Connect ke EC2 instans Amazon menggunakan Session Manager - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatPraktik terbaikEpikPemecahan MasalahSumber daya terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke EC2 instans Amazon menggunakan Session Manager

Jason Cornick, Abhishek Bastikoppa, dan Yaniv Ron, Amazon Web Services

Ringkasan

Pola ini menjelaskan cara menyambung ke instans Amazon Elastic Compute Cloud (Amazon EC2) dengan menggunakan Session Manager, kemampuan AWS Systems Manager. Dengan menggunakan pola ini, Anda dapat menjalankan perintah bash pada sebuah EC2 instance melalui browser web. Session Manager tidak mengharuskan Anda membuka port masuk dan tidak memerlukan alamat IP publik untuk EC2 instance. Selain itu, ini menghilangkan kebutuhan untuk memelihara host bastion dengan kunci Secure Shell (SSH) yang berbeda. Anda dapat mengatur akses ke Session Manager dengan kebijakan AWS Identity and Access Management (IAM) dan mengonfigurasi logging, yang mencatat informasi penting, seperti akses instans dan tindakan.

Dalam pola ini, Anda mengonfigurasi peran IAM dan mengaitkannya ke EC2 instance Linux yang Anda sediakan dengan menggunakan Amazon Machine Image (AMI). Anda kemudian mengonfigurasi login di Amazon CloudWatch Logs dan menggunakan Session Manager untuk memulai sesi dengan instance.

Meskipun pola ini terhubung ke EC2 instans Linux di Amazon Web Services (AWS) Cloud, Anda dapat menggunakan pendekatan ini untuk menggunakan Session Manager untuk koneksi dengan server lain, seperti server lokal atau mesin virtual lainnya.

Prasyarat dan batasan

Prasyarat

Arsitektur

Tumpukan teknologi target

  • Manajer Sesi

  • Amazon EC2

  • CloudWatch Log

Arsitektur target

Session Manager terhubung ke EC2 instance dan mengirimkan data CloudWatch log ke Log atau bucket S3.

  1. Pengguna mengotentikasi identitas dan kredensialnya melalui IAM.

  2. Pengguna memulai sesi SSH melalui Session Manager dan mengirimkan panggilan API ke instance. EC2

  3. AWS Systems Manager SSM Agent, yang diinstal pada EC2 instans, terhubung ke Session Manager dan menjalankan perintah.

  4. Untuk tujuan audit dan pemantauan, Session Manager mengirimkan data logging ke CloudWatch Log. Atau, Anda dapat mengirim data log ke bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3). Untuk informasi selengkapnya, lihat Logging data sesi menggunakan Amazon S3 (dokumentasi Systems Manager).

Alat

Layanan AWS

  • Amazon CloudWatch Logs membantu Anda memusatkan log dari semua sistem, aplikasi, dan layanan AWS sehingga Anda dapat memantau dan mengarsipkannya dengan aman.

  • Amazon Elastic Compute Cloud (Amazon EC2) menyediakan kapasitas komputasi yang dapat diskalakan di AWS Cloud. Anda dapat meluncurkan server virtual sebanyak yang Anda butuhkan dan dengan cepat meningkatkannya ke atas atau ke bawah. Pola ini menggunakan Amazon Machine Image (AMI) untuk menyediakan EC2 instance Linux.

  • AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke sumber daya AWS dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.

  • AWS Systems Manager membantu Anda mengelola aplikasi dan infrastruktur yang berjalan di AWS Cloud. Ini menyederhanakan manajemen aplikasi dan sumber daya, mempersingkat waktu untuk mendeteksi dan menyelesaikan masalah operasional, dan membantu Anda mengelola sumber daya AWS Anda dengan aman dalam skala besar. Pola ini menggunakan Session Manager, kemampuan Systems Manager.

Praktik terbaik

Kami menyarankan Anda membaca selengkapnya tentang pilar keamanan AWS Well-Architected Framework dan menjelajahi opsi enkripsi dan menerapkan rekomendasi keamanan dalam Menyiapkan Session Manager (dokumentasi Systems Manager).

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Buat peran IAM.

Buat peran IAM untuk Agen SSM. Ikuti petunjuk dalam Membuat peran untuk layanan AWS (dokumentasi IAM) dan perhatikan hal berikut:

  1. Untuk layanan AWS, pilih EC2.

  2. Untuk Kebijakan Izin, pilihAmazonSSMManagedInstanceCore.

  3. Di Nama Peran, masukkanEC2_SSM_Role.

Administrator sistem AWS

Buat EC2 instance.

  1. Buat EC2 instance. Ikuti petunjuk di Luncurkan instance ( EC2 dokumentasi Amazon) dan perhatikan hal berikut:

    1. Di bagian Nama dan tag, pilih Tambahkan tag tambahan. Di Kunci, masukkanName, dan di Nilai, masukkanProduction_Server_One.

    2. Pilih AMI Amazon Linux yang memiliki Agen SSM yang sudah diinstal sebelumnya. Untuk daftar lengkapnya, lihat AMIsdengan SSM Agent yang sudah diinstal sebelumnya (dokumentasi Systems Manager).

    3. Di bagian Detail lanjutan, di profil instans IAM, pilih EC2_ssm_role.

  2. Buka konsol Systems Manager di https://console.aws.amazon.com/systems-manager/.

  3. Di panel navigasi, pilih Fleet Manager.

  4. Verifikasi bahwa instance muncul dalam daftar node terkelola.

Administrator sistem AWS

Mengatur logging.

  1. Buat grup log di CloudWatch Log. Ikuti petunjuk di Buat grup log (dokumentasi CloudWatch Log). Beri nama grup log baruSessionManager.

  2. Konfigurasikan logging untuk Session Manager. Ikuti petunjuk dalam data sesi Logging menggunakan Amazon CloudWatch Logs (dokumentasi Systems Manager) dan perhatikan hal berikut:

    1. Jangan pilih Izinkan hanya grup CloudWatch log terenkripsi.

    2. Di Pilih grup log dari daftar, pilih SessionManager.

Administrator sistem AWS
TugasDeskripsiKeterampilan yang dibutuhkan

Connect ke EC2 instance.

  1. Mulai sesi di konsol Systems Manager. Untuk petunjuk, lihat Memulai sesi (dokumentasi Systems Manager). Untuk contoh Target, pilih tombol opsi di sebelah kiri instance Production_Server_One.

  2. Setelah koneksi dibuat, jalankan beberapa perintah bash.

  3. Di konsol Systems Manager, akhiri sesi. Untuk petunjuk, lihat Mengakhiri sesi (dokumentasi Systems Manager).

Administrator sistem AWS

Validasi logging.

  1. Di CloudWatch Log, buka aliran log untuk grup log. Untuk petunjuk, lihat Melihat data CloudWatch log (dokumentasi Log).

  2. Dalam data log, konfirmasikan bahwa perintah yang Anda jalankan di cerita sebelumnya terdaftar.

Administrator sistem AWS

Pemecahan Masalah

IsuSolusi

Masalah IAM

Untuk dukungan, lihat Pemecahan masalah (dokumentasi IAM).

Sumber daya terkait