AWS

AWS Session Manager met verbeterde SSH- en SCP-mogelijkheden

AWS Session Manager met verbeterde SSH- en SCP-mogelijkheden
Een jaar geleden werden nieuwe functies in de AWS Systems Manager Session Manager ontdekt door AWS (Amazon Web Services). Gebruikers kunnen nu rechtstreeks Secure Shell (SSH) en Secure Copy (SCP) verbindingen van lokale clients tunnelen zonder dat ze een AWS-beheerconsole nodig hebben. Gebruikers vertrouwen al jaren op firewalls om veilig toegang te krijgen tot cloudinhoud, maar deze opties hebben problemen met codering en beheeroverhead. Session Manager biedt cloudproviders stabiele, gecontroleerde consoleconnectiviteit zonder externe toegangspunten. Een van de uitdagingen waarmee gebruikers worden geconfronteerd die de AWS Session Manager gebruiken, wordt vermeden door de integratie van Secure Copy (SCP) -functionaliteit. Toegang tot de cloud-assetconsole werd gegeven in de AWS-beheerconsole, maar tot nu toe was er geen handige manier om bestanden over te zetten naar externe systemen. Voor het maken of onderhouden van een live-systeem moeten in bepaalde gevallen patches of andere gegevens naar de live-instanties worden gekopieerd. Nu verleent Session Manager dit zonder de noodzaak van externe oplossingen zoals firewalls of intermediair S3-gebruik. Laten we eens kijken naar de procedure om SCP en SSH in te stellen om ze met verbeterde mogelijkheden te gebruiken.

SCP en SSH instellen:

U moet de volgende configuratiestappen uitvoeren om SCP- en SSH-bewerkingen uit te voeren van localhost naar externe cloudactiva:

AWS Systems Manager Agent installeren op EC2-instanties:

Wat is een SSM-agent??

Amazon's software SSM Agent kan worden geïnstalleerd en geconfigureerd op een EC2-instantie, virtuele machine of on-site server. Met SSM Agent kan de systeembeheerder deze tools bijwerken, beheren en aanpassen. De agent behandelt verzoeken van de AWS Cloud System Manager-service, voert deze uit zoals gedefinieerd in het verzoek en draagt ​​de status- en uitvoeringsinformatie terug naar de Device Manager-service met behulp van de Amazon Message Delivery Service. Als u het verkeer bijhoudt, kunt u uw Amazon EC2-instanties en eventuele on-site servers of virtuele machines in uw hybride systeem zien, in interactie met ec2-berichteneindpunten.

SSM-agent installeren:

SSM Agent is standaard geïnstalleerd op sommige EC2 en Amazon System Images (AMI's) instanties, zoals Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 en 20, en Amazon 2 ECS geoptimaliseerde AMI's. Daarnaast kunt u SSM handmatig installeren vanuit elke AWS-regio.

Om het op Amazon Linux te installeren, downloadt u eerst het SSM-agentinstallatieprogramma en voert u het vervolgens uit met de volgende opdracht:

[e-mail beveiligd]:~$ sudo yum install -y https://s3.regio.amazones.com/amazon-ssm-region/nieuwste/linux_amd64/amazon-ssm-agent.toeren

In het bovenstaande commando, “regio" weerspiegelt de AWS-regio-identificatie die is verstrekt door de systeembeheerder. Als u het niet kunt downloaden uit de regio die u hebt opgegeven, gebruikt u de algemene URL i.e

[e-mail beveiligd]:~$ sudo yum install -y https://s3.amazones.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.toeren

Bevestig na de installatie of de agent actief is of niet met de volgende opdracht:

[email protected]:~$ sudo status amazon-ssm-agent

Als de bovenstaande opdracht aangeeft dat de amazon-ssm-agent is gestopt, probeer dan deze opdrachten:

[email protected]:~$ sudo start amazon-ssm-agent
[email protected]:~$ sudo status amazon-ssm-agent

IAM-instantieprofiel maken:

Standaard heeft AWS Systems Manager niet de autorisatie om acties op uw instances uit te voeren. U moet toegang verlenen met behulp van het AWS Identity and Access Management Instant Profile (IAM). Bij de lancering draagt ​​een container IAM-positiegegevens over aan een Amazon EC2-instantie, een instantieprofiel genoemd. Deze voorwaarde geldt ook voor goedkeuringen op alle AWS Systems Manager-mogelijkheden. Als u de mogelijkheden van Systeembeheer gebruikt, zoals de opdracht Uitvoeren, kan al een instantieprofiel met de basismachtigingen die nodig zijn voor Sessiebeheer aan uw instanties worden gekoppeld. Als uw instances al zijn verbonden met een instanceprofiel dat het AmazonSSMManagedInstanceCore AWS Managed Policy bevat, zijn de juiste Session Manager-machtigingen al verleend. In specifieke gevallen kunnen echter machtigingen moeten worden gewijzigd om machtigingen voor sessiebeheer aan een instantieprofiel toe te voegen. Open eerst de IAM-console door in te loggen op de AWS-beheerconsole. Klik nu op de “Rollen” optie in de navigatiebalk. Kies hier de naam van de functie die in de polis moet worden opgenomen. Kies op het tabblad Machtigingen om inline beleid toe te voegen onderaan de pagina. Klik op het JSON-tabblad en vervang de reeds gepacede inhoud door de volgende:


"Versie": "2012-10-17",
"Uitspraak": [

"Effect": "Toestaan",
"Actie": [
"ssmmmessages:CreateControlChannel",
"ssmmmessages:CreateDataChannel",
"ssmmmessages:OpenControlChannel",
"ssmmmessages:OpenDataChannel"
],
"Bron": "*"
,

"Effect": "Toestaan",
"Actie": [
"s3:GetEncryptionConfiguration"
],
"Bron": "*"
,

"Effect": "Toestaan",
"Actie": [
"kms:Decoderen"
],
"Bron": "sleutelnaam"

]

Klik na het vervangen van de inhoud op het Review Policy. Voer op deze pagina de naam van het inline-beleid in, zoals SessionManagerPermissions onder de optie Naam. Kies daarna de optie Beleid maken.

Opdrachtregelinterface bijwerken:

Om versie 2 van AWS CLI te downloaden vanaf de Linux-opdrachtregel, downloadt u eerst het installatiebestand met behulp van de curl-opdracht:

[e-mail beveiligd]:~$ curl "https://awscli.amazones.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"

Pak het installatieprogramma uit met deze opdracht:

[e-mail beveiligd]:~$ unzip awscliv2.zip

Om er zeker van te zijn dat de upgrade is ingeschakeld op dezelfde plaats als de reeds geïnstalleerde AWS CLI versie 2, zoekt u de bestaande symbolische link, met behulp van de opdracht who, en de installatiemap met behulp van de opdracht ls als volgt:

[e-mail beveiligd]:~$ die aws
[email protected]:~$ ls -l /usr/local/bin/aws

Construeer de installatieopdracht met behulp van deze symbolische link en directory-informatie en bevestig vervolgens de installatie met behulp van de onderstaande opdrachten:

[e-mail beveiligd]:~$ sudo ./aws/install --bin-dir /usr/local/bin --install-dir /usr/local/aws-cli --update
[e-mail beveiligd]:~$ aws --versie

Sessiebeheer-plug-in installeren:

Installeer de Session Manager-plug-in op uw lokale computer als u de AWS CLI wilt gebruiken om sessies te starten en te beëindigen. Om deze plug-in op Linux te installeren, downloadt u eerst het RPM-pakket en installeert u het vervolgens met behulp van de volgende reeks opdrachten:

[e-mail beveiligd]:~$ curl "https://s3.amazones.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm" -o "session-manager-plugin.toeren"
[email protected]:~$ sudo yum install -y session-manager-plugin. toeren

Nadat u het pakket hebt geïnstalleerd, kunt u met de volgende opdracht bevestigen of de plug-in met succes is geïnstalleerd of niet:

[e-mail beveiligd]:~$ session-manager-plugin

OF

[email protected]:~$ aws ssm start-session --target id-of-an-instance-you-have-permissions-to-access

Het SSH-configuratiebestand van de lokale host bijwerken:

Wijzig het SSH-configuratiebestand zodat een proxy-opdracht een sessie van de Session Manager kan starten en alle gegevens via de verbinding kan doorgeven. Voeg deze code toe aan het SSH-configuratiebestand met een tempo van "~/.ssh/config”:

SCP en SSH gebruiken:

Nu bent u klaar om SSH- en SCP-verbindingen met uw cloudeigenschappen rechtstreeks vanaf uw nabijgelegen pc te verzenden nadat de eerder genoemde stappen zijn voltooid.

De instantie-id van de cloudactiva ophalen. Dit kan worden bereikt via de AWS-beheerconsole of de volgende opdracht:

[email protected]:~$ aws ec2 beschrijven-instanties

SSH kan zoals gewoonlijk worden uitgevoerd door de instantie-id als hostnaam te gebruiken, en de SSH-opdrachtregel schakelt als volgt:

Nu kunnen bestanden eenvoudig worden overgebracht naar de externe machine zonder dat er een tussenstap nodig is, met behulp van SCP.

Conclusie:

Gebruikers vertrouwen al jaren op firewalls om veilig toegang te krijgen tot cloudinhoud, maar deze opties hebben problemen met codering en beheeroverhead. Hoewel onveranderlijke infrastructuur om verschillende redenen een ideaal doel is, moet het creëren of onderhouden van een live-systeem in bepaalde gevallen patches of andere gegevens naar de live-instances kopiëren, en velen zullen uiteindelijk systemen die live draaien moeten bereiken of aanpassen. De AWS Systems Manager Session Manager maakt deze mogelijkheid mogelijk zonder extra toegang tot de firewall en de noodzaak van externe oplossingen zoals gemiddeld S3-gebruik.

Spellen OpenTTD versus Simutrans
OpenTTD versus Simutrans
Je eigen transportsimulatie maken kan leuk, ontspannend en buitengewoon aanlokkelijk zijn. Daarom moet je ervoor zorgen dat je zoveel mogelijk spellen...
Spellen OpenTTD-zelfstudie
OpenTTD-zelfstudie
OpenTTD is een van de meest populaire simulatiegames voor bedrijven die er zijn. In dit spel moet je een geweldig transportbedrijf creëren. U begint e...
Spellen SuperTuxKart voor Linux
SuperTuxKart voor Linux
SuperTuxKart is een geweldige titel die is ontworpen om je de Mario Kart-ervaring gratis te bieden op je Linux-systeem. Het is behoorlijk uitdagend en...