Phenquestions
Configurazione di SCP e SSH:
Sarà necessario eseguire i seguenti passaggi di configurazione per eseguire operazioni SCP e SSH dall'host locale all'asset cloud remoto:
Installazione dell'agente AWS Systems Manager su istanze EC2:
Cos'è un agente SSMSM?
Il software SSM Agent di Amazon può essere installato e configurato su un'istanza EC2, una macchina virtuale o un server in loco. SSM Agent consente al gestore di sistema di aggiornare, controllare e personalizzare questi strumenti. L'agente gestisce le richieste dal servizio AWS Cloud System Manager, le esegue come definito nella richiesta e trasferisce lo stato e le informazioni di esecuzione al servizio Device Manager utilizzando Amazon Message Delivery Service. Se monitori il traffico, puoi vedere le tue istanze Amazon EC2 ed eventuali server o macchine virtuali in loco nel tuo sistema ibrido, che interagiscono con gli endpoint dei messaggi ec2.
Installazione dell'agente SSM:
L'agente SSM è installato su alcune istanze EC2 e Amazon System Images (AMI) per impostazione predefinita come Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 e 20 e AMI ottimizzate per Amazon 2 ECS. Oltre a questo, puoi installare SSM manualmente da qualsiasi regione AWS.
Per installarlo su Amazon Linux, innanzitutto, scarica il programma di installazione dell'agente SSM e poi eseguilo utilizzando il seguente comando:
[email protected]:~$ sudo yum install -y https://s3.regione.amazonaws.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.giri/minNel comando precedente, "regione" riflette l'AWS Region Identifier fornito dal Systems Manager. Se non puoi scaricarlo dalla regione che hai specificato, usa l'URL globale i.e
[email protected]:~$ sudo yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.giri/minDopo l'installazione, confermare se l'agente è in esecuzione o meno con il seguente comando:
[email protected]:~$ sudo status amazon-ssm-agentSe il comando precedente mostra che amazon-ssm-agent è stato arrestato, prova questi comandi:
[email protected]:~$ sudo start amazon-ssm-agent[email protected]:~$ sudo status amazon-ssm-agent
Creazione del profilo dell'istanza IAM:
Per impostazione predefinita, AWS Systems Manager non dispone dell'autorizzazione per eseguire azioni sulle tue istanze. Devi consentire l'accesso utilizzando AWS Identity and Access Management Instant Profile (IAM). Al momento del lancio, un container trasferisce i dati di posizione IAM a un'istanza Amazon EC2 è chiamato profilo di istanza. Questa condizione si estende alle approvazioni su tutte le funzionalità di AWS Systems Manager. Se stai utilizzando le funzionalità di System Manager, come il comando Esegui, un profilo di istanza con le autorizzazioni di base necessarie per Session Manager può già essere collegato alle tue istanze. Se le tue istanze sono già connesse a un profilo dell'istanza che include AmazonSSMManagedInstanceCore AWS Managed Policy, le autorizzazioni appropriate di Session Manager sono già state rilasciate. Tuttavia, in casi specifici, potrebbe essere necessario modificare i permessi per aggiungere i permessi del gestore di sessione a un profilo dell'istanza. Prima di tutto, apri la console IAM accedendo alla console di gestione AWS. Ora fai clic su "Ruoliopzione "nella barra di navigazione. Qui scegli il nome della posizione da inserire nella polizza. Nella scheda Autorizzazioni, scegli Aggiungi criterio in linea situato nella parte inferiore della pagina. Fare clic sulla scheda JSON e sostituire il contenuto già stimolato con il seguente:
"Versione": "2012-10-17",
"Dichiarazione": [
"Effetto": "Consenti",
"Azione": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Risorsa": "*"
,
"Effetto": "Consenti",
"Azione": [
"s3:GetEncryptionConfiguration"
],
"Risorsa": "*"
,
"Effetto": "Consenti",
"Azione": [
"kms:Decrittografare"
],
"Risorsa": "nome-chiave"
]
Dopo aver sostituito il contenuto, fai clic su Politica di revisione. In questa pagina, inserisci il nome della policy in linea come SessionManagerPermissions sotto l'opzione Nome. Dopo averlo fatto, scegli l'opzione Crea criterio.
Aggiornamento dell'interfaccia della riga di comando:
Per scaricare la versione 2 di AWS CLI dalla riga di comando di Linux, scarica innanzitutto il file di installazione utilizzando il comando curl:
[email protected]:~$ curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.cerniera lampo"Decomprimi il programma di installazione usando questo comando:
[email protected]:~$ decomprimi awscliv2.cerniera lampoPer assicurarti che l'aggiornamento sia abilitato nella stessa posizione dell'AWS CLI versione 2 già installata, trova il collegamento simbolico esistente utilizzando il comando which e la directory di installazione utilizzando il comando ls in questo modo:
[email protected]:~$ che aws[protetto da posta elettronica]:~$ ls -l /usr/local/bin/aws
Costruisci il comando di installazione utilizzando questo collegamento simbolico e le informazioni sulla directory, quindi conferma l'installazione utilizzando i comandi seguenti:
[e-mail protetta]:~$ sudo ./aws/install --bin-dir /usr/local/bin --install-dir /usr/local/aws-cli --update[email protected]:~$ aws --version
Installazione del plug-in Gestione sessioni:
Installa il plug-in Session Manager sul tuo computer locale se desideri utilizzare l'AWS CLI per avviare e terminare le sessioni. Per installare questo plugin su Linux, prima scarica il pacchetto RPM e poi installalo usando la seguente sequenza di comandi:
[email protected]:~$ curl "https://s3.amazonaws.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm" -o "plugin-gestore-sessione.giri/min"[email protected]:~$ sudo yum install -y session-manager-plugin. giri/min
Dopo aver installato il pacchetto, puoi confermare se il plug-in è stato installato correttamente o meno utilizzando il seguente comando:
[email protected]:~$ session-manager-pluginO
[email protected]:~$ aws ssm start-session --target id-of-an-instance-you-have-permissions-to-accessAggiornamento del file di configurazione SSH dell'host locale:
Modificare il file di configurazione SSH per consentire a un comando proxy di avviare una sessione di Session Manager e passare tutti i dati tramite la connessione. Aggiungi questo codice al file di configurazione SSH con ritmo in "~/.ssh/config”:
Usando SCP e SSH:
Ora sarai pronto a inviare connessioni SSH e SCP con le tue proprietà cloud direttamente dal tuo PC vicino dopo che i passaggi sopra menzionati sono stati completati.
Ottieni l'ID istanza dell'asset cloud. Ciò può essere ottenuto tramite la console di gestione AWS o il seguente comando:
[email protected]:~$ aws ec2 description-instancesSSH può essere eseguito come al solito utilizzando l'instance-id come nome host e le opzioni della riga di comando SSH in questo modo:
Ora i file possono essere trasferiti facilmente alla macchina remota senza bisogno di una fase intermedia, utilizzando SCP.
Conclusione:
Gli utenti si affidano da anni ai firewall per accedere ai contenuti cloud in modo sicuro, ma queste opzioni hanno problemi di crittografia e di gestione. Sebbene l'infrastruttura immutabile sia un obiettivo ideale per vari motivi, in alcuni casi, la creazione o la manutenzione di un sistema live richiede la copia di patch o altri dati nelle istanze live e molti finiranno con la necessità di accedere o regolare i sistemi in esecuzione. AWS Systems Manager Session Manager consente questa funzionalità senza l'ingresso aggiuntivo del firewall e la necessità di soluzioni esterne come l'uso intermedio di S3.
