AWS

AWS Session Manager cu SSH îmbunătățit și capabilitate SCP

AWS Session Manager cu SSH îmbunătățit și capabilitate SCP
În urmă cu un an, noile funcții din AWS Systems Manager Session Manager au fost descoperite de AWS (Amazon Web Services). Acum utilizatorii pot tunela direct conexiunile Secure Shell (SSH) și Secure Copy (SCP) de la clienții locali fără a avea nevoie de o consolă de administrare AWS. Utilizatorii s-au bazat pe firewall-uri de ani de zile pentru a accesa conținutul cloud în siguranță, dar aceste opțiuni au probleme de criptare și gestionare. Session Manager oferă furnizorilor de cloud conectivitate stabilă și auditată a consolei, fără a fi nevoie de puncte de acces la distanță. Una dintre provocările cu care se confruntă utilizatorii care adoptă AWS Session Manager este evitată prin încorporarea funcționalității Secure Copy (SCP). Accesul la consola activelor cloud a fost oferit în consola de administrare AWS, dar până acum nu a existat nicio modalitate convenabilă de a transfera fișiere către sisteme la distanță. Crearea sau menținerea unui sistem live necesită copierea patch-urilor sau a altor date în instanțele live în anumite cazuri. Acum, Session Manager acordă acest lucru fără a fi nevoie de soluții externe, cum ar fi firewall-uri sau utilizarea intermediară S3. Să ne uităm la procedura de configurare SCP și SSH pentru a le utiliza cu capacități îmbunătățite.

Configurarea SCP și SSH:

Va trebui să executați următorii pași de configurare pentru a efectua operațiuni SCP și SSH de la localhost la activ cloud la distanță:

Instalarea agentului AWS Systems Manager pe instanțele EC2:

Ce este un agent SSM?

Software-ul Amazon SSM Agent poate fi instalat și configurat pe o instanță EC2, pe o mașină virtuală sau pe un server la fața locului. Agentul SSM permite Managerului de sistem să actualizeze, să controleze și să personalizeze aceste instrumente. Agentul gestionează solicitările de la serviciul AWS Cloud System Manager, le execută așa cum este definit în cerere și transferă informațiile de stare și de execuție înapoi la serviciul Device Manager utilizând serviciul Amazon Message Delivery Service. Dacă urmăriți traficul, puteți vedea instanțele dvs. Amazon EC2 și orice servere la fața locului sau mașini virtuale din sistemul dvs. hibrid, interacționând cu punctele finale ale mesajelor ec2.

Instalarea agentului SSM:

Agentul SSM este instalat în unele instanțe EC2 și Amazon System Images (AMIs) în mod implicit, cum ar fi Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 și 20 și Amazon 2 ECS optimizate AMI. În afară de aceasta, puteți instala SSM manual din orice regiune AWS.

Pentru a-l instala pe Amazon Linux, mai întâi de toate, descărcați programul de instalare agent SSM și apoi executați-l folosind următoarea comandă:

[e-mail protejat]: ~ $ sudo yum install -y https: // s3.regiune.amazonaws.com / amazon-ssm-region / latest / linux_amd64 / amazon-ssm-agent.rpm

În comanda de mai sus, „regiune" reflectă identificatorul de regiune AWS furnizat de Managerul de sisteme. Dacă nu îl puteți descărca din regiune, ați specificat, utilizați adresa URL globală i.e

[e-mail protejat]: ~ $ sudo yum install -y https: // s3.amazonaws.com / ec2-downloads-windows / SSMAgent / latest / linux_amd64 / amazon-ssm-agent.rpm

După instalare, confirmați dacă agentul rulează sau nu prin următoarea comandă:

[e-mail protejat]: ~ $ sudo status amazon-ssm-agent

Dacă comanda de mai sus afișează că amazon-ssm-agent este oprit, atunci încercați aceste comenzi:

[e-mail protejat]: ~ $ sudo start amazon-ssm-agent
[e-mail protejat]: ~ $ sudo status amazon-ssm-agent

Crearea profilului instanței IAM:

În mod implicit, AWS Systems Manager nu are autorizația de a executa acțiuni asupra instanțelor dvs. Trebuie să permiteți accesul utilizând profilul instant AWS Identity and Access Management Instant Profile (IAM). La lansare, un container transferă datele de poziție IAM către o instanță Amazon EC2 se numește profil de instanță. Această condiție se extinde la aprobările pentru toate capacitățile AWS Systems Manager. Dacă utilizați capabilități System Manager, cum ar fi comanda Run, un profil de instanță cu permisiunile de bază necesare pentru Session Manager poate fi deja atașat instanțelor dvs. Dacă instanțele dvs. sunt deja conectate la un profil de instanță care include politica gestionată de AmazonSSMManagedInstanceCore AWS, sunt deja emise permisiunile corespunzătoare ale Managerului de sesiuni. Cu toate acestea, în anumite cazuri, este posibil să trebuiască să modificați permisiunile pentru a adăuga permisiunile managerului de sesiune la un profil de instanță. În primul rând, deschideți consola IAM conectându-vă la consola de administrare AWS. Acum faceți clic pe „Roluri”În bara de navigare. Aici alegeți numele funcției care va fi inclusă în politică. În fila Permisiuni, alegeți să adăugați o politică în linie situată în partea de jos a paginii. Faceți clic pe fila JSON și înlocuiți conținutul deja ritmat cu următorul:


„Versiune”: „17-10-2012”,
"Afirmație": [

"Efect": "Permiteți",
"Acțiune": [
"ssmmessages: CreateControlChannel",
"ssmmessages: CreateDataChannel",
"ssmmessages: OpenControlChannel",
"ssmmessages: OpenDataChannel"
],
„Resursă”: „*”
,

"Efect": "Permiteți",
"Acțiune": [
"s3: GetEncryptionConfiguration"
],
„Resursă”: „*”
,

"Efect": "Permiteți",
"Acțiune": [
„kms: Decrypt”
],
„Resursă”: „nume-cheie”

]

După înlocuirea conținutului, faceți clic pe Politica de examinare. Pe această pagină, introduceți numele politicii în linie, cum ar fi SessionManagerPermissions, sub opțiunea Nume. După ce faceți acest lucru, alegeți opțiunea Creare politică.

Actualizarea interfeței liniei de comandă:

Pentru a descărca versiunea 2 a AWS CLI din linia de comandă Linux, descărcați mai întâi fișierul de instalare folosind comanda curl:

[e-mail protejat]: ~ $ curl "https: // awscli.amazonaws.com / awscli-exe-linux-x86_64.zip "-o" awscliv2.zip "

Dezarhivați programul de instalare folosind această comandă:

[e-mail protejat]: ~ $ unzip awscliv2.fermoar

Pentru a vă asigura că actualizarea este activată în același loc cu AWS CLI versiunea 2 deja instalată, găsiți link-ul simbolic existent, utilizând comanda care și directorul de instalare utilizând comanda ls astfel:

[e-mail protejat]: ~ $ care aws
[e-mail protejat]: ~ $ ls -l / usr / local / bin / aws

Construiți comanda de instalare folosind această legătură simbolică și informațiile din director și apoi confirmați instalarea folosind comenzile de mai jos:

[e-mail protejat]: ~ $ sudo ./ aws / install --bin-dir / usr / local / bin --install-dir / usr / local / aws-cli --update
[e-mail protejat]: ~ $ aws --version

Instalarea pluginului Session Manager:

Instalați pluginul Session Manager pe computerul dvs. local dacă doriți să utilizați AWS CLI pentru a începe și a termina sesiunile. Pentru a instala acest plugin pe Linux, mai întâi descărcați pachetul RPM și apoi instalați-l folosind următoarea secvență de comenzi:

[e-mail protejat]: ~ $ curl "https: // s3.amazonaws.com / session-manager-downloads / plugin / latest / linux_64bit / session-manager-plugin.rpm "-o" session-manager-plugin.rpm "
[e-mail protejat]: ~ $ sudo yum install -y session-manager-plugin. rpm

După instalarea pachetului, puteți confirma dacă pluginul este instalat cu succes sau nu folosind următoarea comandă:

[e-mail protejat]: ~ $ session-manager-plugin

SAU

[e-mail protejat]: ~ $ aws ssm start-session --target id-of-an-instance-you-have-permissions-to-access

Actualizarea fișierului de configurare SSH al gazdei locale:

Schimbați fișierul de configurare SSH pentru a permite unei comenzi proxy să înceapă o sesiune din Session Manager și să transmită toate datele prin conexiune. Adăugați acest cod în fișierul de configurare SSH cu ritmul la „~ /.ssh / config ”:

Folosind SCP și SSH:

Acum veți fi pregătit să expediați conexiunile SSH și SCP cu proprietățile dvs. cloud direct de pe computerul din apropiere, după ce pașii menționați anterior sunt finalizați.

Obțineți ID-ul instanței activului cloud. Acest lucru poate fi realizat prin consola de administrare AWS sau prin următoarea comandă:

[e-mail protejat]: ~ $ aws ec2-instanțe de descriere

SSH poate fi executat ca de obicei folosind id-ul instanței ca nume de gazdă, iar linia de comandă SSH comută astfel:

Acum fișierele pot fi transferate cu ușurință pe mașina la distanță fără a fi nevoie de o etapă intermediară, utilizând SCP.

Concluzie:

Utilizatorii s-au bazat pe firewall-uri de ani de zile pentru a accesa conținutul cloud în siguranță, dar aceste opțiuni au probleme de criptare și gestionare. În timp ce infrastructura nemodificată este un obiectiv ideal din diverse motive, în anumite cazuri, crearea sau menținerea unui sistem live necesită copierea patch-urilor sau a altor date în instanțele live, iar multe vor ajunge la nevoia de a ajunge sau de a regla sistemele care rulează live. AWS Systems Manager Session Manager permite această capacitate fără intrarea în firewall suplimentar și nevoia de soluții externe, cum ar fi utilizarea S3 intermediară.

Jocuri Cele mai bune jocuri de linie de comandă pentru Linux
Cele mai bune jocuri de linie de comandă pentru Linux
Linia de comandă nu este doar cel mai mare aliat al tău când folosești Linux - poate fi și sursa de divertisment, deoarece poți să o folosești pentru ...
Jocuri Best Gamepad Mapping Apps for Linux
Best Gamepad Mapping Apps for Linux
If you like to play games on Linux with a gamepad instead of a typical keyboard and mouse input system, there are some useful apps for you. Many PC ga...
Jocuri Instrumente utile pentru jucătorii Linux
Instrumente utile pentru jucătorii Linux
Dacă vă place să jucați jocuri pe Linux, este posibil să fi folosit aplicații și utilitare precum Wine, Lutris și OBS Studio pentru a îmbunătăți exper...