AWS Systems Manager Session Manager 支持通过 Shell 访问 EC2 实例_语言 & 开发_亚马逊云科技 (Amazon Web Services）

【AICon】如何构建高效的 RAG 系统？RAG 技术在实际应用中遇到的挑战及应对策略？>>> 了解详情 



 写点什么

AWS Systems Manager Session Manager 支持通过 Shell 访问 EC2 实例

当今这个时代对于企业 IT 管理员来说非常有趣。一方面，开发人员在探讨（并着手实施）基础设施即代码的美好未来，将服务器和其他资源视之如敝履。另一方面，仍需将旧版系统视之如爱宠，需要手动或借助有限的自动化进行设置和维护。与我交流过的许多客户都在快速向未来迈进，但却困囿于眼下的环境。例如，他们有时仍需要在 Shell 级别访问服务器。他们可能需要在维护强大的安全配置文件的同时，强制结束失控的进程、查阅服务器日志、优化配置或安装临时补丁。他们希望避免因运行堡垒主机产生的麻烦，也希望规避因在实例上打开入站 SSH 端口带来的风险。

我们已经通过 AWS Systems Manager Run Command 满足了部分 Shell 级访问需求。这款 AWS 工具可让管理员安全访问 EC2 实例。允许他们创建命令文档并在任何所需的 EC2 实例组上运行它们，同时支持 Linux 和 Microsoft Windows。这些命令以异步方式运行，并捕获输出以供审核。

全新 Session Manager

今天，我们增加了新的 Shell 级访问选项。全新 Session Manager 让 AWS Systems Manager 更加强大。现在，您可以使用基于浏览器的全新交互式 Shell 和命令行界面 (CLI) 来管理 Windows 和 Linux 实例。其功能如下：

安全访问 – 您不必在实例上手动设置用户账户、密码或 SSH 密钥，也不必打开任何入站端口。Session Manager 通过 SSM 代理，通过在实例上生成的加密隧道与实例进行通信，不需要堡垒主机。

访问控制 – 您可以使用 IAM 策略和用户来控制实例访问权限，无需分发 SSH 密钥。您可以利用 IAM 的日期条件运算符，将访问限制在所需的时间/维护时段。

可审计性 – 命令和响应可以记录到 Amazon CloudWatch 和 S3 存储桶中。您可以安排在新会话启动时接收 SNS 通知。

交互性 – 命令在完全交互的 bash (Linux) 或 PowerShell (Windows) 环境中同步执行

编程和脚本编写 – 除了我稍后要展示的控制台访问权限之外，您还可以通过命令行 (aws ssm ...) 或 Session Manager API 发起会话。

EC2 实例上运行的 SSM 代理必须能够连接到 Session Manager 的公共终端节点。您还可以设置 PrivateLink 连接，允许在私有 VPC 中运行的实例（在无法访问互联网或公共 IP 地址的情况下）连接到 Session Manager。

Session Manager 实际应用

为了使用 Session Manager 访问我的 EC2 实例，实例必须运行位于最新版本（2.3.12 或更高版本）的 SSM 代理中。实例的实例角色必须引用允许访问相应服务的策略；您可以创建自己的策略，也可以使用 AmazonEC2RoleForSSM 。这是我的 EC2 实例（ sk1 和 sk2 运行的是 Amazon Linux； sk3-win 和 sk4-win 运行的是 Microsoft Windows）：