SCP en SSH instellen:
U moet de volgende configuratiestappen uitvoeren om SCP- en SSH-bewerkingen uit te voeren van localhost naar externe cloudactiva:
AWS Systems Manager Agent installeren op EC2-instanties:
Wat is een SSM-agent??
Amazon's software SSM Agent kan worden geïnstalleerd en geconfigureerd op een EC2-instantie, virtuele machine of on-site server. Met SSM Agent kan de systeembeheerder deze tools bijwerken, beheren en aanpassen. De agent behandelt verzoeken van de AWS Cloud System Manager-service, voert deze uit zoals gedefinieerd in het verzoek en draagt de status- en uitvoeringsinformatie terug naar de Device Manager-service met behulp van de Amazon Message Delivery Service. Als u het verkeer bijhoudt, kunt u uw Amazon EC2-instanties en eventuele on-site servers of virtuele machines in uw hybride systeem zien, in interactie met ec2-berichteneindpunten.
SSM-agent installeren:
SSM Agent is standaard geïnstalleerd op sommige EC2 en Amazon System Images (AMI's) instanties, zoals Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 en 20, en Amazon 2 ECS geoptimaliseerde AMI's. Daarnaast kunt u SSM handmatig installeren vanuit elke AWS-regio.
Om het op Amazon Linux te installeren, downloadt u eerst het SSM-agentinstallatieprogramma en voert u het vervolgens uit met de volgende opdracht:
[e-mail beveiligd]:~$ sudo yum install -y https://s3.regio.amazones.com/amazon-ssm-region/nieuwste/linux_amd64/amazon-ssm-agent.toerenIn het bovenstaande commando, “regio" weerspiegelt de AWS-regio-identificatie die is verstrekt door de systeembeheerder. Als u het niet kunt downloaden uit de regio die u hebt opgegeven, gebruikt u de algemene URL i.e
[e-mail beveiligd]:~$ sudo yum install -y https://s3.amazones.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.toerenBevestig na de installatie of de agent actief is of niet met de volgende opdracht:
[email protected]:~$ sudo status amazon-ssm-agentAls de bovenstaande opdracht aangeeft dat de amazon-ssm-agent is gestopt, probeer dan deze opdrachten:
[email protected]:~$ sudo start amazon-ssm-agent[email protected]:~$ sudo status amazon-ssm-agent
IAM-instantieprofiel maken:
Standaard heeft AWS Systems Manager niet de autorisatie om acties op uw instances uit te voeren. U moet toegang verlenen met behulp van het AWS Identity and Access Management Instant Profile (IAM). Bij de lancering draagt een container IAM-positiegegevens over aan een Amazon EC2-instantie, een instantieprofiel genoemd. Deze voorwaarde geldt ook voor goedkeuringen op alle AWS Systems Manager-mogelijkheden. Als u de mogelijkheden van Systeembeheer gebruikt, zoals de opdracht Uitvoeren, kan al een instantieprofiel met de basismachtigingen die nodig zijn voor Sessiebeheer aan uw instanties worden gekoppeld. Als uw instances al zijn verbonden met een instanceprofiel dat het AmazonSSMManagedInstanceCore AWS Managed Policy bevat, zijn de juiste Session Manager-machtigingen al verleend. In specifieke gevallen kunnen echter machtigingen moeten worden gewijzigd om machtigingen voor sessiebeheer aan een instantieprofiel toe te voegen. Open eerst de IAM-console door in te loggen op de AWS-beheerconsole. Klik nu op de “Rollen” optie in de navigatiebalk. Kies hier de naam van de functie die in de polis moet worden opgenomen. Kies op het tabblad Machtigingen om inline beleid toe te voegen onderaan de pagina. Klik op het JSON-tabblad en vervang de reeds gepacede inhoud door de volgende:
"Versie": "2012-10-17",
"Uitspraak": [
"Effect": "Toestaan",
"Actie": [
"ssmmmessages:CreateControlChannel",
"ssmmmessages:CreateDataChannel",
"ssmmmessages:OpenControlChannel",
"ssmmmessages:OpenDataChannel"
],
"Bron": "*"
,
"Effect": "Toestaan",
"Actie": [
"s3:GetEncryptionConfiguration"
],
"Bron": "*"
,
"Effect": "Toestaan",
"Actie": [
"kms:Decoderen"
],
"Bron": "sleutelnaam"
]
Klik na het vervangen van de inhoud op het Review Policy. Voer op deze pagina de naam van het inline-beleid in, zoals SessionManagerPermissions onder de optie Naam. Kies daarna de optie Beleid maken.
Opdrachtregelinterface bijwerken:
Om versie 2 van AWS CLI te downloaden vanaf de Linux-opdrachtregel, downloadt u eerst het installatiebestand met behulp van de curl-opdracht:
[e-mail beveiligd]:~$ curl "https://awscli.amazones.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"Pak het installatieprogramma uit met deze opdracht:
[e-mail beveiligd]:~$ unzip awscliv2.zipOm er zeker van te zijn dat de upgrade is ingeschakeld op dezelfde plaats als de reeds geïnstalleerde AWS CLI versie 2, zoekt u de bestaande symbolische link, met behulp van de opdracht who, en de installatiemap met behulp van de opdracht ls als volgt:
[e-mail beveiligd]:~$ die aws[email protected]:~$ ls -l /usr/local/bin/aws
Construeer de installatieopdracht met behulp van deze symbolische link en directory-informatie en bevestig vervolgens de installatie met behulp van de onderstaande opdrachten:
[e-mail beveiligd]:~$ sudo ./aws/install --bin-dir /usr/local/bin --install-dir /usr/local/aws-cli --update[e-mail beveiligd]:~$ aws --versie
Sessiebeheer-plug-in installeren:
Installeer de Session Manager-plug-in op uw lokale computer als u de AWS CLI wilt gebruiken om sessies te starten en te beëindigen. Om deze plug-in op Linux te installeren, downloadt u eerst het RPM-pakket en installeert u het vervolgens met behulp van de volgende reeks opdrachten:
[e-mail beveiligd]:~$ curl "https://s3.amazones.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm" -o "session-manager-plugin.toeren"[email protected]:~$ sudo yum install -y session-manager-plugin. toeren
Nadat u het pakket hebt geïnstalleerd, kunt u met de volgende opdracht bevestigen of de plug-in met succes is geïnstalleerd of niet:
[e-mail beveiligd]:~$ session-manager-pluginOF
[email protected]:~$ aws ssm start-session --target id-of-an-instance-you-have-permissions-to-accessHet SSH-configuratiebestand van de lokale host bijwerken:
Wijzig het SSH-configuratiebestand zodat een proxy-opdracht een sessie van de Session Manager kan starten en alle gegevens via de verbinding kan doorgeven. Voeg deze code toe aan het SSH-configuratiebestand met een tempo van "~/.ssh/config”:
SCP en SSH gebruiken:
Nu bent u klaar om SSH- en SCP-verbindingen met uw cloudeigenschappen rechtstreeks vanaf uw nabijgelegen pc te verzenden nadat de eerder genoemde stappen zijn voltooid.
De instantie-id van de cloudactiva ophalen. Dit kan worden bereikt via de AWS-beheerconsole of de volgende opdracht:
[email protected]:~$ aws ec2 beschrijven-instantiesSSH kan zoals gewoonlijk worden uitgevoerd door de instantie-id als hostnaam te gebruiken, en de SSH-opdrachtregel schakelt als volgt:
Nu kunnen bestanden eenvoudig worden overgebracht naar de externe machine zonder dat er een tussenstap nodig is, met behulp van SCP.
Conclusie:
Gebruikers vertrouwen al jaren op firewalls om veilig toegang te krijgen tot cloudinhoud, maar deze opties hebben problemen met codering en beheeroverhead. Hoewel onveranderlijke infrastructuur om verschillende redenen een ideaal doel is, moet het creëren of onderhouden van een live-systeem in bepaalde gevallen patches of andere gegevens naar de live-instances kopiëren, en velen zullen uiteindelijk systemen die live draaien moeten bereiken of aanpassen. De AWS Systems Manager Session Manager maakt deze mogelijkheid mogelijk zonder extra toegang tot de firewall en de noodzaak van externe oplossingen zoals gemiddeld S3-gebruik.