AWS Session Manager con funzionalità SSH e SCP migliorate
Impostazione SCP e SSH:
Dovrai eseguire le seguenti fasi di configurazione per eseguire le operazioni SCP e SSH da LocalHost a REMOTE Cloud Asset:
Installazione dell'agente AWS Systems Manager su istanze EC2:
Cos'è un agente SSM?
L'agente SSM del software di Amazon può essere installato e configurato su un'istanza EC2, una macchina virtuale o un server in loco. L'agente SSM consente a System Manager di aggiornare, controllare e personalizzare questi strumenti. L'agente gestisce le richieste dal servizio AWS Cloud System Manager, le esegue come definito nella richiesta e trasferisce le informazioni sullo stato e l'esecuzione al servizio di Gestione dispositivi utilizzando il servizio di consegna dei messaggi Amazon. Se monitora il traffico, puoi vedere le tue istanze Amazon EC2 e qualsiasi server in loco o macchine virtuali nel tuo sistema ibrido, interagendo con gli endpoint di messaggi EC2.
Installazione dell'agente SSM:
L'agente SSM è installato su alcune istanze EC2 e Amazon System Images) per impostazione predefinita come Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 e 20 e Amazon 2 ECS ha ottimizzato l'Amis. Oltre a questo, puoi installare SSM manualmente da qualsiasi regione AWS.
Per installarlo su Amazon Linux, prima di tutto, scarica SSM Agent Installer e quindi eseguilo utilizzando il comando seguente:
ubuntu@ubuntu: ~ $ sudo yum install -y https: // s3.regione.Amazonaws.com/Amazon-SSM-Region/ultimo/Linux_AMD64/Amazon-SSM-Agent.RPM
Nel comando sopra, "regione" Riflette l'identificatore della regione AWS fornita dal gestore dei sistemi. Se non puoi scaricarlo dalla regione, hai specificato, usa l'URL globale i.e
ubuntu@ubuntu: ~ $ sudo yum install -y https: // s3.Amazonaws.com/ec2-downloads-windows/ssmagent/ultimo/linux_amd64/Amazon-SSM-Agent.RPM
Dopo l'installazione, conferma se l'agente è in esecuzione o meno con il seguente comando:
ubuntu@ubuntu: ~ $ sudo status Amazon-ssm-agent
Se il comando sopra visualizza che l'agente Amazon-SSM viene interrotto, prova questi comandi:
ubuntu@ubuntu: ~ $ sudo start Amazon-ssm-agent
ubuntu@ubuntu: ~ $ sudo status Amazon-ssm-agent
Creazione del profilo di istanza iam:
Per impostazione predefinita, AWS Systems Manager non ha l'autorizzazione a eseguire azioni nelle tue istanze. È necessario consentire l'accesso utilizzando il profilo istantaneo di Identity and Access Management (IAM). Al momento del lancio, un contenitore trasferisce i dati di posizione IAM in un'istanza Amazon EC2 è chiamato un profilo di istanza. Questa condizione si estende alle approvazioni su tutte le capacità di Gestione sistemi AWS. Se si utilizzano funzionalità di System Manager, come il comando Esegui, un profilo di istanza con le autorizzazioni di base necessarie per Session Manager può già essere allegato alle tue istanze. Se le tue istanze sono già connesse a un profilo di istanza che include la politica gestita AWSManageDinstanceCore AWS, le autorizzazioni appropriate del gestore delle sessioni sono già emesse. Tuttavia, in istanze specifiche, potrebbe essere necessario modificare le autorizzazioni per aggiungere le autorizzazioni del gestore della sessione a un profilo di istanza. Prima di tutto, apri la console IAM accedendo alla console di gestione AWS. Ora fai clic su "Ruoli"Opzione nella barra di navigazione. Qui scegli il nome della posizione da includere nella politica. Nella scheda Autorizzazioni, scegli di aggiungere la politica in linea situata nella parte inferiore della pagina. Fare clic sulla scheda JSON e sostituire il contenuto già stimolato con quello seguente:
"Versione": "2012-10-17",
"Dichiarazione": [
"Effetto": "Consenti",
"Azione": [
"SSMMessages: CreateControlChannel",
"SSMMessages: CreatedAtaChannel",
"SSMMessages: OpenControlChannel",
"SSMMessages: OpendataChannel"
",
"Risorsa": "*"
,
"Effetto": "Consenti",
"Azione": [
"S3: GetIncryptionConfiguration"
",
"Risorsa": "*"
,
"Effetto": "Consenti",
"Azione": [
"KMS: decrypt"
",
"Resource": "Key-Name"
"
Dopo aver sostituito il contenuto, fare clic sul criterio di revisione. In questa pagina, immettere il nome della politica inline come sessionManagerPerPermissions con l'opzione Nome. Dopo averlo fatto, scegli l'opzione Crea politica.
Aggiornamento dell'interfaccia della riga di comando:
Per scaricare la versione 2 di AWS CLI dalla riga di comando Linux, scarica innanzitutto il file di installazione utilizzando il comando Curl:
ubuntu@ubuntu: ~ $ curl "https: // awscli.Amazonaws.com/awscli-exe-linux-x86_64.zip "-o" awscliv2.cerniera lampo"
Decomprimere l'installatore usando questo comando:
ubuntu@ubuntu: ~ $ unzip awscliv2.cerniera lampo
Per garantire che l'aggiornamento sia abilitato nello stesso posto della CLI AWS già installata in versione 2, trova il collegamento simbolico esistente, utilizzando il comando quale comando e la directory di installazione utilizzando il comando LS come questo:
ubuntu@ubuntu: ~ $ quale AWS
ubuntu@ubuntu: ~ $ ls -l/usr/local/bin/aws
Costruire il comando di installazione utilizzando queste informazioni Symlink e Directory e quindi confermare l'installazione utilizzando i comandi di seguito:
ubuntu@ubuntu: ~ $ sudo ./AWS/Installa-Bin-dir/USR/Local/Bin-Install-Dir/USR/LOCAL/AWS-CLI-Apice
ubuntu@ubuntu: ~ $ aws -version
Installazione del plug -in Gestione sessione:
Installa il plug -in Gestione sessione sul tuo computer locale se si desidera utilizzare la CLI AWS per avviare e terminare le sessioni. Per installare questo plug -in su Linux, prima, scarica il pacchetto RPM e quindi installalo utilizzando la seguente sequenza di comandi:
ubuntu@ubuntu: ~ $ curl "https: // s3.Amazonaws.com/session-manager-downloads/plugin/ultimo/linux_64bit/session-manager-plugin.RPM "-O" Session-Manager-Plugin.rpm "
ubuntu@ubuntu: ~ $ sudo yum install -y session-manager-plugin. RPM
Dopo aver installato il pacchetto, è possibile confermare se il plug -in è installato correttamente o meno utilizzando il seguente comando:
ubuntu@ubuntu: ~ $ session-manager-plugin
O
ubuntu@ubuntu: ~ $ AWS ssm start-session-bearget id-of-isstance-you-have-permissions-to-access
Aggiornamento del file di configurazione SSH host locale:
Modificare il file di configurazione SSH per consentire a un comando proxy di avviare una sessione del gestore sessione e passare tutti i dati tramite la connessione. Aggiungi questo codice al file di configurazione SSH stimolato a "~/.ssh/config ”:
Utilizzando SCP e SSH:
Ora sarai pronto a spedire le connessioni SSH e SCP con le proprietà del cloud direttamente dal tuo PC vicino dopo che i passaggi precedentemente menzionati sono finiti.
Ottieni il cloud asset istance-id. Questo può essere ottenuto tramite la console di gestione AWS o il seguente comando:
ubuntu@ubuntu: ~ $ AWS EC2 Descrivi-Instances
SSH può essere eseguito come al solito utilizzando l'ID-ID come nome host e la riga di comando SSH passa in questo modo:
Ora i file possono essere trasferiti facilmente alla macchina remota senza alcuna necessità di una fase intermedia, utilizzando SCP.
Conclusione:
Gli utenti hanno fatto affidamento sui firewall per anni per accedere al contenuto del cloud in modo sicuro, ma queste opzioni hanno problemi di crittografia e management. Mentre l'infrastruttura mutevole è un obiettivo ideale per vari motivi, in alcuni casi, la creazione o la manutenzione di un sistema live ha bisogno di copiare patch o altri dati nelle istanze in diretta e molti finiranno con la necessità di raggiungere o regolare i sistemi in corso. Il gestore della sessione di Systems Manager AWS consente questa capacità senza un'entrata aggiuntiva del firewall e la necessità di soluzioni esterne come l'uso intermedio S3.