AWS

AWS Session Manager com capacidade aprimorada de SSH e SCP

AWS Session Manager com capacidade aprimorada de SSH e SCP
Um ano atrás, novos recursos no AWS Systems Manager Session Manager foram descobertos pela AWS (Amazon Web Services). Agora os usuários podem encapsular conexões Secure Shell (SSH) e Secure Copy (SCP) de clientes locais sem precisar de um console de gerenciamento AWS. Os usuários contam com firewalls há anos para acessar o conteúdo da nuvem com segurança, mas essas opções têm problemas de sobrecarga de criptografia e gerenciamento. O Session Manager oferece aos provedores de nuvem conectividade de console auditada e estável, sem a necessidade de pontos de acesso remoto. Um dos desafios enfrentados pelos usuários que adotam o AWS Session Manager é evitado incorporando a funcionalidade Secure Copy (SCP). O acesso ao console de ativos em nuvem foi concedido dentro do console de gerenciamento AWS, mas até agora, não havia nenhuma maneira conveniente de transferir arquivos para sistemas remotos. A criação ou manutenção de um sistema ativo exige a cópia de patches ou outros dados para as instâncias ativas em certos casos. Agora o Session Manager concede isso sem a necessidade de soluções externas como firewalls ou uso S3 intermediário. Vejamos o procedimento para configurar SCP e SSH para usá-los com recursos aprimorados.

Configurando SCP e SSH:

Você precisará executar as seguintes etapas de configuração para realizar as operações SCP e SSH do host local para o ativo de nuvem remoto:

Instalação do AWS Systems Manager Agent em instâncias EC2:

O que é um agente SSM?

O software SSM Agent da Amazon pode ser instalado e configurado em uma instância EC2, máquina virtual ou servidor local. O Agente SSM permite que o Gerente do Sistema atualize, controle e personalize essas ferramentas. O agente lida com solicitações do serviço AWS Cloud System Manager, as executa conforme definido na solicitação e transfere o status e as informações de execução de volta para o serviço Device Manager usando o Amazon Message Delivery Service. Se você rastrear o tráfego, poderá ver suas instâncias do Amazon EC2 e quaisquer servidores no local ou máquinas virtuais em seu sistema híbrido, interagindo com endpoints de mensagens ec2.

Instalando o agente SSM:

O Agente SSM é instalado em algumas instâncias de EC2 e Amazon System Images (AMIs) por padrão, como Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 e 20 e AMIs otimizados para Amazon 2 ECS. Além disso, você pode instalar o SSM manualmente de qualquer região AWS.

Para instalá-lo no Amazon Linux, primeiro baixe o instalador do agente SSM e execute-o usando o seguinte comando:

[email protegido]: ~ $ sudo yum install -y https: // s3.região.amazonas.com / amazon-ssm-region / latest / linux_amd64 / amazon-ssm-agent.rpm

No comando acima, “região" reflete o identificador de região AWS fornecido pelo gerente de sistemas. Se você não puder fazer o download da região especificada, use o URL global i.e

[email protegido]: ~ $ sudo yum install -y https: // s3.amazonas.com / ec2-downloads-windows / SSMAgent / latest / linux_amd64 / amazon-ssm-agent.rpm

Após a instalação, confirme se o agente está rodando ou não pelo seguinte comando:

[email protegido]: ~ $ sudo status amazon-ssm-agent

Se o comando acima exibir que o amazon-ssm-agent está parado, tente estes comandos:

[email protegido]: ~ $ sudo start amazon-ssm-agent
[email protegido]: ~ $ sudo status amazon-ssm-agent

Criação de perfil de instância IAM:

Por padrão, o AWS Systems Manager não tem autorização para executar ações em suas instâncias. Você deve permitir o acesso usando o AWS Identity and Access Management Instant Profile (IAM). No lançamento, um contêiner transfere dados de posição IAM para uma instância do Amazon EC2 é chamado de perfil de instância. Esta condição se estende a aprovações em todos os recursos do AWS Systems Manager. Se você estiver usando os recursos do System Manager, como o comando Run, um perfil de instância com as permissões básicas necessárias para o Session Manager já pode ser anexado às suas instâncias. Se suas instâncias já estão conectadas a um perfil de instância que inclui a política gerenciada da AmazonSSMManagedInstanceCore AWS, as permissões apropriadas do gerenciador de sessão já foram emitidas. No entanto, em casos específicos, as permissões podem ter que ser alteradas para adicionar permissões de gerenciador de sessão a um perfil de instância. Em primeiro lugar, abra o console IAM fazendo login no console de gerenciamento AWS. Agora clique no botão “Funções”Opção na barra de navegação. Escolha aqui o nome do cargo a ser incluído na política. Na guia Permissões, escolha Adicionar política embutida localizada na parte inferior da página. Clique na guia JSON e substitua o conteúdo já controlado pelo seguinte:


"Versão": "2012-10-17",
"Demonstração": [

"Efeito": "Permitir",
"Açao": [
"ssmmessages: CreateControlChannel",
"ssmmessages: CreateDataChannel",
"ssmmessages: OpenControlChannel",
"ssmmessages: OpenDataChannel"
],
"Recurso": "*"
,

"Efeito": "Permitir",
"Açao": [
"s3: GetEncryptionConfiguration"
],
"Recurso": "*"
,

"Efeito": "Permitir",
"Açao": [
"kms: Descriptografar"
],
"Recurso": "nome-chave"

]

Depois de substituir o conteúdo, clique em Política de Revisão. Nesta página, insira o nome da política inline como SessionManagerPermissions na opção Nome. Depois de fazer isso, escolha a opção Criar Política.

Atualizando a interface de linha de comando:

Para baixar a versão 2 do AWS CLI da linha de comando do Linux, primeiro baixe o arquivo de instalação usando o comando curl:

[email protegido]: ~ $ curl "https: // awscli.amazonas.com / awscli-exe-linux-x86_64.zip "-o" awscliv2.fecho eclair"

Descompacte o instalador usando este comando:

[email protegido]: ~ $ unzip awscliv2.fecho eclair

Para garantir que a atualização seja habilitada no mesmo lugar que o AWS CLI versão 2 já instalado, encontre o link simbólico existente, usando o comando which, e o diretório de instalação usando o comando ls como este:

[email protegido]: ~ $ que aws
[email protegido]: ~ $ ls -l / usr / local / bin / aws

Construa o comando de instalação usando este link simbólico e informações de diretório e, em seguida, confirme a instalação usando os comandos abaixo:

[email protegido]: ~ $ sudo ./ aws / install --bin-dir / usr / local / bin --install-dir / usr / local / aws-cli --update
[email protegido]: ~ $ aws - versão

Instalando o plugin do Session Manager:

Instale o plug-in Session Manager em seu computador local se desejar usar o AWS CLI para iniciar e encerrar sessões. Para instalar este plug-in no Linux, primeiro baixe o pacote RPM e instale-o usando a seguinte sequência de comandos:

[email protegido]: ~ $ curl "https: // s3.amazonas.com / session-manager-downloads / plugin / latest / linux_64bit / session-manager-plugin.rpm "-o" gerenciador de sessão-plugin.rpm "
[email protegido]: ~ $ sudo yum install -y gerenciador de sessão plugin. rpm

Depois de instalar o pacote, você pode confirmar se o plug-in foi instalado com sucesso ou não usando o seguinte comando:

[email protegido]: ~ $ session-manager-plugin

OU

[email protected]: ~ $ aws ssm start-session --target id-of-an-instance-you-have-permissions-to-access

Atualizando o arquivo de configuração SSH do host local:

Altere o arquivo de configuração SSH para permitir que um comando proxy inicie uma sessão do Gerenciador de Sessão e passe todos os dados por meio da conexão. Adicione este código ao arquivo de configuração SSH com ritmo em “~ /.ssh / config ”:

Usando SCP e SSH:

Agora você estará preparado para enviar conexões SSH e SCP com suas propriedades de nuvem diretamente de seu PC próximo após a conclusão das etapas mencionadas anteriormente.

Obtenha o ID da instância do ativo da nuvem. Isso pode ser feito por meio do console de gerenciamento AWS ou o seguinte comando:

[email protegido]: ~ $ aws ec2 describe-instances

O SSH pode ser executado normalmente usando o id da instância como o nome do host e as opções de linha de comando SSH como esta:

Agora os arquivos podem ser transferidos facilmente para a máquina remota sem a necessidade de um estágio intermediário, usando SCP.

Conclusão:

Os usuários contam com firewalls há anos para acessar o conteúdo da nuvem com segurança, mas essas opções têm problemas de sobrecarga de criptografia e gerenciamento. Embora a infraestrutura imutável seja um objetivo ideal por vários motivos, em certos casos, a criação ou manutenção de um sistema ativo requer a cópia de patches ou outros dados para as instâncias ativas, e muitos acabarão tendo a necessidade de obter ou ajustar sistemas em execução ao vivo. O AWS Systems Manager Session Manager permite esse recurso sem entrada de firewall extra e a necessidade de soluções externas como o uso S3 intermediário.

Jogos Instale o emulador Dolphin mais recente para Gamecube e Wii no Linux
Instale o emulador Dolphin mais recente para Gamecube e Wii no Linux
O Dolphin Emulator permite que você jogue seus jogos de Gamecube e Wii escolhidos em computadores pessoais Linux (PC). Sendo um emulador de jogo disp...
Jogos Como usar o GameConqueror Cheat Engine no Linux
Como usar o GameConqueror Cheat Engine no Linux
O artigo cobre um guia sobre como usar o mecanismo de cheat GameConqueror no Linux. Muitos usuários que jogam no Windows costumam usar o aplicativo “C...
Jogos Melhores emuladores de console de jogo para Linux
Melhores emuladores de console de jogo para Linux
Este artigo irá listar software de emulação de console de jogo popular disponível para Linux. A emulação é uma camada de compatibilidade de software q...