AWS EC2的SSM配置(AWS云中的跳板机)

最新推荐文章于 2024-05-30 09:36:18 发布
最新推荐文章于 2024-05-30 09:36:18 发布
阅读量1.4k 收藏 27
点赞数 20
文章标签: aws 服务器 云计算 ec2 ssm
欢迎流通 功德无量
本文链接:https://blog.csdn.net/fxtxz2/article/details/135521403
版权

问题

开发人员需要访问AWS云中私有子网的数据库服务等,都需要通过EC2进行SSH隧道代理。这里假设本地已经有一款稳定优秀的SSH客户端工具,并且假设已经会熟练使用SSH的隧道代理。

1.创建EC2

搜索找到EC2服务,如下图:
EC2服务
点击“启动实例”,开始EC2实例创建,如下图:
EC2主页

1.1选择镜像

填入名称后,选择默认的免费套餐镜像,如下图:

镜像选择

1.2创建密钥对

点击“创建新密钥对”,如下图:
创建新密钥对
输入密钥对名称,为dev,如下图:
密钥对

1.3创建安全组

设置ssh端口的安全组,方便ssh访问ec2,如下图:

ssh安全组
这里设置IP白名单,指定这个IP白名单能够访问这个EC2,接下来,点击“启动实例”即可。下面就是,dev的EC2创建的实例,如下图:
EC2列表

2.配置队列管理器

左上角,搜索SSM,找到System Manager,如下图:
SSM服务
选择队列管理器,如下图:

队列管理器
选择“配置默认主机管理”,如下图:

配置默认主机管理
启用EC2主机托管到SM管理,如下图:
主机托管到SM
这个创建的权限策略,可以在各个环境共用。点击“配置”,如下图:
fleet manager托管主页
等待一段时间,可能时间比较长,就会出现之前创建的EC2实例,如下图:

被托管的EC2实例
注意,这里使用了一个AWSSystemsManagerDefaultEC2InstanceManagementRole角色,还需要在这个角色基础上面添加AmazonEC2RoleforSSM权限策略,如下图操作:
添加AmazonEC2RoleforSSM权限策略
添加权限策略
最终所有权限策略,如下图:
所有权限策略

3.配置SSM

3.1创建KMS密钥

搜索KMS,找到该服务,如下图:
KMS搜索
点击“创建密钥”,如下图:
KMS创建密钥
这里我选择对称加密,如下图:
对称加密
设置别名,如下图:
别名
设置密钥管理员,如下图:
密钥管理设置
设置使用人员,如下图:
使用人
审计一下kms,如下图:
KMS审计
点击“完成”,进行密钥创建,成功后如下图:
KMS完成
接下来需要调整KMS密钥使用权限策略,添加只能是指定日志组使用,如下图:
KMS密钥
点击“切换到策略视图”,如下图:
切换到策略视图
点击“编辑”,如下图:
编辑KMS权限策略
添加只能是指定的日志组才能使用这个KMS密钥,完整的密钥策略JSON,如下图:

{
    "Id": "key-consolepolicy-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::账号ID:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow access for Key Administrators",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::账号ID:user/zhangyalin"
            },
            "Action": [
                "kms:Create*",
                "kms:Describe*",
                "kms:Enable*",
                "kms:List*",
                "kms:Put*",
                "kms:Update*",
                "kms:Revoke*",
                "kms:Disable*",
                "kms:Get*",
                "kms:Delete*",
                "kms:TagResource",
                "kms:UntagResource",
                "kms:ScheduleKeyDeletion",
                "kms:CancelKeyDeletion"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt*",
                "kms:Decrypt*",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:Describe*"
            ],
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:账号ID:log-group:/aws/ssm/session"
                }
            }
        }    
    ]
}

3.2创建SSM日志组

搜索cloudwatch,找到该服务,如下图:
cloudwatch主页
点击“创建日志组”,如下图:
日志组
输入日志组名称,然后点击创建即可,如下图:
创建日志组关键步骤
注意,这里需要使用到上一步创建到KMS密钥,进行日志组创建。

为ssm创建好的日志组,如下图:
SSM日志组

3.2配置SSM

回到Systems Manager主页,找到会话管理器,点击“配置首选项”,如下图:
Systems Manager主页
这里设置会话管理器的日志通过CloudWatch,写入到/aws/ssm/session日志组中,如下图:
SSMr日志写入

4.配置本地AWS设置

在~/.aws/config文件添加,如下:

[profile my]
region = us-east-1
output = json

5.配置本地AWS访问Key

这里假设,本地已经成功安装了AWS CLI后,需要在IAM中创建自己的访问key,如下图:

IAM创建访问密钥
点击下一步,如下图:
下一步创建访问密钥
点击“创建访问密钥”,如下图:
创建访问密钥
点击下载.csv文件,保存自己的访问密钥配置文件,完成访问密钥创建。如下图:
访问密钥文件下载
打开~/.aws/credentials文件,将上述得到的访问密钥以如下方式加入,具体如下:
[my]
aws_access_key_id = xxxx
aws_secret_access_key = xxxxx

6. 测试连接EC2

如下命令:

export AWS_PROFILE=my
aws ssm start-session --target i-xxxx

如下图,表示使用AWS CLI登录EC2成功:
awscli登录成功
接下来配置,SSH配置文件,打开~/.ssh/config文件,添加如下内容:

# SSH over Session Manager
host i-* mi-*
	ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"

配置完~/.ssh/config文件后,找到之前创建的dev.pem私钥文件,直接使用ssh进行ec2登录,具体命令如下:

chmod 400 "dev.pem"
ssh -i "dev.pem" ec2-user@i-xxxx

如下图表示使用SSH客户端工具登录EC2成功。
SSH登录成功

总结

到这里,就是dev环境SSM跳板机配置全过程,接下来,按照上述方式,依次搭建完test,uat,prod环境。第一次弄这个还是有点小复杂的,中途,还咨询了一次aws支持中心,最后,他们通过CloudTrail帮我找到了原因,并协助我解决了SSM不能写日志问题。

参考

亚林瓜子
关注
  • 20
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AWS EC2 如何 使用 SSM会话管理器登陆
rav009的专栏
11-30 952
其次EC的instance role必须有一个叫“AmazonSSMManagedInstanceCore”的策略。首先只有特定版本的OS会默认附带SSM Agent。
AWS Systems Manager(SSM)
iloveaws的博客
08-04 2424
可以通过SSM服务的会话管理登陆实例,而不通过SSH。对于SAP认证考试,您需要掌握上面这部分的内容,尤其是前面的这个在维护窗口指定的AWS-RunPatchBaseline的document的这个名称,以及前面讲过的windows操作系统aws预定义的PatchBaseline的具体的名称。另外,除了使用AWS预定义的,也可以自定义PatchBaseline,定义要自动批准的补丁,如定义自动批准补丁的操作系统的名称,定义更新的类别,如关键更新,还是安全更新等,以及严重程度如关键、重要等等。...
探索高效管理AWS实例的利器:Session Manager Plugin
最新发布
gitblog_00044的博客
05-30 342
探索高效管理AWS实例的利器:Session Manager Plugin 项目地址:https://gitcode.com/aws/session-manager-plugin 项目简介 Session Manager Plugin是一个针对AWS命令行界面(AWS CLI)的强大插件,它使您能够安全地启动和结束对托管实例的会话。作为AWS Systems Manager的功能之一,Sessio...
AWS EC2SSM会话管理器连接
SINGWIN01的博客
12-28 562
1.EC2实例必须安装SSM代理,如果使用Amazon Linux 2、Amazon Linux 2023等一些AWS官方提供的AMI会预装上去参考:2.具有SSM权限的ROLE角色如果是已经预装了可以跳过这一步到创建SSM权限的ROLE角色。下面使用的是操作系统是centos7演示,其他操作系统参考上面的链接进行安装/linux_amd64/amazon-ssm-agent.rpm #下载安装包sudo systemctl status amazon-ssm-agent #检查ssm代理状态。
基于AWS 平台跳板机配置
zx711166的博客
12-26 4401
很多用户通过跳板机对部署在AWS平台的应用系统进行日常维护,为管理私有网络的服务器提供便利,最小化了应用系统的安全风险,从而有利于提升整体架构的安全。为达到更好的安全性,需要进行恰当的规划,通常可以考虑以下几个问题:跳板机应该放置在哪个子网? 如何安全访问跳板机跳板机如何安全访问受管理服务器? 以下是结合这些问题基于AWS部署linux跳板机相关步骤。一.网络规划对于vpc的规划通常需要划
aws ec2 纯手工打造跳板机+NAT服务器
weixin_34197488的博客
05-22 979
使用场景:可能我们的业务服务器并不是所有服务器都需要有公网IP,比如,最为典型的数据库服务器,只需要能够能够通过有公网IP的跳板机登录后,内网跳转就可以进行系统管理,但如果外网不通,还是很不方便。如此以来,能够让跳板机担当NAT服务器也就即保障了安全又能够让内网服务器请求公网。虽然aws服务中有现成的NAT服务,但完全可以手工打造。环境展示:vpc一个 CIDR 17...
AWS-AWS Systems Manager Session (SSM 会话管理器)试用
kozazyh的专栏
04-10 5914
Session Manager 是什么,能做什么 AWS Systems Manager 会话管理器是一个新的交互式 Shell 和 CLI,有助于提供安全、访问权限受到控制且经过审计的 Windows 和 Linux EC2 实例管理。使用会话管理器,您无需打开入站端口、管理 SSH 密钥或使用堡垒主机。并且登录的主机可以处于公有子网或者私有子网。 借助会话管理器,您可以提高安全性,集中进行...
AWS EC2 上安装和配置 Grafana 并集成 MySQL 数据库的指南
12-23
AWS EC2 上安装和配置 Grafana 并集成 MySQL 数据库是一个常见的云监控和数据分析任务。Grafana 是一个开源的度量分析和可视化套件,而 MySQL 是一个广泛使用的开源关系型数据库管理系统。以下是对整个过程的详细...
ec2-tags-env:将AWS EC2标记导入为环境变量
02-05
通常,使用步骤可能包括安装依赖(如awscli),配置AWS凭据,然后运行脚本来将EC2实例的标签导入环境。 总之,EC2-Tags-Env是AWS EC2实例管理的一个实用工具,它简化了标签数据的访问过程,提高了云环境的可管理和...
ec2details:提供AWS EC2实例类型数据的API
05-01
ec2details 该服务提供各种格式的有关AWS EC2实例类型的详细信息。 数据是从发布的EC2服务生成的,该服务是一个巨大的(> 535M)json文件AWS,只要ec2服务发生变化(新实例,降价,其他区域等),AWS就会随时更新。 ...
sshaws:只需使用一个命令即可连接到支持“ EC2实例连接”的AWS EC2服务器
05-07
只需使用一个命令,即可连接到具有“ EC2实例连接”功能的AWS EC2服务器。 如果您按照所述使用“ EC2实例连接”,您已经注意到,连接到实例可能会很麻烦,尤其是当您频繁连接到其他实例时。 sshaws命令允许您收集...
terraform-aws-ec2-instance:用于配置通用EC2主机的Terraform模块
01-30
terraform-aws-ec2-instance 用于配置通用EC2主机的Terraform模块。 包含的功能: 自动创建安全组 切换EIP附件的选项 实例挂起时,CloudWatch监视和自动重启 承担角色能力 该项目是我们针对DevOps的全面方法的一...
aws学习笔记】 用ssmec2的instance上执行命令
qq_41643167的博客
06-03 432
ssmec2的instance上执行命令
亚马逊云 AWS Systems Manager 代理(SSM 代理)简介
whatday的专栏
03-07 2363
目录 SSM 代理 凭证优先级 关于本地 ssm-user 账户 SSM 代理 和 Instance Metadata Service (IMDS) 保持 SSM 代理 的最新状态 SSM 代理 按AWS区域滚动更新 使用硬件指纹验证本地服务器和虚拟机 AMIs 预SSM 代理安装了 的 SSM 代理 上的 GitHub AWS Systems Manager 代理(SSM 代理)是一个 Amazon 软件,可以在 EC2 实例、本地服务器或虚拟机 (VM) 上安装和配置SSM 代理 让
【工程部署】部署ssm_crud到AWS
Copywang
03-31 516
AWS推出的注册可以免费试用12个月的云计算服务https://amazonaws-china.com/cn/free/faqs/?ft=n注册的时候要求填写一张可用的信用卡,会测试预扣款1美金,不会真实扣掉 启动一个实例这里不需要高级配置,所以直接审核启动即可下载密钥对,这里很重要,保存好选择连接按照指导一步步做完即可 连接上实例之后:1.    安装mysql2.    安装java83.  ...
攻击者使用AWS SSM Agent作为远程访问木马
kafankeji的博客
08-03 134
根据Mitiga昨天发布的一份新的安全报告,这种后利用技术允许攻击者使用一个单独的、恶意拥有的AWS账户来控制代理,这可能使他们能够进行各种恶意活动。在报告中,Mitiga研究人员Ariel Szarf和Or Aspir表示,SSM代理的普及和信任导致攻击者为了自己的利益而滥用它。第二种场景涉及运行单独的SSM代理进程,允许攻击者在原始代理继续正常工作的情况下操纵端点。此外,攻击者可以从他们的AWS账户控制代理,使通信看起来合法,进一步逃避检测。
基于亚马逊云科技Amazon EC2服务器设计并自动化实现堡垒机
chen200628的博客
10-07 163
本方案中堡垒机是根据最常用的功能,如端口转发、SSH访问来设计的,但在一些特定的场景中,还需要设计更多复杂的堡垒机方案,如:Windows类型的堡垒机支持、如何使用IAM角色对堡垒机权限进行更精细化的管理等,这些都是未来本方案演进和增强的一个方向。目前我们方案中,创建的堡垒机类型只有一种,任何拥有启动Session Manager的IAM用户/角色都可以去访问它并进行操作,但在一些场景下,客户需要对于不同的角色使用不同的堡垒机:如角色A仅可以访问堡垒机A,并通过该堡垒机上赋予的IAM权限进行相应的操作;
创建EC2
YinMinkui专栏
06-30 389
1,登录到AmazonWebServices的管理页面,点击EC2.
AWS创建EC2
qq_32921327的博客
06-17 2339
此文章并非专业解读,只是记录工作中的操作流程,方便后续同事接手。 首先创建一个AWS的账号,完善好账号资料。 https://www.amazonaws.cn/ 中国区AWS官网 接下来开始创建EC2实例 进入EC2配置界面 登入账号后,点击“服务”菜单,选择“计算”下的“EC2”。 创建新的EC2实例 第一次创建EC2实例时,可直接点击 EC2界面中的“启动实例”,也可在“实例”菜单中...
AWS EC2过滤器
03-31
AWS EC2过滤器是一种用于筛选和过滤Amazon Elastic Compute Cloud (EC2) 实例的工具。通过使用过滤器,您可以根据特定的条件来查找和选择符合要求的EC2实例。 EC2过滤器可以基于多个属性进行筛选,例如实例ID、实例类型、状态、标签等。您可以使用过滤器来缩小搜索范围,以便更精确地找到所需的EC2实例。 以下是一些常见的EC2过滤器属性: 1. 实例ID:根据实例的唯一标识符进行筛选。 2. 实例类型:根据实例的类型(例如t2.micro、m5.large等)进行筛选。 3. 状态:根据实例的运行状态(例如running、stopped等)进行筛选。 4. 标签:根据实例的标签进行筛选,标签是您可以为EC2实例添加的自定义键值对。 您可以使用AWS管理控制台、AWS命令行界面(CLI)或AWS SDK来创建和应用过滤器。通过指定过滤器条件,您可以快速准确地找到符合要求的EC2实例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值