介绍本篇前,先抛出一个问题。在本地环境中,如何更安全的连接AWS的资源?本篇将会向您介绍如何使用AWS Systems Manager Session Manager服务来解决这一问题的具体实现方案。
AWS Systems Manager Session Manager 使用 Systems Manager 基础设施与实例创建一个类似 SSH 的会话。Session Manager 可通过隧道传输真正的 SSH 连接,从而使您可以直接从本地计算机中通过隧道传输到 Virtual Private Cloud (VPC) 内的另一个资源。您可以创建托管实例充当您的 AWS 资源的堡垒主机或网关。这种配置的优势包括:
提高安全性:这种配置可使用一个 Amazon Elastic Compute Cloud (Amazon EC2) 实例来作为堡垒主机,并将出站端口 443 与 Systems Manager 基础设施连接。这样一来,您无需任何入站连接便可以使用 Session Manager。访问资源必须仅允许来自充当堡垒主机的实例的入站流量。因此,安全组不需要公开打开任何入站规则。
简便易用:您可以直接从您的本地计算机访问私有 VPC 中的资源。
本篇将通过一个案例配置来介绍通过AWS Systems Manager Session Manager服务,可以帮助实现从本地计算机到私有VPC中资源的访问。
Step 1.
在本地计算机上安装Session Manager插件。
1.1下载地址:
1.2安装插件:
1.3 验证安装是否成功
Step 2.
给本地主机配置ssh config
2.1 创建目录:C:\Users\username\.ssh\config
2.2 将以下内容添加到在您本地计算机上的配置文件config
2.3 给对应的IAM role增加权限,附加到ssh连接的ec2上
Step 3.
下载AWS CLI
3.1下载 https://s3.amazonaws.com/aws-cli/AWSCLISetup.exe
3.2定义aws环境变量
新增环境变量:
3.3 配置aws认证
Step 4.
测试在本地直接连接RDS
测试命令:ssh -i /path/my-key-pair.pem username@instance-id -L localport:targethost:destport
测试结果:
通过本地计算机3306端口连接RDS:
连接成功:
AWS Systems Manager 使用SSH 隧道:
隧道建立后,可以在本地计算机上直接访问RDS资源,并且不需要开启EC2上的安全组来允许本地计算机远程连接,RDS安全组配置只需要允许来自EC2的流量。使用SSH隧道连接可以更好的提高安全性。可以直接从本地计算中访问VPC内的资源,使用起来十分的简便易用。
希望这些经验能够对您有所帮助,
如果您对以上方案感兴趣,
欢迎联系我们取得技术支持!
• end •
关于伊克罗德
伊克罗德为一家 Born-In-Cloud 云原生的咨询服务公司,为企业提供云端架构咨询、项目迁移、混合云环境托管、培训与多样化的上云解决方案,服务全球企业超過数千家,客户横跨互联网、媒体、游戏、电商零售、制造、汽车、金融科技、社交应用等行业。在全球云服务顾问咨询产业中,伊克罗德是长期值得信赖的一站式上云解决⽅案提供者。
同時作为亚马逊云科技的核心级服务合作伙伴,伊克罗德专业提供亚马逊云科技的顾问咨询与技术⽀持服务,与亚马逊云科技在全球范围内展开深度合作,团队拥有数百张亚马逊云科技专业架构师证照,并先后荣获亚马逊云迁移、云安全、云托管、物联网、数据分析、机器学习、SAP、DevOps等多项能力资质。
伊克罗德始终秉持以客户为中心的服务理念,更与数十家战略合作伙伴构建了多样化的全球合作伙伴生态圈,提供客户更多元化的解决方案,致力于成为全球最具创新及专业的大型云服务顾问咨询公司,以云端优势推动企业实现数字化转型,释放企业创新潜能,为企业提供可靠全方位的⼀站式服务!