AWS Session Manager z ulepszoną funkcją SSH i SCP
Konfigurowanie SCP i SSH:
Musisz wykonać następujące kroki konfiguracji, aby wykonać operacje SCP i SSH od LocalHost do zdalnego zasoby chmur:
Instalowanie agenta menedżera systemów AWS w instancjach EC2:
Co to jest agent SSM?
Agent SSM oprogramowania Amazon może być zainstalowany i skonfigurowany w instancji EC2, maszynie wirtualnej lub serwerze na miejscu. Agent SSM pozwala menedżerowi systemowi aktualizować, sterować i dostosowywać te narzędzia. Agent obsługuje żądania usługi AWS Cloud System Manager, wykonuje je zgodnie z definicją w żądaniu i przenosi informacje o stanie i realizacji z powrotem do usługi Menedżera urządzeń za pomocą usługi dostarczania wiadomości Amazon. Jeśli śledzisz ruch, możesz zobaczyć swoje instancje Amazon EC2 i wszelkie serwery na miejscu lub maszyny wirtualne w systemie hybrydowym, wchodząc w interakcje z punktami końcowymi komunikatów EC2.
Instalowanie agenta SSM:
Agent SSM jest zainstalowany w niektórych instancjach Systemu EC2 i Amazon (AMIS), jak domyślnie Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 i 20 oraz Amazon 2 ECS zoptymalizowane AMIS. Poza tym możesz ręcznie zainstalować SSM z dowolnego regionu AWS.
Aby zainstalować go na Amazon Linux, najpierw pobierz instalator agenta SSM, a następnie uruchom go za pomocą następującego polecenia:
Ubuntu@ubuntu: ~ $ sudo yum instaluj -y https: // s3.region.Amazonaws.COM/Amazon-SSM-Region/najnowszy/Linux_AMD64/Amazon-SSM-Agent.RPM
W powyższym poleceniu „region" odzwierciedla identyfikator regionu AWS dostarczony przez menedżera systemów. Jeśli nie możesz go pobrać z regionu, określałeś, użyj globalnego adresu URL i.mi
Ubuntu@ubuntu: ~ $ sudo yum instaluj -y https: // s3.Amazonaws.com/ec2-Downloads-Windows/ssmagent/najnowszy/linux_amd64/amazon-ssm-agent.RPM
Po instalacji potwierdź, czy agent działa, czy nie przez następujące polecenie:
Ubuntu@ubuntu: ~ $ sudo status Amazon-ssm-agent
Jeśli powyższe polecenie wyświetla, że Amazon-SSM-Agent jest zatrzymany, wypróbuj te polecenia:
Ubuntu@ubuntu: ~ $ sudo start amazon-ssm-agent
Ubuntu@ubuntu: ~ $ sudo status Amazon-ssm-agent
Tworzenie profilu instancji IAM:
Domyślnie AWS Systems Manager nie ma autoryzacji do wykonywania działań w twoich instancjach. Musisz zezwolić na dostęp, używając AWS Identity i Access Management Instant Profil (IAM). Po uruchomieniu kontener transfer danych pozycji IAM do instancji Amazon EC2 nazywa się profilem instancji. Ten warunek rozciąga się na zatwierdzenia dla wszystkich możliwości menedżera systemów AWS. Jeśli korzystasz z funkcji menedżera systemu, podobnie jak polecenie run, profil instancji z podstawowymi uprawnieniami potrzebnymi do menedżera sesji można już dołączyć do twoich instancji. Jeśli twoje instancje są już podłączone do profilu instancji, który obejmuje zasadę zarządzaną przez AmazonssMManagedInstancecore AWS, odpowiednie uprawnienia menedżera sesji są już wydane. Jednak w określonych przypadkach mogą wymagać zmiany uprawnień, aby dodać uprawnienia menedżera sesji do profilu instancji. Przede wszystkim otwórz konsolę IAM, logując się do konsoli zarządzania AWS. Teraz kliknij „Role„Opcja na pasku nawigacji. Tutaj wybierz nazwę pozycji, która ma być uwzględniona w polityce. Na karcie Passions wybierz dodanie zasad inline znajdujących się na dole strony. Kliknij kartę JSON i zastąp i już tempo zawartości na następującą:
„Wersja”: „2012-10-17”,
"Oświadczenie": [
„Efekt”: „Pozwól”,
"Działanie": [
„SSMMessages: CreateControlChannel”,
„SSMMessages: CreatedAtachannel”,
„SSMMessages: OpenControlChannel”,
„SSMMessages: Opendatachannel”
],
„Zasób”: „*”
,
„Efekt”: „Pozwól”,
"Działanie": [
„S3: getEncryptionConfiguation”
],
„Zasób”: „*”
,
„Efekt”: „Pozwól”,
"Działanie": [
„KMS: decrypt”
],
„Zasób”: „nazwa klucza”
]
Po zastąpieniu treści kliknij zasady przeglądu. Na tej stronie wprowadź nazwę zasad wbudowanej, takiej jak sessionManagerPermissions pod opcją nazwy. Po wykonaniu tego wybierz opcję Utwórz zasady.
Aktualizacja interfejsu wiersza poleceń:
Aby pobrać wersję 2 AWS CLI z wiersza polecenia Linux, najpierw pobierz plik instalacyjny za pomocą polecenia Curl:
Ubuntu@ubuntu: ~ $ curl "https: // awscli.Amazonaws.COM/AWSCLI-EXE-LINUX-X86_64.Zip „-o” AWSCLIV2.zamek błyskawiczny"
Rozpakuj instalator za pomocą tego polecenia:
Ubuntu@ubuntu: ~ $ Unzip AWSCLIV2.zamek błyskawiczny
Aby upewnić się, że aktualizacja jest włączona w tym samym miejscu, co już zainstalowana AWS CLI wersja 2, znajdź istniejący symLink, używając polecenia, a katalog instalacyjny za pomocą polecenia LS takiego:
Ubuntu@ubuntu: ~ $ a AWS
Ubuntu@ubuntu: ~ $ ls -l/usr/local/bin/AWS
Skonstruuj polecenie instalacji za pomocą tych informacji symbolicznych i katalogu, a następnie potwierdź instalację za pomocą poniższych poleceń:
Ubuntu@ubuntu: ~ $ sudo ./AWS/Install--Bin-Dir/usr/local/bin--install-dir/usr/local/aws-cli-update
Ubuntu@ubuntu: ~ $ AWS --version
Instalowanie wtyczki menedżera sesji:
Zainstaluj wtyczkę Session Manager na swoim komputerze lokalnym, jeśli chcesz użyć AWS CLI, aby rozpocząć i zakończyć sesje. Aby zainstalować tę wtyczkę w systemie Linux, najpierw pobierz pakiet RPM, a następnie zainstaluj go za pomocą następującej sekwencji poleceń:
Ubuntu@ubuntu: ~ $ curl "https: // s3.Amazonaws.com/session-manager-Downloads/wtyczka/najnowszy/linux_64bit/session-manager-Plugin.rpm "-o" session-manager-Plugin.RPM "
Ubuntu@ubuntu: ~ $ sudo yum instaluj -y-session-manager-Plugin. RPM
Po zainstalowaniu pakietu możesz potwierdzić, czy wtyczka jest pomyślnie zainstalowana, czy nie przy użyciu następującego polecenia:
Ubuntu@ubuntu: ~ $ session-manager-Plugin
LUB
Ubuntu@ubuntu: ~ $ AWS SSM Start-session--cel id-of-instance-you-have-permissions-to-access
Aktualizacja lokalnego pliku konfiguracyjnego hosta SSH:
Zmień plik konfiguracyjny SSH, aby umożliwić poleceniu proxy na rozpoczęcie sesji menedżera sesji i przekazanie wszystkich danych za pośrednictwem połączenia. Dodaj ten kod do pliku konfiguracyjnego SSH o temperaturze „~/.ssh/config ”:
Za pomocą SCP i SSH:
Teraz będziesz przygotowany do wysyłania połączeń SSH i SCP z właściwościami chmurowymi z pobliskiego komputera po zakończeniu wcześniejszych kroków.
Zdobądź instancję zasobów chmurowych. Można to osiągnąć za pośrednictwem konsoli zarządzania AWS lub następującego polecenia:
Ubuntu@ubuntu: ~ $ AWS ec2 opisuje instancje
SSH można wykonać jak zwykle za pomocą instancji-ID jako nazwy hosta, a linia poleceń SSH przełącza się w ten sposób:
Teraz pliki można łatwo przesyłać do zdalnego komputera bez potrzeby etapu pośredniego, za pomocą SCP.
Wniosek:
Użytkownicy od lat polegali na zaporach zaporowych, aby bezpiecznie uzyskać dostęp do treści w chmurze, ale te opcje mają problemy z szyfrowaniem i zarządzaniem. Chociaż niezmienna infrastruktura jest idealnym celem z różnych powodów, w niektórych przypadkach tworzenie lub utrzymanie systemu na żywo wymaga kopiowania łat lub innych danych do instancji na żywo, a wielu skończy z potrzebą dotarcia do lub dostosowania systemów na żywo. Menedżer sesji AWS Systems Manager zezwala na tę funkcję bez dodatkowego wejścia do zapory i potrzeby zewnętrznych rozwiązań, takich jak użytkowanie Intermediate S3.