AWS Session Manager med forbedret SSH og SCP -evne
Sette opp SCP og SSH:
Du må utføre følgende konfigurasjonstrinn for å utføre SCP- og SSH -operasjoner fra Localhost til Remote Cloud Asset:
Installere AWS Systems Manager -agent på EC2 -forekomster:
Hva er en SSM -agent?
Amazons programvare SSM-agent kan installeres og konfigureres på en EC2-forekomst, virtuell maskin eller server på stedet. SSM Agent lar System Manager oppdatere, kontrollere og tilpasse disse verktøyene. Agenten håndterer forespørsler fra AWS Cloud System Manager -tjenesten, utfører dem som definert i forespørselen, og overfører status og utførelsesinformasjon tilbake til Device Manager -tjenesten ved hjelp av Amazon Message Delivery Service. Hvis du sporer trafikken, kan du se Amazon EC2-forekomster og alle servere på stedet eller virtuelle maskiner i hybridsystemet ditt, og samhandle med EC2-meldinger endepunkter.
Installere SSM -agent:
SSM Agent er installert på noen EC2 og Amazon System Images (AMIS) forekomster som standard som Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 og 20, og Amazon 2 ECS optimalisert AMIS. I tillegg til dette, kan du installere SSM manuelt fra hvilken som helst AWS -region.
For å installere det på Amazon Linux, først og fremst, last ned SSM Agent Installer og kjør den deretter ved hjelp av følgende kommando:
ubuntu@ubuntu: ~ $ sudo yum install -y https: // s3.region.Amazonaws.com/Amazon-SSM-Region/Siste/Linux_AMD64/Amazon-SSM-Agent.Rpm
I kommandoen ovenfor, “region" gjenspeiler AWS -regionidentifikatoren levert av System Manager. Hvis du ikke kan laste den ned fra regionen, spesifiserte du, bruk den globale url i.e
ubuntu@ubuntu: ~ $ sudo yum install -y https: // s3.Amazonaws.com/ec2-downloads-windows/ssmagent/siste/linux_amd64/amazon-ssm-agent.Rpm
Etter installasjonen, bekreft om agenten kjører eller ikke etter følgende kommando:
ubuntu@ubuntu: ~ $ sudo status amazon-ssm-agent
Hvis kommandoen ovenfor viser at Amazon-SSM-agent blir stoppet, kan du prøve disse kommandoene:
ubuntu@ubuntu: ~ $ sudo start amazon-ssm-agent
ubuntu@ubuntu: ~ $ sudo status amazon-ssm-agent
Opprette IAM -forekomstprofil:
Som standard har AWS Systems Manager ikke autorisasjon til å utføre handlinger i forekomstene dine. Du må tillate tilgang ved å bruke AWS Identity and Access Management Instant Profile (IAM). Ved lanseringen kalles en container IAM -posisjonsdata til en Amazon EC2 -forekomst en forekomstprofil. Denne tilstanden strekker seg til godkjenninger på alle AWS Systems Manager -kapasitet. Hvis du bruker System Manager -funksjoner, som RUN -kommandoen, kan en forekomstprofil med de grunnleggende tillatelsene som trengs for sesjonsbehandler allerede knyttes til forekomstene dine. Hvis forekomstene dine allerede er koblet til en forekomstprofil som inkluderer AmazonSmManagedInstanceCore AWS Managed Policy, er den aktuelle Session Manager -tillatelsene allerede utstedt. I spesifikke tilfeller kan det imidlertid måtte endres tillatelser for å legge til sesjonssjeftillatelser til en forekomstprofil. Først av alt, åpne IAM -konsollen ved å logge på AWS Management Console. Klikk nå på “Roller”Alternativ i navigasjonslinjen. Her velger du navnet på stillingen som skal inkluderes i policyen. I kategorien Tillatelser, velger du å legge til inline -policy som ligger nederst på siden. Klikk på JSON -fanen og erstatt det allerede tempoet innholdet med følgende:
"Versjon": "2012-10-17",
"Uttalelse": [
"Effekt": "Tillat",
"Handling": [
"SSMMessages: CreateControlChannel",
"SSMMessages: Createatachannel",
"SSMMessages: OpenControlChannel",
"SSMMessages: OpenDatachannel"
],
"Ressurs": "*"
,
"Effekt": "Tillat",
"Handling": [
"S3: GetEncryptionConfiguration"
],
"Ressurs": "*"
,
"Effekt": "Tillat",
"Handling": [
"KMS: Decrypt"
],
"Ressurs": "nøkkelnavn"
]
Etter å ha erstattet innholdet, klikker du på gjennomgangspolicyen. På denne siden skriver du inn navnet på Inline Policy som SessionManagerPermissions under Name -alternativet. Etter å ha gjort dette, velg alternativet Opprett policy.
Oppdatering av kommandolinjegrensesnitt:
For å laste ned versjon 2 av AWS CLI fra Linux -kommandolinjen, last først ned installasjonsfilen ved å bruke Curl -kommandoen:
ubuntu@ubuntu: ~ $ curl "https: // awscli.Amazonaws.com/awscli-exe-linux-x86_64.Zip "-o" awscliv2.glidelås"
Pakk ut installasjonsprogrammet ved hjelp av denne kommandoen:
ubuntu@ubuntu: ~ $ unzip awscliv2.glidelås
For å sikre at oppgraderingen er aktivert på samme sted som den allerede installerte AWS CLI versjon 2, finner du den eksisterende Symlink, ved å bruke hvilken kommando, og installasjonskatalogen ved å bruke LS -kommandoen slik:
ubuntu@ubuntu: ~ $ som aws
ubuntu@ubuntu: ~ $ ls -l/usr/local/bin/aws
Konstruer installasjonskommandoen ved hjelp av denne symlink- og kataloginformasjonen, og bekreft deretter installasjonen ved å bruke kommandoene nedenfor:
ubuntu@ubuntu: ~ $ sudo ./AWS/install
ubuntu@ubuntu: ~ $ aws --version
Installere Session Manager -plugin:
Installer Session Manager -plugin på din lokale datamaskin hvis du ønsker å bruke AWS CLI til å starte og avslutte økter. For å installere denne pluginen på Linux, last først ned RPM -pakken og installer den ved hjelp av følgende sekvens av kommandoer:
ubuntu@ubuntu: ~ $ curl "https: // s3.Amazonaws.com/økt-manager-downloads/plugin/siste/linux_64bit/økt-manager-plugin.Rpm "-o" Session-Manager-Plugin.Rpm "
ubuntu@ubuntu: ~ $ sudo yum install -y økt-manager-plugin. Rpm
Etter å ha installert pakken, kan du bekrefte om plugin -en er installert vellykket eller ikke ved å bruke følgende kommando:
ubuntu@ubuntu: ~ $ økt-manager-plugin
ELLER
ubuntu@ubuntu: ~ $ aws ssm start-session-mål id-av-an-instans-du-har-tillatelser-til-tilgang
Oppdatering av den lokale verten SSH -konfigurasjonsfilen:
Endre SSH -konfigurasjonsfilen for å la en proxy -kommando starte en økt i sesjonsbehandleren og passere alle data via tilkoblingen. Legg til denne koden i SSH -konfigurasjonsfilen tempo på “~/.ssh/config ”:
Bruker SCP og SSH:
Nå vil du være forberedt på å sende SSH- og SCP -tilkoblinger med skyegenskapene dine enkelt fra din nærliggende PC etter at de tidligere nevnte trinnene er ferdige.
Få Cloud Asset Instance-ID. Dette kan oppnås gjennom AWS Management Console eller følgende kommando:
ubuntu@ubuntu: ~ $ aws ec2 beskrive-instans
SSH kan utføres som vanlig ved å bruke Instance-ID som vertsnavn, og SSH-kommandolinjen bytter slik:
Nå kan filer lett overføres til den eksterne maskinen uten behov for et mellomtrinn ved å bruke SCP.
Konklusjon:
Brukere har vært avhengige av brannmurer i årevis for å få tilgang til skyinnhold trygt, men disse alternativene har kryptering og styring av styring. Selv om forandringsløs infrastruktur er et ideelt mål av forskjellige grunner, trenger i visse tilfeller å lage eller vedlikeholde et live system å kopiere oppdateringer eller andre data til live -tilfeller, og mange vil ende opp med et behov for å komme til eller justere systemer som kjører live. AWS Systems Manager Session Manager tillater denne muligheten uten ekstra brannmurinngang og behovet for eksterne løsninger som mellomliggende S3 -bruk.