Tilføj tilføjelsespolitik nederst på siden. Klik på fanen JSON, og udskift det allerede paced indhold med følgende:


"Version": "2012-10-17",
"Udmelding": [

"Effekt": "Tillad",
"Handling": [
"ssmmessages: CreateControlChannel",
"ssmmessages: CreateDataChannel",
"ssmmessages: OpenControlChannel",
"ssmmessages: OpenDataChannel"
],
"Ressource": "*"
,

"Effekt": "Tillad",
"Handling": [
"s3: GetEncryptionConfiguration"
],
"Ressource": "*"
,

"Effekt": "Tillad",
"Handling": [
"kms: dekrypter"
],
"Ressource": "nøgle-navn"

]

Når du har udskiftet indholdet, skal du klikke på gennemgangspolitikken. På denne side skal du indtaste navnet på den integrerede politik som SessionManagerPermissions under indstillingen Navn. Herefter skal du vælge indstillingen Opret politik.

Opdatering af kommandolinjegrænseflade:

For at downloade version 2 af AWS CLI fra Linux-kommandolinjen skal du først downloade installationsfilen ved hjælp af curl-kommandoen:

[e-mail-beskyttet]: ~ $ curl "https: // awscli.amazonaws.com / awscli-exe-linux-x86_64.zip "-o" awscliv2.zip "

Pak installationsprogrammet ud ved hjælp af denne kommando:

[e-mail-beskyttet]: ~ $ unzip awscliv2.lynlås

For at sikre, at opgraderingen er aktiveret samme sted som den allerede installerede AWS CLI version 2, skal du finde det eksisterende symlink ved hjælp af hvilken kommando og installationsmappen ved hjælp af kommandoen ls som denne:

[e-mail-beskyttet]: ~ $ hvilke aws
[e-mail-beskyttet]: ~ $ ls -l / usr / local / bin / aws

Konstruer installationskommandoen ved hjælp af denne symlink- og biblioteksinformation, og bekræft derefter installationen ved hjælp af nedenstående kommandoer:

[e-mail-beskyttet]: ~ $ sudo ./ aws / install --bin-dir / usr / local / bin --install-dir / usr / local / aws-cli --opdatering
[e-mail-beskyttet]: ~ $ aws --version

Installation af Session Manager-plugin:

Installer Session Manager-pluginet på din lokale computer, hvis du vil bruge AWS CLI til at starte og afslutte sessioner. For at installere dette plugin på Linux skal du først downloade RPM-pakken og derefter installere den ved hjælp af følgende rækkefølge af kommandoer:

[e-mail-beskyttet]: ~ $ curl "https: // s3.amazonaws.com / session-manager-downloads / plugin / seneste / linux_64bit / session-manager-plugin.rpm "-o" session-manager-plugin.rpm "
[e-mail-beskyttet]: ~ $ sudo yum install -y session-manager-plugin. omdrejningstal

Efter installation af pakken kan du bekræfte, om pluginet er installeret med succes eller ikke ved hjælp af følgende kommando:

[e-mail-beskyttet]: ~ $ session-manager-plugin

ELLER

[e-mail-beskyttet]: ~ $ aws ssm start-session - mål-id-af-en-instans-du-har-tilladelser-til-adgang

Opdatering af den lokale værts-SSH-konfigurationsfil:

Skift SSH-konfigurationsfilen for at tillade en proxy-kommando at starte en session i Session Manager og videregive alle data via forbindelsen. Føj denne kode til SSH-konfigurationsfilen, der er paced på “~ /.ssh / config ”:

Brug af SCP og SSH:

Nu vil du være parat til at sende SSH- og SCP-forbindelser med dine skyegenskaber direkte fra din nærliggende pc, når de tidligere nævnte trin er færdige.

Få sky-aktiv-forekomst-id. Dette kan opnås via AWS-administrationskonsollen eller følgende kommando:

[e-mail-beskyttet]: ~ $ aws ec2 beskriv-forekomster

SSH kan udføres som normalt ved at bruge instans-id som værtsnavn, og SSH-kommandolinjen skifter sådan:

Nu kan filer nemt overføres til den eksterne maskine uden behov for et mellemliggende trin ved hjælp af SCP.

Konklusion:

Brugere har stole på firewalls i årevis for at få adgang til skyindhold sikkert, men disse muligheder har problemer med kryptering og styring. Selvom uendelig infrastruktur er et ideelt mål af forskellige årsager, skal oprettelse eller vedligeholdelse af et live system i visse tilfælde kopiere patches eller andre data til liveinstanserne, og mange vil ende med et behov for at komme til eller justere systemer, der kører live. AWS Systems Manager Session Manager tillader denne mulighed uden ekstra firewallindgang og behovet for eksterne løsninger som mellemliggende S3-brug.

Mus Markøren hopper eller bevæger sig tilfældigt, mens han skriver i Windows 10
Markøren hopper eller bevæger sig tilfældigt, mens han skriver i Windows 10
Hvis du finder ud af, at din musemarkør hopper eller bevæger sig alene, automatisk tilfældigt, mens du skriver Windows-bærbar computer eller computer,...
Mus Sådan vender du musens og touchpadsens rulle retning i Windows 10
Sådan vender du musens og touchpadsens rulle retning i Windows 10
Mus og Touchpads gør ikke kun computing let, men mere effektiv og mindre tidskrævende. Vi kan ikke forestille os et liv uden disse enheder, men det er...
Mus Sådan ændres musemarkør og markørstørrelse, farve og skema på Windows 10
Sådan ændres musemarkør og markørstørrelse, farve og skema på Windows 10
Musemarkøren og markøren i Windows 10 er meget vigtige aspekter af operativsystemet. Dette kan også siges om andre operativsystemer, så i sandhed er d...