本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用堡壘存取執行個體
客戶和 AMS 運算子對 AMS 受管帳戶內資源的所有存取,都是使用堡壘主機來鎖定。我們維護 Linux 和 Windows RDP 堡壘,以存取多帳戶登陸區域 (MALZ) 和單一帳戶登陸區域 (SALZ) AMS Advanced 帳戶。
您的堡壘只能透過私有連線 (VPN 或 Direct Connect)DX 存取。除了防火牆以防止傳入流量之外,堡壘也會定期依固定排程重新佈建 (使用現有登入資料)。
**注意**
如需將檔案移至 EC2 執行個體的資訊,請參閱[檔案傳輸:本機 Windows 或 MAC PC 到 Linux Amazon EC2](https://docs.aws.amazon.com/managedservices/latest/appguide/qs-file-transfer.html)。
------
#### [ MALZ ]
您可以使用 Active Directory (AD) 登入資料登入堡壘執行個體,以存取您的帳戶執行個體。Amazon 使用位於周邊網路 VPC (網路帳戶) 中的堡壘,而您可以使用位於共用服務帳戶中客戶堡壘子網路中的客戶堡壘。
當您的 AMS 環境最初加入時,您有兩個 SSH 堡壘和兩個 RDP 堡壘,取決於您的選擇。
------
#### [ SALZ ]
您可以使用 Active Directory (AD) 登入資料登入堡壘執行個體,以存取您的帳戶執行個體。AMS 使用位於周邊網路子網路中的堡壘,而您使用位於私有子網路中的堡壘。
當您的帳戶最初加入時,預設會有兩個 RDP 和兩個 SSH 堡壘。
**注意**
做為單一帳戶登陸區域的一部分,AMS 同時提供 RDP (Windows) 和 SSH (Linux) 堡壘來存取堆疊;不過,您可以選擇只想要 RDP 堡壘還是只想要 SSH 堡壘。若要請求僅維護 RDP 或僅維護 SSH 堡壘,請提交服務請求。
------
若要存取執行個體,您需要:
+ 授予堆疊的存取權。若要取得堆疊的存取權,請參閱[堆疊管理員存取權 \$1 授予](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-admin-access-grant.html)或[堆疊唯讀存取權 \$1 授予](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-read-only-access-grant.html)。
+ 您要存取的堆疊 ID,以便授予您存取執行個體的權限。若要尋找堆疊 ID,請參閱 [在 AMS 中尋找堆疊 IDs](find-stack.md)。
+ 您要存取的執行個體 IP。若要尋找執行個體 IP,請參閱 [在 AMS 中尋找執行個體 IDs 或 IP 地址](find-instance-id.md)。
+ DNS 易記堡壘名稱或堡壘 IP。接下來將說明如何使用 DNS 易記的堡壘名稱,以及如何尋找堡壘 IP。
# DNS 易記堡壘名稱
AWS Managed Services (AMS) 使用 DNS 易記的堡壘名稱。
------
#### [ MALZ ]
對於多帳戶登陸區域 (MALZ),系統會為 AMS 受管 Active Directory 的 FQDN 中的堡壘建立 DNS 記錄。AMS 會視需要取代 Linux 和 Windows 堡壘。例如,如果有新的堡壘 AMI 必須部署,堡壘 DNS 記錄會動態更新,以指向新的有效堡壘。
1. 若要存取 SSH (Linux) 堡壘,請使用如下所示的 DNS 記錄: `sshbastion(1-4).Your_Domain.com`
例如,其中網域為 `Your_Domain`:
+ `sshbastion1.Your_Domain.com`
+ `sshbastion2.Your_Domain.com`
+ `sshbastion3.Your_Domain.com`
+ `sshbastion4.Your_Domain.com`
1. 若要存取 RDP (Windows) 堡壘,請使用如下所示的 DNS 記錄:`rdp-Username.Your_Domain.com`。
例如,其中使用者名稱為 `alex`、`demo`、 `test`或 `bob`,網域為 `Your_Domain.com`:
+ `rdp-alex.Your_Domain.com`
+ `rdp-test.Your_Domain.com`
+ `rdp-demo.Your_Domain.com`
+ `rdp-bob.Your_Domain.com`
------
#### [ SALZ ]
單一帳戶登陸區域 (SALZ) 會視需要取代 Linux 和 Windows 堡壘。例如,如果有新的堡壘 AMI 必須部署,堡壘 DNS 記錄會動態更新,以指向新的有效堡壘。
1. 若要存取 SSH (Linux) 堡壘,請使用如下所示的 DNS 記錄: `sshbastion(1-4).AAccountNumber.amazonaws.com.`
例如,其中 `123456789012`是帳戶號碼:
+ `sshbastion1.A123456789012.amazonaws.com`
+ `sshbastion2.A123456789012.amazonaws.com`
+ `sshbastion3.A123456789012.amazonaws.com`
+ `sshbastion4.A123456789012.amazonaws.com`
1. 若要存取 RDP (Windows) 堡壘,請使用如下所示的 DNS 記錄:`rdpbastion(1-4).AACCOUNT_NUMBER.amazonaws.com`。
例如,其中 `123456789012`是帳戶號碼:
+ `rdpbastion1.A123456789012.amazonaws.com`
+ `rdpbastion2.A123456789012.amazonaws.com`
+ `rdpbastion3.A123456789012.amazonaws.com`
+ `rdpbastion4.A123456789012.amazonaws.com`
------
# 節省單一帳戶登陸區域 (SALZ) 堡壘的成本
AMS 在預設組態中提供兩個 SSH 堡壘和兩個 RDP 堡壘,供您連線至 Amazon EC2 執行個體,並在服務操作的預設組態中部署兩個 DMZ 堡壘。根據預設,堡壘會使用 m4. large Amazon EC2 執行個體。您可以選擇將堡壘使用的 Amazon EC2 執行個體變更為 t3.small,並節省成本。
如果您使用隨需執行個體、 Spot 執行個體或節省計劃,您應該考慮此功能並節省成本。如果您使用預留執行個體,請考慮使用 t3.small 執行個體是否會降低您的成本。若要變更執行個體類型,請從 AMS 帳戶提交 RFC 與管理 \$1 進階堆疊元件 \$1 EC2 執行個體堆疊 \$1 調整大小 (ct-15mazj88xc69) CT。
如有其他問題,請聯絡您的雲端服務交付管理員 (CSDM),或檢查您是否可以從此功能中受益。
# 使用堡壘 IP 地址
AMS 客戶可以使用先前[DNS 易記堡壘名稱](dns-bastions.md)所述的 SSH 和 RDP 堡壘,或堡壘 IP 地址。
若要尋找您帳戶的堡壘 IP 地址、SSH 和 RDP:
1. 僅適用於多帳戶登陸區域:登入共用服務帳戶。
1. 開啟 EC2 主控台,然後選擇**執行中的執行個體**。
**執行個體**頁面隨即開啟。
1. 在頂端的篩選方塊中,輸入 **ssh-bastion** 或 **rdp-bastion**。
在頂端的篩選方塊中,輸入 **customer-ssh** 或 **customer-rdp**。
顯示您帳戶的 SSH 和/或 RDP 堡壘。
請注意,除了 SSH 堡壘之外,您可能會在清單中看到無法使用的 AMS 周邊網路堡壘。
1. 選取 SSH 或 RDP 堡壘。如果您使用 Windows 電腦並想要登入 Linux 執行個體,請使用 SSH 堡壘。如果您想要登入 Windows 執行個體,請使用 RDP 堡壘。如果您使用 Linux 作業系統並想要登入 Windows 執行個體,您可以透過 RDP 通道使用 SSH 堡壘 (這樣您就可以存取 Windows 桌面)。若要從 Linux 作業系統存取 Linux 執行個體,請使用 SSH 堡壘。
# AMS 中的執行個體存取範例
這些範例示範如何在透過 RFC 授予存取權之後,使用堡壘登入 AMS 帳戶中的執行個體。如需取得授予存取權的詳細資訊,請參閱 [請求執行個體存取](access-justification.md#req-instance-access)。
**注意**
如需將檔案移至 EC2 執行個體的資訊,請參閱[檔案傳輸:本機 Windows 或 MAC PC 到 Linux Amazon EC2](https://docs.aws.amazon.com/managedservices/latest/appguide/qs-file-transfer.html)。
必要資料:
+ 堡**壘 DNS 易記名稱或 IP 地址**:如 中所述使用 DNS 易記名稱,[DNS 易記堡壘名稱](dns-bastions.md)或如 中所述尋找堡壘 IP 地址[使用堡壘 IP 地址](find-bastions.md)。
**注意**
透過 Amazon EC2 Auto Scaling 群組建立的 Amazon EC2 執行個體將具有循環進出的 IP 地址,您必須使用 Amazon EC2 主控台來尋找該 IP 地址。
+ **使用者名稱 **(例如 *DOMAIN\$1FQDN\$1*\$1*USERNAME*) 和**密碼**:帳戶的登入資料。*USERNAME* 必須是您的 Active Directory 使用者名稱。
請注意,可以使用格式為 username@customerdomain.com 的使用者名稱,但可能會導致 PBIS 設定發生問題。
+ **堆疊 IP 地址**:查看您提交以啟動堆疊之 RFC 的執行輸出,或在 Amazon EC2 主控台中查詢 Amazon EC2 執行個體 IP 地址,以找出此問題。對於單一 Amazon EC2 執行個體,您也可以使用 AMS SKMS 命令 ListStackSummaries 來尋找堆疊 ID,然後使用 GetStack 來尋找堆疊 IP 地址。如需 AMS SKMS API 參考,請參閱 AWS 成品主控台中的**報告**索引標籤。
視需要存取堡壘 IP 地址,可以是 SSH 或 RDP,並使用下列其中一個程序登入。
**注意**
RDP 堡壘僅允許兩個同時連線。因此,在最佳情況下,只有 4 個管理員可以同時連線到 Windows 堆疊。如果您需要更多 RDP 連線,請參閱 [AMS 加入指南中的應用程式遷移/加入期間的 AMS 堡壘選項](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/bastion-options.html)。 **
# Linux 電腦到 Linux 執行個體
使用 SSH 連接到 SSH 堡壘,然後連接到 Linux 執行個體。
------
#### [ MALZ ]
如需易記堡壘名稱的詳細資訊,請參閱 [DNS 堡](https://docs.aws.amazon.com/managedservices/latest/userguide/dns-bastions.html)壘。
若要連線到 Linux 執行個體,您必須先連線到 SSH 堡壘。
1. 開啟 shell 視窗並輸入:
```
ssh Domain_FQDN\\Username@SSH_bastion_name
or SSH_bastion_IP
```
如果您的 Domain\$1FQDN 是 "corp.domain.com"、您的帳號是 "123456789123"、您的\$1Domain 是 "amazonaws.com"、您選擇堡壘 "4",且您的使用者名稱是 "JoeSmith",則看起來像這樣:
```
ssh corp.domain.com\\JoeSmith sshbastion4.A123456789123.amazonaws.com
```
1. 使用您的公司 Active Directory 登入資料登入。
1. 當出現 Bash 提示時,SSH 會傳入執行個體,然後輸入:
```
ssh Domain_FQDN\\Username@Instance_IP
```
或者,您可以使用登入旗標 (-l):
```
ssh -l Domain_FQDN\\Username@Instance_IP
```
------
#### [ SALZ ]
如需易記堡壘名稱的詳細資訊,請參閱 [DNS 堡](https://docs.aws.amazon.com/managedservices/latest/userguide/dns-bastions.html)壘。
若要連線到 Linux 執行個體,您必須先連線到 SSH 堡壘。
1. 開啟 shell 視窗並輸入:
```
ssh DOMAIN_FQDN\\USERNAME@SSH_BASTION_name
or SSH_BASTION_IP
```
如果您的帳號是 123456789123,您可以選擇堡壘 4,而您的使用者名稱是 JoeSmith,這看起來像這樣:
```
ssh corp.domain.com\\JoeSmith sshbastion1.A123456789123.amazonaws.com
```
1. 使用您的公司 Active Directory 登入資料登入。
1. 當出現 Bash 提示時,SSH 會傳入執行個體,然後輸入:
```
ssh DOMAIN_FQDN\\USERNAME@INSTANCE_IP
```
或者,您可以使用登入旗標 (-l):
```
ssh -l DOMAIN_FQDN\\USERNAME@INSTANCE_IP
```
------
# Linux 電腦到 Windows 執行個體
使用 SSH 通道和 RDP 用戶端從 Linux 電腦連線至 Windows 執行個體。
------
#### [ MALZ ]
此程序需要適用於 Linux 的遠端桌面連線用戶端;範例使用 Microsoft 遠端桌面 (連線至 Windows 遠端桌面服務的開放原始碼 UNIX 用戶端)。Rdesktop 是替代方案。
**注意**
登入 Windows 執行個體的方式可能會根據使用的遠端桌面用戶端而有所不同。
首先建立 SSH 通道,然後登入。
如需易記堡壘名稱的詳細資訊,請參閱 [DNS 易記堡壘名稱](dns-bastions.md)。
開始之前:
+ 請求存取您要連線的執行個體;如需資訊,請參閱[存取請求](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-access-request.html)。
+ 選擇要連線的易記 DNS SSH 堡壘名稱;例如:
```
sshbastion(1-4).Your_Domain
```
如果您的 Domain\$1FQDN 是 "corp.domain.com"、您的 AMS 受管 Your\$1Domain 是 "amazonaws.com"、您選擇堡壘 "4",且您的使用者名稱是 "JoeSmith",則看起來像這樣:
```
ssh corp.domain.com\\JoeSmith sshbastion4.amazonaws.com
```
+ 尋找您要連線之執行個體的 IP 地址;如需資訊,請參閱[尋找執行個體 ID 或 IP 地址](https://docs.aws.amazon.com/managedservices/latest/userguide/find-instance-id.html)。
1. 從 Linux 桌面到 Windows 執行個體透過 SSH 通道設定 RDP。為了發出具有正確值的`ssh`命令,有幾種方式可以繼續:
+ 在 Linux shell 中,設定變數,然後輸入 SSH 連線命令:
```
BASTION="sshbastion(1-4).Your_Domain""
WINDOWS="Windows_Instance_Private_IP"
AD="AD_Account_Number"
USER="AD_Username"
ssh -L 3389:$WINDOWS:3389 A$AD\\\\$USER@$BASTION
```
範例,如果使用下列值:
`BASTION="sshbastion4.A123456789123.amazonaws.com"`
`WINDOWS="172.16.3.254"`
`AD="ACORP_example"`
`USER="john.doe"`
+ 將變數值直接新增至`ssh`命令。
在任何一種情況下,這就是轉譯的請求 (假設相同的變數值集):
```
ssh -L 3389:172.16.3.254:3389 ACORP_example\\\\john.doe@myamsadomain.com
```
1. 兩者之一:開啟遠端桌面用戶端,輸入迴路地址和連接埠 127.0.0.1:3389,然後開啟連線。
或者,從新的 Linux 桌面 shell 登入 Windows 執行個體。如果您使用 RDesktop,命令如下所示:
```
rdesktop 127.0.0.1:3389
```
Windows 執行個體的遠端桌面視窗會顯示在您的 Linux 桌面上。
**提示**
如果遠端桌面工作階段無法啟動,請確認步驟 1 中的連接埠 3389 允許從 SSH 堡壘連線至 Windows 執行個體 (`private_ip_address_of_windows_instance`正確取代):
```
nc private_ip_address_of_windows_instance 3389 -v –z
```
成功:
```
nc 172.16.0.83 3389 -v -z
Connection to 172.16.0.83 3389 port [tcp/ms-wbt-server] succeeded
netstat -anvp | grep 3389
tcp 0 0 172.16.0.253:48079 172.16.3.254:3389 ESTABLISHED
```
------
#### [ SALZ ]
單一帳戶登陸區域的此程序需要 Linux 的遠端桌面連線用戶端;範例使用 Microsoft 遠端桌面 (連線至 Windows 遠端桌面服務的開放原始碼 UNIX 用戶端)。Rdesktop 是替代方案。
**注意**
登入 Windows 執行個體的方式可能會根據使用的遠端桌面用戶端而有所不同。
首先建立 SSH 通道,然後登入。
如需易記堡壘名稱的詳細資訊,請參閱 [DNS 易記堡壘名稱](dns-bastions.md)。
開始之前:
+ 請求存取您要連線的執行個體;如需資訊,請參閱[存取請求](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-access-request.html)。
+ 選擇要連線的易記 DNS SSH 堡壘名稱;例如:
```
sshbastion(1-4).AAMSAccountNumber.amazonaws.com
```
如果您的帳號是 123456789123 且您選擇堡壘 4,則看起來像這樣:
```
sshbastion4.A123456789123.amazonaws.com
```
+ 尋找您要連線之執行個體的 IP 地址;如需資訊,請參閱[尋找執行個體 ID 或 IP 地址](https://docs.aws.amazon.com/managedservices/latest/userguide/find-instance-id.html)。
1. 從 Linux 桌面到 Windows 執行個體透過 SSH 通道設定 RDP。為了發出具有正確值的`ssh`命令,有幾種方式可以繼續:
+ 在 Linux shell 中,設定變數,然後輸入 SSH 連線命令:
```
BASTION="sshbastion(1-4).AAMSAccountNumber.amazonaws.com"
WINDOWS="WINDOWS_INSTANCE_PRIVATE_IP"
AD="AD_ACCOUNT_NUMBER"
USER="AD_USERNAME"
ssh -L 3389:$WINDOWS:3389 A$AD\\\\$USER@$BASTION
```
範例,如果使用下列值:
`BASTION="sshbastion4.A123456789123.amazonaws.com"`
`WINDOWS="172.16.3.254"`
`AD="ACORP_example"`
`USER="john.doe"`
+ 將變數值直接新增至`ssh`命令。
在任何一種情況下,這就是轉譯的請求 (假設相同的變數值集):
```
ssh -L 3389:172.16.3.254:3389 ACORP_example\\\\john.doe@sshbastion4.A123456789123.amazonaws.com
```
1. 兩者之一:開啟遠端桌面用戶端,輸入迴路地址和連接埠 127.0.0.1:3389,然後開啟連線。
或者,從新的 Linux 桌面 shell 登入 Windows 執行個體。如果您使用 RDesktop,命令如下所示:
```
rdesktop 127.0.0.1:3389
```
Windows 執行個體的遠端桌面視窗會顯示在您的 Linux 桌面上。
**提示**
如果遠端桌面工作階段無法啟動,請確認步驟 1 中的連接埠 3389 允許從 SSH 堡壘連線至 Windows 執行個體 (`private_ip_address_of_windows_instance`正確取代):
```
nc private_ip_address_of_windows_instance 3389 -v –z
```
成功:
```
nc 172.16.0.83 3389 -v -z
Connection to 172.16.0.83 3389 port [tcp/ms-wbt-server] succeeded
netstat -anvp | grep 3389
tcp 0 0 172.16.0.253:48079 172.16.3.254:3389 ESTABLISHED
```
------
# Windows 電腦到 Windows 執行個體
使用 Windows 遠端桌面連線用戶端從 Windows 電腦連線至 Windows 執行個體。
------
#### [ MALZ ]
如需易記堡壘名稱的詳細資訊,請參閱 [DNS 易記堡壘名稱](dns-bastions.md)。
1. 開啟遠端桌面連線程式,這是標準的 Windows 程式,然後在主機名稱欄位中輸入 Windows 堡壘的易記 DNS 名稱。
![\[Remote Desktop Connection window with Computer field populated for AWS instance connection.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/ConnectToCustomerRDPBastionSmall.png)
1. 選擇**連線**。遠端桌面連線會嘗試與堡壘建立 RDP 連線。
如果成功,會開啟登入資料對話方塊。若要取得存取權,請使用您的公司 Active Directory 登入資料,就像使用 Windows 執行個體一樣。
![\[Windows Security credentials dialog box with username field and options to use another account or smart card.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/ConnectRDPCredentialsDialogSmall.png)
1. 在堡壘上開啟遠端桌面連線程式,然後輸入您要連線的 Windows 執行個體 IP 地址 (例如 10.0.0.100),然後選擇**連線**。連線至 Windows 執行個體之前,需要再次使用您的公司 Active Directory 登入資料。
![\[Remote Desktop Connection window with IP address field and Connect button.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/ConnectToWindowsStackInstanceSmall.png)
------
#### [ SALZ ]
如需易記堡壘名稱的詳細資訊,請參閱 [DNS 易記堡壘名稱](dns-bastions.md)。
1. 開啟遠端桌面連線程式,這是標準的 Windows 程式,並在主機名稱欄位中輸入 Windows 堡壘的易記 DNS 名稱;例如,如果您的帳戶號碼為 123456789123 且您選擇堡壘 4,`rdpbastion(1-4).AAMSAccountNumber.amazonaws.com`則 會像這樣`rdpbastion4.A123456789123.amazonaws.com`。
![\[Remote Desktop Connection window with Computer field populated for AWS instance connection.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/ConnectToCustomerRDPBastionSmall.png)
1. 選擇**連線**。遠端桌面連線會嘗試與堡壘建立 RDP 連線。
如果成功,會開啟登入資料對話方塊。若要取得存取權,請使用您的公司 Active Directory 登入資料,就像使用 Windows 執行個體一樣。
![\[Windows Security credentials dialog box with username field and options to use another account or smart card.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/ConnectRDPCredentialsDialogSmall.png)
1. 在堡壘上開啟遠端桌面連線程式,然後輸入您要連線的 Windows 執行個體 IP 地址 (例如 10.0.0.100),然後選擇**連線**。連線至 Windows 執行個體之前,需要再次使用您的公司 Active Directory 登入資料。
![\[Remote Desktop Connection window with IP address field and Connect button.\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/ConnectToWindowsStackInstanceSmall.png)
------
# Windows 電腦到 Linux 執行個體
若要從 Windows 環境 RDP 到 SSH 堡壘,請遵循下列步驟。
------
#### [ MALZ ]
開始之前:
+ 請求存取您要連線的執行個體;如需資訊,請參閱[存取請求](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-access-request.html)。
+ 選擇要連線的易記 DNS SSH 堡壘名稱;例如:
```
sshbastion(1-4).YOUR_DOMAIN
```
如果 YOUR\$1DOMAIN 是 myamsaddomain.com://" 且您選擇堡壘 4:
```
sshbastion4.myamsaddomain.com
```
+ 尋找您要連線之執行個體的 IP 地址;如需資訊,請參閱[尋找執行個體 ID 或 IP 地址](https://docs.aws.amazon.com/managedservices/latest/userguide/find-instance-id.html)。
若要從 Windows 機器連線至 Linux 執行個體,您必須先連線至 SSH 堡壘。
使用原生 Windows [ OpenSSH 用戶端](https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse),或在本機電腦上安裝 [PuTTY](http://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html)。若要進一步了解 OpenSSH,請參閱 [ Windows 中的 OpenSSH](https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_overview)。
1. 使用原生 Windows 或開啟 PuTTY,然後輸入 SSH 堡壘主機名稱或 SSH 堡壘的 IP 地址。例如,10.65.2.214 (22 是用於 SSH 的連接埠,預設為 )。
1. OpenSSH 或 PuTTY 會嘗試 SSH 連線到堡壘,並開啟 shell 視窗。
1. 像使用 RDP 主機一樣使用您的公司 Active Directory 登入資料來取得存取權。
1. 當出現 Bash 提示時,SSH 會進入執行個體。輸入:
```
ssh DOMAIN_FQDN\USERNAME@INSTANCE_IP
```
------
#### [ SALZ ]
開始之前:
+ 請求存取您要連線的執行個體;如需資訊,請參閱[存取請求](https://docs.aws.amazon.com/managedservices/latest/ctref/ex-access-request.html)。
+ 選擇要連線的易記 DNS SSH 堡壘名稱;例如:
```
sshbastion(1-4).AAMSAccountNumber.amazonaws.com
```
如果您的帳號是 123456789123 且您選擇堡壘 4,則看起來像這樣:
```
sshbastion4.A123456789123.amazonaws.com
```
+ 尋找您要連線之執行個體的 IP 地址;如需資訊,請參閱[尋找執行個體 ID 或 IP 地址](https://docs.aws.amazon.com/managedservices/latest/userguide/find-instance-id.html)。
若要從 Windows 機器連線至 Linux 執行個體,您必須先連線至 SSH 堡壘。
使用原生 Windows [ OpenSSH 用戶端](https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse),或在本機電腦上安裝 [PuTTY](http://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html)。若要進一步了解 OpenSSH,請參閱 [ Windows 中的 OpenSSH](https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_overview)。
1. 使用原生 Windows 或開啟 PuTTY,然後輸入 SSH 堡壘主機名稱或 SSH 堡壘的 IP 地址。例如,10.65.2.214 (22 是用於 SSH 的連接埠,預設為 )。
1. OpenSSH 或 PuTTY 會嘗試 SSH 連線到堡壘,並開啟 shell 視窗。
1. 像使用 RDP 主機一樣使用您的公司 Active Directory 登入資料來取得存取權。
1. 當出現 Bash 提示時,SSH 會進入執行個體。輸入:
```
ssh DOMAIN_FQDN\USERNAME@INSTANCE_IP
```
------
# AMS 帳戶中以團隊或角色為基礎的存取控制
案例:兩個應用程式團隊 A 和 B 分別針對其應用程式「AA」和「BB」使用單一 AMS 帳戶。團隊 A 只想要存取應用程式「AA」的資源,而團隊 B 只想要存取應用程式「BB」的資源。如何設定?
使用其 ITSM 的工具實作以團隊為基礎的存取控制 (TBAC)。例如,您可以使用 AMS ServiceNow Connector 應用程式與 AMS APIs整合。如需此實作的高階指引,請聯絡您的 CSDM。