Connect a un' EC2 istanza Amazon utilizzando Session Manager - Prontuario AWS
RiepilogoPrerequisiti e limitazioniArchitetturaStrumentiBest practiceEpicheRisoluzione dei problemiRisorse correlate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connect a un' EC2 istanza Amazon utilizzando Session Manager

Creato da Jason Cornick (AWS), Abhishek Bastikoppa (AWS) e Yaniv Ron (AWS)

Riepilogo

Questo modello descrive come connettersi a un'istanza Amazon Elastic Compute Cloud (Amazon EC2) utilizzando Session Manager, una funzionalità di AWS Systems Manager. Utilizzando questo modello, puoi eseguire comandi bash su un' EC2 istanza tramite un browser Web. Session Manager non richiede l'apertura delle porte in entrata e non richiede indirizzi IP pubblici per EC2 le istanze. Inoltre, elimina la necessità di mantenere host bastion con diverse chiavi Secure Shell (SSH). Puoi gestire l'accesso a Session Manager con le policy di AWS Identity and Access Management (IAM) e configurare la registrazione, che registra informazioni importanti, come l'accesso e le azioni delle istanze.

In questo modello, configuri un ruolo IAM e lo associ a un' EC2 istanza Linux di cui effettui il provisioning utilizzando un'Amazon Machine Image (AMI). Quindi configuri la registrazione in Amazon CloudWatch Logs e utilizzi Session Manager per avviare una sessione con l'istanza.

Sebbene questo modello si connetta a un' EC2 istanza Linux nel cloud Amazon Web Services (AWS), puoi utilizzare questo approccio per utilizzare Session Manager per connessioni con altri server, come server locali o altre macchine virtuali.

Prerequisiti e limitazioni

Prerequisiti

Architettura

Stack tecnologico Target

  • Session Manager

  • Amazon EC2

  • CloudWatch Registri

Architettura Target

Session Manager si connette a un' EC2 istanza e invia i dati di registro a CloudWatch Logs o a un bucket S3.

  1. L'utente autentica la propria identità e le proprie credenziali tramite IAM.

  2. L'utente avvia una sessione SSH tramite Session Manager e invia chiamate API all'istanza. EC2

  3. L'agente SSM di AWS Systems Manager, installato sull' EC2 istanza, si connette a Session Manager ed esegue i comandi.

  4. Per scopi di controllo e monitoraggio, Session Manager invia i dati di registrazione a Logs. CloudWatch In alternativa, puoi inviare i dati di log a un bucket Amazon Simple Storage Service (Amazon S3). Per ulteriori informazioni, consulta Registrazione dei dati della sessione con Amazon S3 (documentazione Systems Manager).

Strumenti

Servizi AWS

  • Amazon CloudWatch Logs ti aiuta a centralizzare i log di tutti i tuoi sistemi, applicazioni e servizi AWS in modo da poterli monitorare e archiviare in modo sicuro.

  • Amazon Elastic Compute Cloud (Amazon EC2) fornisce capacità di calcolo scalabile nel cloud AWS. Puoi avviare tutti i server virtuali di cui hai bisogno e dimensionarli rapidamente. Questo modello utilizza un'Amazon Machine Image (AMI) per effettuare il provisioning di un' EC2 istanza Linux.

  • AWS Identity and Access Management (IAM) ti aiuta a gestire in modo sicuro l'accesso alle tue risorse AWS controllando chi è autenticato e autorizzato a utilizzarle.

  • AWS Systems Manager ti aiuta a gestire le applicazioni e l'infrastruttura in esecuzione nel cloud AWS. Semplifica la gestione delle applicazioni e delle risorse, riduce i tempi di rilevamento e risoluzione dei problemi operativi e ti aiuta a gestire le tue risorse AWS in modo sicuro su larga scala. Questo modello utilizza Session Manager, una funzionalità di Systems Manager.

Best practice

Ti consigliamo di leggere ulteriori informazioni sul pilastro di sicurezza di AWS Well-Architected Framework, esplorare le opzioni di crittografia e applicare i consigli di sicurezza in Configurazione di Session Manager (documentazione di Systems Manager).

Epiche

AttivitàDescrizioneCompetenze richieste

Crea il ruolo IAM.

Crea il ruolo IAM per l'agente SSM. Segui le istruzioni in Creazione di un ruolo per un servizio AWS (documentazione IAM) e tieni presente quanto segue:

  1. Per il servizio AWS, scegli EC2.

  2. Per le politiche di autorizzazione, scegliAmazonSSMManagedInstanceCore.

  3. In Nome ruolo, immettereEC2_SSM_Role.

Amministratore di sistema AWS

Crea l' EC2 istanza.

  1. Create l' EC2 istanza. Segui le istruzioni in Launch an instance ( EC2 documentazione Amazon) e tieni presente quanto segue:

    1. Nella sezione Nome e tag, scegli Aggiungi tag aggiuntivi. In Key (Chiave), immettere Name e in Value (Valore), immettere Production_Server_One.

    2. Scegli un'AMI Amazon Linux con l'agente SSM preinstallato. Per un elenco completo, vedere AMIscon SSM Agent preinstallato (documentazione di Systems Manager).

    3. Nella sezione Dettagli avanzati, nel profilo dell'istanza IAM, scegli EC2 _SSM_Role.

  2. Aprire la console Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

  3. Nel riquadro di navigazione, selezionare Fleet Manager.

  4. Verificate che l'istanza compaia nell'elenco dei nodi gestiti.

Amministratore di sistema AWS

Configura la registrazione.

  1. Crea un gruppo di log in CloudWatch Logs. Segui le istruzioni riportate in Creare un gruppo di log (documentazione relativa CloudWatch ai registri). Assegna un nome al nuovo gruppo SessionManager di log.

  2. Configura la registrazione per Session Manager. Segui le istruzioni in Registrazione dei dati della sessione con Amazon CloudWatch Logs (documentazione di Systems Manager) e tieni presente quanto segue:

    1. Non selezionare Consenti solo gruppi di CloudWatch log crittografati.

    2. In Scegli un gruppo di log dall'elenco, scegli SessionManager.

Amministratore di sistema AWS
AttivitàDescrizioneCompetenze richieste

Connect all' EC2 istanza.

  1. Avviare una sessione nella console Systems Manager. Per istruzioni, vedere Avvio di una sessione (documentazione di Systems Manager). Per le istanze Target, scegli il pulsante di opzione a sinistra dell'istanza Production_Server_One.

  2. Dopo aver effettuato la connessione, esegui diversi comandi bash.

  3. Nella console Systems Manager, terminare la sessione. Per istruzioni, vedere Termina una sessione (documentazione di Systems Manager).

Amministratore di sistema AWS

Convalida la registrazione.

  1. In CloudWatch Logs, aprite il flusso di log per il gruppo di log. Per istruzioni, consulta Visualizzazione dei dati di registro (documentazione CloudWatch sui registri).

  2. Nei dati di registro, verifica che siano elencati i comandi che hai eseguito nella storia precedente.

Amministratore di sistema AWS

Risoluzione dei problemi

ProblemaSoluzione

Problemi relativi ad IAM

Per assistenza, consulta Troubleshooting (documentazione IAM).

Risorse correlate