AWS Session Manager avec une capacité SSH et SCP améliorée
Configuration de SCP et SSH:
Vous devrez exécuter les étapes de configuration suivantes pour effectuer des opérations SCP et SSH de LocalHost à Asset cloud distant:
Installation de l'agent AWS Systems Manager sur les instances EC2:
Qu'est-ce qu'un agent SSM?
L'agent SSM logiciel d'Amazon peut être installé et configuré sur une instance EC2, une machine virtuelle ou un serveur sur site. L'agent SSM permet au gestionnaire du système de mettre à jour, de contrôler et de personnaliser ces outils. L'agent gère les demandes du service AWS Cloud System Manager, les exécute comme défini dans la demande et transfère les informations d'état et d'exécution au service du gestionnaire de périphériques à l'aide du service de livraison de messages Amazon. Si vous suivez le trafic, vous pouvez voir vos instances Amazon EC2 et tous les serveurs ou machines virtuels sur site dans votre système hybride, en interagissant avec les points de terminaison EC2.
Installation de l'agent SSM:
L'agent SSM est installé sur certaines instances EC2 et Amazon System Images (AMIS) Par défaut, comme Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 et 20 et Amazon 2 ECS optimisé AMIS. En plus de cela, vous pouvez installer SSM manuellement à partir de n'importe quelle région AWS.
Pour l'installer sur Amazon Linux, tout d'abord, téléchargez le programme d'installation de l'agent SSM, puis exécutez-le à l'aide de la commande suivante:
ubuntu @ ubuntu: ~ $ sudo yum install -y https: // s3.région.Amazonaws.com / Amazon-SSM-Region / Dermter / Linux_Amd64 / Amazon-SSM-Agent.RPM
Dans la commande ci-dessus, "région" reflète l'identifiant de la région AWS fournis par le gestionnaire de systèmes. Si vous ne pouvez pas le télécharger à partir de la région, vous avez spécifié, utilisez l'URL globale i.e
ubuntu @ ubuntu: ~ $ sudo yum install -y https: // s3.Amazonaws.com / ec2-downloads-windows / ssmagent / dernier / linux_amd64 / amazon-ssm-agent.RPM
Après l'installation, confirmez si l'agent est en cours d'exécution ou non par la commande suivante:
ubuntu @ ubuntu: ~ $ sudo statut amazon-ssm-agent
Si la commande ci-dessus affiche que l'Amazon-SSM-Agent est arrêté, essayez ces commandes:
Ubuntu @ Ubuntu: ~ $ sudo Démarrer Amazon-SSM-Agent
ubuntu @ ubuntu: ~ $ sudo statut amazon-ssm-agent
Création du profil d'instance IAM:
Par défaut, AWS Systems Manager n'a pas l'autorisation d'exécuter des actions sur vos instances. Vous devez autoriser l'accès en utilisant le profil instantané de la gestion de l'identité AWS et de l'accès (IAM). Au lancement, un conteneur transfère les données de position IAM vers une instance Amazon EC2 est appelée un profil d'instance. Cette condition s'étend aux approbations sur toutes les capacités AWS Systems Manager. Si vous utilisez System Manager Capacities, comme la commande RUN, un profil d'instance avec les autorisations de base nécessaires à Session Manager peut déjà être jointe à vos instances. Si vos instances sont déjà connectées à un profil d'instance qui comprend la politique gérée AWS AmazonSSmMeagedInstanceCore, les autorisations appropriées du gestionnaire de session sont déjà émises. Cependant, dans des cas spécifiques, les autorisations peuvent devoir être modifiées pour ajouter des autorisations de gestionnaire de session à un profil d'instance. Tout d'abord, ouvrez la console IAM en vous connectant à la console de gestion AWS. Cliquez maintenant sur le "Les rôles»Option dans la barre de navigation. Ici, choisissez le nom du poste à inclure dans la politique. Dans l'onglet Autorisations, choisissez d'ajouter une stratégie en ligne située en bas de la page. Cliquez sur l'onglet JSON et remplacez le contenu déjà rythmé par le suivant:
"Version": "2012-10-17",
"Déclaration": [
"Effet": "Autoriser",
"Action": [
"SSMMESSAGES: CREATEControlChannel",
"SSMMESSAGES: Création d'Anomnel",
"SSMMESSAGES: OpenControlChannel",
"SSMMESSAGES: OpenDatachannel"
]],
"Ressource": "*"
,
"Effet": "Autoriser",
"Action": [
"S3: GetEncryptionConfiguration"
]],
"Ressource": "*"
,
"Effet": "Autoriser",
"Action": [
"kms: décrypter"
]],
"Ressource": "Key-Name"
]]
Après avoir remplacé le contenu, cliquez sur la politique d'examen. Sur cette page, entrez le nom de la politique en ligne comme SessionManagerPerMissions sous l'option de nom. Après cela, choisissez l'option Créer la stratégie.
Mise à jour de l'interface de ligne de commande:
Pour télécharger la version 2 de AWS CLI à partir de la ligne de commande Linux, téléchargez d'abord le fichier d'installation à l'aide de la commande curl:
ubuntu @ ubuntu: ~ $ curl "https: // awscli.Amazonaws.com / awscli-exe-linux-x86_64.zip "-o" awscliv2.zipper"
Décompressez le programme d'installation à l'aide de cette commande:
ubuntu @ ubuntu: ~ $ unzip awscliv2.zipper
Pour vous assurer que la mise à niveau est activée au même endroit que la version 2 AWS CLI déjà installée, trouvez le lien symbolique existant, en utilisant la commande qui, et le répertoire d'installation à l'aide de la commande ls comme celle-ci:
ubuntu @ ubuntu: ~ $ qui aws
ubuntu @ ubuntu: ~ $ ls -l / usr / local / bin / aws
Construisez la commande d'installation à l'aide de ces informations de liaison systématique et de répertoire, puis confirmez l'installation à l'aide des commandes ci-dessous:
ubuntu @ ubuntu: ~ $ sudo ./ aws / installer --bin-dir / usr / local / bin --install-diir / usr / local / aws-Cli - update
ubuntu @ ubuntu: ~ $ aws --version
Installation du plugin Session Manager:
Installez le plugin Session Manager sur votre ordinateur local si vous souhaitez utiliser la CLI AWS pour démarrer et terminer ses séances. Pour installer ce plugin sur Linux, téléchargez d'abord le package RPM, puis l'installez en utilisant la séquence de commandes suivante:
ubuntu @ ubuntu: ~ $ curl "https: // s3.Amazonaws.com / session-manager-downloads / plugin / dernier / linux_64bit / session-manager-plugin.RPM "-o" Session-Manager-Plugin.RPM "
ubuntu @ ubuntu: ~ $ sudo yum install -y session-manager-plugin. RPM
Après avoir installé le package, vous pouvez confirmer si le plugin est installé avec succès ou non en utilisant la commande suivante:
Ubuntu @ Ubuntu: ~ $ Session-Manager-Plugin
OU
Ubuntu @ Ubuntu: ~ $ AWS SSM START-SESSION - ID-ID-AN-AN-INSTANCE
Mise à jour du fichier de configuration Host SSH local:
Modifiez le fichier de configuration SSH pour permettre à une commande proxy de démarrer une session du gestionnaire de session et de passer toutes les données via la connexion. Ajoutez ce code au fichier de configuration SSH rythmé à "~ /.ssh / config ”:
Utilisation de SCP et SSH:
Maintenant, vous serez prêt à expédier les connexions SSH et SCP avec vos propriétés cloud à partir de votre PC à proximité une fois les étapes mentionnées précédemment.
Obtenez l'instance de Cloud Asset-ID. Cela peut être réalisé via la console de gestion AWS ou la commande suivante:
ubuntu @ ubuntu: ~ $ aws ec2 décrivait les instances
SSH peut être exécuté comme d'habitude en utilisant l'instance-ID comme nom d'hôte, et la ligne de commande SSH commut comme ceci:
Les fichiers peuvent désormais être transférés facilement vers la machine distante sans avoir besoin d'une étape intermédiaire, en utilisant SCP.
Conclusion:
Les utilisateurs s'appuient sur des pare-feu pendant des années pour accéder au contenu cloud en toute sécurité, mais ces options ont des problèmes de cryptage et de gestion. Alors que l'infrastructure sans change. Le gestionnaire de session AWS Systems Manager permet cette capacité sans entrée de pare-feu supplémentaire et la nécessité de solutions externes comme l'intermédiaire de S3.