Stellen Sie mithilfe von Session Manager eine Connect zu einer EC2 Amazon-Instance her - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenArchitekturToolsBewährte MethodenEpenFehlerbehebungZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Stellen Sie mithilfe von Session Manager eine Connect zu einer EC2 Amazon-Instance her

Erstellt von Jason Cornick (AWS), Abhishek Bastikoppa () und Yaniv Ron () AWS AWS

Umwelt: Produktion

Technologien: Infrastruktur CloudNative; Datenverarbeitung für Endbenutzer; Betrieb

AWSDienste: Amazon CloudWatch Logs; AWS Systems Manager; Amazon EC2

Übersicht

Dieses Muster beschreibt, wie Sie mithilfe des Session Managers, einer Funktion von AWS Systems Manager, eine Verbindung zu einer Amazon Elastic Compute Cloud (AmazonEC2) -Instance herstellen. Mithilfe dieses Musters können Sie Bash-Befehle auf einer EC2 Instance über einen Webbrowser ausführen. Session Manager erfordert nicht, dass Sie eingehende Ports öffnen, und es sind keine öffentlichen IP-Adressen für EC2 Instanzen erforderlich. Darüber hinaus entfällt die Notwendigkeit, Bastion-Hosts mit unterschiedlichen Secure Shell (SSH) -Schlüsseln zu verwalten. Sie können den Zugriff auf Session Manager mit AWS Identity and Access Management (IAM) -Richtlinien steuern und die Protokollierung konfigurieren, in der wichtige Informationen wie Instanzzugriff und Aktionen aufgezeichnet werden.

In diesem Muster konfigurieren Sie eine IAM Rolle und ordnen sie einer EC2 Linux-Instance zu, die Sie mithilfe eines Amazon Machine Image (AMI) bereitstellen. Anschließend konfigurieren Sie die Protokollierung in Amazon CloudWatch Logs und verwenden Session Manager, um eine Sitzung mit der Instance zu starten.

Obwohl dieses Muster eine Verbindung zu einer EC2 Linux-Instance in der Amazon Web Services (AWS) Cloud herstellt, könnten Sie diesen Ansatz verwenden, um Session Manager für Verbindungen mit anderen Servern wie lokalen Servern oder anderen virtuellen Maschinen zu verwenden.

Voraussetzungen und Einschränkungen

Voraussetzungen

Architektur

Zieltechnologie-Stack

  • Session Manager

  • Amazon EC2

  • CloudWatch Logs

Zielarchitektur

Session Manager stellt eine Verbindung zu einer EC2 Instanz her und sendet Protokolldaten an CloudWatch Logs oder einen S3-Bucket.

  1. Der Benutzer authentifiziert seine Identität und seine Anmeldeinformationen überIAM.

  2. Der Benutzer initiiert eine SSH Sitzung über den Sitzungsmanager und sendet API Aufrufe an die EC2 Instanz.

  3. Der AWS Systems Manager SSM Agent, der auf der EC2 Instanz installiert ist, stellt eine Verbindung mit Session Manager her und führt die Befehle aus.

  4. Zu Prüf- und Überwachungszwecken sendet Session Manager die Protokolldaten an CloudWatch Logs. Alternativ können Sie Protokolldaten an einen Amazon Simple Storage Service (Amazon S3) -Bucket senden. Weitere Informationen finden Sie unter Protokollieren von Sitzungsdaten mit Amazon S3 (Systems Manager Manager-Dokumentation).

Tools

AWSDienste

  • Amazon CloudWatch Logs hilft Ihnen dabei, die Protokolle all Ihrer Systeme, Anwendungen und AWS Dienste zu zentralisieren, sodass Sie sie überwachen und sicher archivieren können.

  • Amazon Elastic Compute Cloud (AmazonEC2) bietet skalierbare Rechenkapazität in der AWS Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren. Dieses Muster verwendet ein Amazon Machine Image (AMI), um eine EC2 Linux-Instance bereitzustellen.

  • AWSMit Identity and Access Management (IAM) können Sie den Zugriff auf Ihre AWS Ressourcen sicher verwalten, indem Sie kontrollieren, wer authentifiziert und autorisiert ist, diese zu verwenden.

  • AWSSystems Manager unterstützt Sie bei der Verwaltung Ihrer Anwendungen und Infrastruktur, die in der AWS Cloud ausgeführt werden. Es vereinfacht das Anwendungs- und Ressourcenmanagement, verkürzt die Zeit für die Erkennung und Lösung betrieblicher Probleme und hilft Ihnen, Ihre AWS Ressourcen sicher und in großem Umfang zu verwalten. Dieses Muster verwendet Session Manager, eine Funktion von Systems Manager.

Bewährte Methoden

Wir empfehlen Ihnen, mehr über die Sicherheitssäule des AWS Well-Architected Framework zu lesen und die Verschlüsselungsoptionen zu untersuchen und die Sicherheitsempfehlungen unter Setting up Session Manager (Systems Manager Manager-Dokumentation) anzuwenden.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie die IAM Rolle.

Erstellen Sie die IAM Rolle für den SSM Agenten. Folgen Sie den Anweisungen unter Eine Rolle für einen AWS Dienst erstellen (IAMDokumentation) und beachten Sie dabei Folgendes:

  1. Wählen Sie für den AWS Dienst EC2.

  2. Wählen Sie für Berechtigungsrichtlinien die OptionAmazonSSMManagedInstanceCore.

  3. Geben Sie im Feld Rollenname den Wert einEC2_SSM_Role.

AWSSystemadministrator

Erstellen Sie die EC2 Instanz.

  1. Erstellen Sie die EC2 Instanz. Folgen Sie den Anweisungen unter Launch an Instance (EC2Amazon-Dokumentation) und beachten Sie Folgendes:

    1. Wählen Sie im Abschnitt Name und Tags die Option Zusätzliche Tags hinzufügen aus. Geben Sie unter Key (Schlüssel)Name“ ein, und geben Sie in Value (Wert)Production_Server_One“ ein.

    2. Wählen Sie ein Amazon Linux ausAMI, auf dem der SSM Agent vorinstalliert ist. Eine vollständige Liste finden Sie unter AMIsMit vorinstalliertem SSM Agenten (Systems Manager Manager-Dokumentation).

    3. Wählen Sie im Abschnitt Erweiterte Details unter IAMInstanzprofil die Option EC2_ SSM _Role aus.

  2. Öffnen Sie die Systems Manager Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  3. Wählen Sie im Navigationsbereich Fleet Manager aus.

  4. Stellen Sie sicher, dass die Instanz in der Liste der verwalteten Knoten erscheint.

AWSSystemadministrator

Richten Sie die Protokollierung ein.

  1. Erstellen Sie eine Protokollgruppe in CloudWatch Logs. Folgen Sie den Anweisungen unter Protokollgruppe erstellen (Dokumentation zu CloudWatch Protokollen). Geben Sie der neuen Protokollgruppe einen NamenSessionManager.

  2. Konfigurieren Sie die Protokollierung für Session Manager. Folgen Sie den Anweisungen unter Sitzungsdaten mithilfe von Amazon CloudWatch Logs protokollieren (Systems Manager Manager-Dokumentation) und beachten Sie Folgendes:

    1. Wählen Sie nicht Nur verschlüsselte CloudWatch Protokollgruppen zulassen aus.

    2. Wählen Sie unter Wählen Sie eine Protokollgruppe aus der Liste die Option aus SessionManager.

AWSSystemadministrator
AufgabeBeschreibungErforderliche Fähigkeiten

Connect zur EC2 Instanz her.

  1. Starten Sie eine Sitzung in der Systems Manager Manager-Konsole. Anweisungen finden Sie unter Starten einer Sitzung (Systems Manager Manager-Dokumentation). Wählen Sie für Target-Instanzen das Optionsfeld links neben der Production_Server_One-Instanz.

  2. Nachdem die Verbindung hergestellt wurde, führen Sie mehrere Bash-Befehle aus.

  3. Beenden Sie die Sitzung in der Systems Manager Manager-Konsole. Anweisungen finden Sie unter Sitzung beenden (Systems Manager Manager-Dokumentation).

AWSSystemadministrator

Überprüfen Sie die Protokollierung.

  1. Öffnen Sie unter CloudWatch Logs den Log-Stream für die Protokollgruppe. Anweisungen finden Sie unter Protokolldaten anzeigen (CloudWatch Protokolldokumentation).

  2. Vergewissern Sie sich, dass die Befehle, die Sie in der vorherigen Geschichte ausgeführt haben, in den Protokolldaten aufgeführt sind.

AWSSystemadministrator

Fehlerbehebung

ProblemLösung

IAMProbleme

Unterstützung finden Sie unter Problembehandlung (IAMDokumentation).

Zugehörige Ressourcen