Gunakan AWS SSM Session Manager untuk mencapai EC2 tanpa IP rangkaian awam dan tanpa log masuk kunci yang selamat
Dalam operasi dan penyelenggaraan pelayan awan tradisional, untuk log masuk ke Linux EC2, konfigurasi standard biasanya: mengikat IP rangkaian awam (atau melalui pintu masuk NAT) ke pelayan, dan melepaskannya pada kumpulan keselamatan
TCP:22
Port, dan kemudian konfigurasikan kunci SSH secara tempatan (
. Pem
Fail), dan akhirnya sambungkan melalui terminal.
Walau bagaimanapun, proses standard ini, yang telah berjalan selama lebih dari sepuluh tahun, menghadapi cabaran besar di bawah peraturan keselamatan peringkat perusahaan moden:
Risiko melayari rangkaian awam: Selagi port 22 dibuka, tidak kira sama ada anda menukar port lalai atau tidak, ribuan skrip penggodam akan diimbas dan retak dengan ganas setiap hari.
Bencana pengurusan utama: Setelah fail utama diedarkan ke beberapa pembangunan atau operasi dan penyelenggaraan, sangat mudah untuk menyebabkan kemalangan keselamatan besar di mana pekerja meninggalkan pekerjaan mereka dan tidak sengaja memindahkan kunci ke GitHub awam.
Kos tinggi: Agar tidak memperuntukkan IP rangkaian awam ke pelayan, banyak pasukan harus mengeluarkan wang untuk membina kubu (Jumpbox) atau mengkonfigurasi terowong VPN yang kompleks, yang meningkatkan anggaran harian.
Dalam sistem AWS, ada permainan lanjutan percuma yang dapat disebut pengurangan dimensi, yang dapat menghilangkan semua titik sakit di atas dengan sempurna. Ia dipanggil
AWS Systems Manager Session Manager (Pengurus Sesi)
。
Jangan bincangkan teori keselamatan yang rumit hari ini. Tangan membawa anda melalui keseluruhan proses untuk dicapai
Pelayan tidak memerlukan IP rangkaian awam, kumpulan keselamatan tidak perlu membuka port, dan tidak memerlukan apa-apa secara tempatan. Fail kunci pem
, Anda boleh log masuk ke terminal EC2.
Tahap pertama: pembongkaran mendalam, teknologi hitam "sambungan balik" Pengurus Sesi
Mengapa kita tidak memerlukan IP rangkaian awam dan port 22, dan kita masih boleh menyambung ke pelayan dari jauh?
Log masuk SSH tradisional adalah
Sambungan hadapan
: Komputer anda, sebagai pelanggan, mengambil inisiatif untuk melalui rangkaian awam untuk mengetuk port 22 pelayan EC2. Ini memerlukan pelayan mesti mempunyai pintu masuk rangkaian awam dan pintu mesti terbuka.
Pengurus Sesi menggunakan
Sambungan terbalik
Logik:
Di dalam pelayan EC2 anda, daemon rasmi yang disebut SSM Agent dipasang.
Proses ini tidak memerlukan lalu lintas luaran masuk, ia akan secara aktif menjalin hubungan jangka panjang dua hala yang selamat dari dalam ke luar melalui HTTPS (port 443) dan pelayan SSM rasmi AWS.
Apabila anda log masuk ke konsol AWS atau ingin menyambung ke pelayan melalui AWS CLI tempatan, permintaan anda akan dihantar ke pelayan AWS SSM terlebih dahulu, dan pelayan akan menghantar arahan ke ejen dalaman EC2. Pelaksanaan.
Kesimpulan keselamatan teras: Oleh kerana lalu lintas semuanya dihantar dari dalam ke luar, peraturan kemasukan kumpulan keselamatan EC2 anda dapat diselesaikan
Kosongkan sepenuhnya (tutup sepenuhnya semua port masuk), malah penggodam tidak dapat menemui kehadiran pelayan anda dengan pengesan, dan selamat dan langsung mengisinya.
Tahap kedua: latihan pertempuran sebenar 1-memberi hak EC2 untuk bercakap (konfigurasi peranan IAM)
Sekiranya EC2 ingin mengambil inisiatif untuk menyambung ke pelayan SSM AWS, ia mesti mendapat kebenaran anda. Di AWS, satu-satunya pas untuk kebenaran sumber dipanggil
IAM Role (Peranan Pengurusan Identiti dan Akses)
。
Log masuk ke konsol AWS, cari dan pergi ke perkhidmatan IAM.
Klik pada menu di sebelah kiri "Roles"-> "Create role".
Jenis entiti yang dipercayai memilih "perkhidmatan AWS", dan perkhidmatan atau kes penggunaan memilih EC2. Klik Seterusnya.
Tambahkan strategi kebenaran (titik utama): Masukkan AmazonSSMManagedInstanceCore di kotak carian (ini adalah strategi kebenaran inti minimum yang disesuaikan khas oleh AWS untuk Pengurus Sesi), dan tandakan.
Klik Seterusnya untuk memberi nama watak, seperti EC2-SSM-Access-Role, dan klik Buat.
Tahap ketiga: latihan pertempuran sebenar 2-mulakan EC2 peribadi "tertutup sepenuhnya"
Asasnya sudah siap, sekarang kita akan menarik pelayan untuk melakukan ujian sebenar.
Pergi ke konsol EC2 dan klik "Mula Contoh".
Sistem Mirror (AMI): Sangat disyorkan untuk memilih Amazon Linux 2023 atau Amazon Linux 2 terkini. Petua untuk mengelakkan lubang: Kedua-dua sistem ini telah dipasang secara terpasang secara lalai dan memulakan SSM Agent dengan sendirinya. Anda tidak perlu menaip arahan secara manual untuk memasangnya. Sekiranya anda memilih Ubuntu atau CentOS asli, anda perlu memasang perisian SSM Agent secara manual dengan apt atau yum selepas memulakan.
Jenis contoh: Pilih t3.micro tahap percuma.
Pasangan kunci: pilih "Teruskan tanpa pasangan kunci" secara langsung di menu lungsur turun (benar-benar mengalami kesegaran log masuk tanpa kunci).
Tetapan rangkaian (pengiraan kos dan keselamatan aktuari): pengedaran automatik IP rangkaian awam: pilih "Lumpuhkan". Kami tidak memerlukan IP rangkaian awam. Peraturan kemasukan kumpulan keselamatan: Klik terus ke tong sampah untuk menghapus peraturan "Benarkan port SSH 22" pada jalur lalai. Pastikan peraturan masuk kosong.
Perincian lanjutan (suntikan jiwa): Klik ke bawah dan cari "profil instance IAM". Dalam menu lungsur turun, pilih EC2-SSM-Access-Role yang kami buat dengan tepat pada peringkat kedua.
Klik untuk memulakan contoh.
Tahap keempat: momen menyaksikan keajaiban-tiga kaedah log masuk bertenaga tinggi
Permulaan pelayan 2 ~ Selepas 3 minit, pastikan SSM Agen di bahagian bawah
T telah berjaya menyambung ke awan. Mari lihat bagaimana masuk ke dalam sistem.
Kaedah 1: Satu klik pada konsol (kegemaran malas)
Dalam senarai contoh EC2, pilih pelayan yang baru anda bina tanpa rangkaian awam dan tanpa port.
Klik "Sambungan" di bahagian atas.
Tukar ke tab "Pengurus Sesi" (anda akan mendapati bahawa butang "Sambungan" kelabu yang asli telah menyala kerana konfigurasi yang betul).
Klik "Sambung". Penyemak imbas akan muncul terminal asli hitam tulen dalam sekelip mata. Anda sudah mempunyai kebenaran ssm-user. Jalankan sudo su-langsung ke panel kawalan sempurna root.
Kaedah 2: Sambungan langsung terminal tempatan (aliran operasi dan penyelenggaraan profesional)
Banyak operasi dan penyelenggaraan senior tidak suka menulis kod dengan penyemak imbas, dan terbiasa dengan terminal tempatan tempatan (seperti Mac Terminal, iterm2 atau Windows PowerShell). Tiada masalah, Pengurus Sesi juga menyokong.
Pastikan alat AWS CLI dipasang di komputer tempatan anda, dan kunci akses IAM peribadi anda dikonfigurasikan melalui konfigurasi aws.
Komputer tempatan perlu memasang pemalam kecil percuma yang disebut Session Manager Plugin (pergi ke laman web rasmi AWS untuk memuat turun pakej pemasangan sistem operasi yang sesuai, dan memasangnya tanpa otak dalam satu langkah).
Buka terminal tempatan anda dan ketik baris perintah ini secara langsung (ganti ID contoh dengan yang anda sendiri):Bashaws sssm start-dession-target i-0123456789abcdef0 tidak mempunyai petunjuk kunci, tidak perlu memasukkan kata laluan, setelah satu saat, tempatan anda Terminal merangkumi alam semesta secara langsung, ia disambungkan ke pelayan awan tanpa IP rangkaian awam.
Tahap kelima: audit kanan peringkat perusahaan-siapa yang melakukan apa di pelayan saya?
Sekiranya anda berfikir bahawa Pengurus Sesi hanya untuk menyelamatkan masalah, maka memandang rendah spesifikasi AWS. Sebab utama mengapa ia benar-benar disukai oleh syarikat dengan syarat pematuhan tinggi seperti kewangan dan sekuriti adalah kerana ia mempunyai
Garis audit yang sempurna tanpa jalan buntu
。
Dalam log masuk SSH tradisional, pembangun menghubungkan fail apa yang telah dihapus dan konfigurasi apa yang telah diubah. Kecuali anda menghabiskan banyak masa di dalam sistem untuk membuang log, sukar untuk dikesan.
Dalam tetapan AWS Systems Manager, anda boleh mengkonfigurasi log sesi untuk menghidupkan penghantaran secara langsung:
Penghantaran ke baldi S3: Setiap baris perintah yang diketuk oleh pengguna di terminal, dan setiap watak yang dicetak di layar (termasuk ruang belakang dan ralat) akan direkam sebagai fail teks yang dienkripsi dalam waktu nyata dan dimuat naik ke S3 untuk penyimpanan kekal.
Dihantar ke Logs CloudWatch: Menyedari penggera log masa nyata.
Walaupun operasi dan penyelenggaraan dengan kuasa tertinggi dilaksanakan di pelayan
R
M-rf
, Dia tidak dapat menghapus bukti besi bahawa dia telah terbang ke tong audit S3. Siapa yang melakukan operasi dan kapan ia dilakukan, anda dapat mengetahui dengan segera dan memenuhi syarat audit pematuhan yang paling ketat.
Tahap keenam: sejarah operasi dan penyelenggaraan harian
Permintaan sambungan "Contoh tidak didaftarkan atau dalam talian": Setelah pelayan baru dilancarkan, jika anda mendapati bahawa butang sambungan konsol berwarna kelabu, 99% kerana Subnet peribadi anda benar-benar terputus. Walaupun SSM Agent menghantar permintaan dari dalam ke luar, jika subnet peribadi anda tidak dilengkapi dengan pintu masuk NAT atau VPC Endpoints (simpul terminal), ejen bahkan tidak dapat menghantar lalu lintas HTTPS dari nama domain rasmi AWS, ia akan hilang sepenuhnya Sambungan. Pastikan rangkaian peribadi dapat menyambung ke sekurang-kurangnya nama domain rangkaian awam perkhidmatan AWS, atau buat tiga nod terminal VPC baru ssm, sssmmessages, dan ec2messages dalam VPC.
Kad kebenaran terlalu mati dan pasukan tidak dapat bekerjasama: Pengurus Sesi tidak lagi mengenalinya. Fail pem, ia mengenali kebenaran pengguna AWS IAM peribadi. Sekiranya anda ingin pembangun baru Xiao Zhang dapat log masuk ke mesin ini, anda perlu menambahkan strategi ke akaun peribadinya di IAM yang membolehkan pelaksanaan ssm:StartSession untuk contoh EC2. Menggantikan sepenuhnya pengedaran kunci fizikal dengan IAM adalah cara yang betul untuk awan moden.
Ringkasan
Gunakan AWS SSM Session Manager untuk log masuk ke EC2, pada dasarnya menggunakan
Pengesahan identiti moden (IAM) menggantikan pengesahan rangkaian lama (22 port dengan kunci fizikal)
。 Menggunakan teknologi hitam percuma ini bukan sahaja dapat membantu anda memotong kubu dan anggaran IP rangkaian awam yang tidak perlu, tetapi juga menjadikan infrastruktur awan anda "tidak kelihatan" di rangkaian awam. Dengan keselamatan dan kemudahan, ini adalah postur standard operasi dan penyelenggaraan awan yang elegan dan asli.
