Langkah 8: (Opsional) Izinkan dan kontrol izin untuk SSH koneksi melalui Session Manager

Untuk memungkinkan SSH koneksi untuk Session Manager

1. Pada node terkelola yang ingin Anda izinkan SSH koneksi, lakukan hal berikut:

   • Pastikan SSH yang berjalan pada node terkelola. (Anda dapat menutup port masuk pada node.)

   • Memastikan bahwa SSM Agent versi 2.3.672.0 atau yang lebih baru diinstal pada node terkelola.

     Untuk informasi tentang menginstal atau memperbarui SSM Agent pada node terkelola, lihat topik berikut:

     • Menginstal dan mencopot pemasangan secara manual SSM Agent pada EC2 contoh untuk Windows Server.

     • Menginstal dan menghapus instalan secara manual SSM Agent pada EC2 instance untuk Linux

     • Menginstal dan menghapus instalasi secara manual SSM Agent pada EC2 contoh untuk macOS

     • Cara menginstal SSM Agent pada node Windows hibrida

     • Cara menginstal SSM Agent pada node Linux hibrida

     catatan

     Untuk menggunakan Session Manager dengan server lokal, perangkat edge, dan mesin virtual (VMs) yang Anda aktifkan sebagai node terkelola, Anda harus menggunakan tingkat instance lanjutan. Untuk informasi selengkapnya tentang instans lanjutan, lihat Mengonfigurasi tingkat instans.

2. Pada mesin lokal tempat Anda ingin terhubung ke node terkelola menggunakanSSH, lakukan hal berikut:

   • Pastikan versi 1.1.23.0 atau yang lebih baru Session Manager Plugin sudah terinstal.

     Untuk informasi tentang menginstal Session Manager plugin, lihatInstal Session Manager plugin untuk AWS CLI.

   • Perbarui file SSH konfigurasi untuk memungkinkan menjalankan perintah proxy yang memulai Session Manager sesi dan transfer semua data melalui koneksi.

     Linux and macOS

     Tip

     File SSH konfigurasi biasanya terletak di~/.ssh/config.

     Tambahkan berikut ke file konfigurasi di mesin lokal.

     # SSH over Session Manager
     host i-* mi-*
         ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"

     Windows

     Tip

     File SSH konfigurasi biasanya terletak diC:\Users\<username>\.ssh\config.

     Tambahkan berikut ke file konfigurasi di mesin lokal.

     # SSH over Session Manager
     host i-* mi-*
         ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"

   • Buat atau verifikasi bahwa Anda memiliki sertifikat Privacy Enhanced Mail (PEMfile), atau setidaknya kunci publik, untuk digunakan saat membuat koneksi ke node terkelola. Ini harus menjadi kunci yang sudah dikaitkan dengan node terkelola. Izin file kunci pribadi Anda harus diatur sehingga hanya Anda yang dapat membacanya. Anda dapat menggunakan perintah berikut untuk mengatur izin file kunci pribadi Anda sehingga hanya Anda yang dapat membacanya.

     chmod 400 <my-key-pair>.pem

     Misalnya, untuk instance Amazon Elastic Compute Cloud (AmazonEC2), file key pair yang Anda buat atau pilih saat membuat instance. (Anda menentukan jalur ke sertifikat atau kunci sebagai bagian dari perintah untuk memulai sesi. Untuk informasi tentang memulai sesi menggunakanSSH, lihatMemulai sesi (SSH).)

Untuk menggunakan IAM kebijakan untuk mengizinkan SSH koneksi melalui Session Manager

• Gunakan salah satu opsi berikut:

  • Opsi 1: Buka IAM konsol di https://console.aws.amazon.com/iam/.

    Di panel navigasi, pilih Kebijakan, lalu perbarui kebijakan izin untuk pengguna atau peran yang ingin Anda izinkan untuk memulai koneksi SSH Session Manager.

    Misalnya, tambahkan elemen berikut ke kebijakan Quickstart yang Anda buat. Kebijakan pengguna akhir Quickstart untuk Session Manager Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "ssm:StartSession",
                "Resource": [
                    "arn:aws:ec2:region:account-id:instance/instance-id",
                    "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
                ]
            }
        ]
    }

  • Opsi 2: Lampirkan kebijakan inline ke kebijakan pengguna dengan menggunakan AWS Management Console, AWS CLI, atau. AWS API

    Dengan menggunakan metode pilihan Anda, lampirkan pernyataan kebijakan di Opsi 1 ke kebijakan untuk AWS pengguna, grup, atau peran.

    Untuk selengkapnya, lihat Menambahkan dan Menghapus IAM Izin Identitas di Panduan IAM Pengguna.

Untuk menggunakan IAM kebijakan untuk menolak SSH koneksi melalui Session Manager

• Gunakan salah satu opsi berikut:

  • Opsi 1: Buka IAM konsol di https://console.aws.amazon.com/iam/. Di panel navigasi, pilih Kebijakan, lalu perbarui kebijakan izin untuk pengguna atau peran yang akan diblokir agar tidak dimulai Session Manager sesi.

    Misalnya, tambahkan elemen berikut ke kebijakan Quickstart yang Anda buat. Kebijakan pengguna akhir Quickstart untuk Session Manager

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "VisualEditor1",
                "Effect": "Deny",
                "Action": "ssm:StartSession",
                "Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
            }
        ]
    }

  • Opsi 2: Lampirkan kebijakan inline ke kebijakan pengguna dengan menggunakan AWS Management Console, AWS CLI, atau. AWS API

    Dengan menggunakan metode pilihan Anda, lampirkan pernyataan kebijakan di Opsi 1 ke kebijakan untuk AWS pengguna, grup, atau peran.

    Untuk selengkapnya, lihat Menambahkan dan Menghapus IAM Izin Identitas di Panduan IAM Pengguna.