AWS Session Manager con capacidad mejorada de SSH y SCP

AWS Session Manager con capacidad mejorada de SSH y SCP
Hace un año, AWS (Amazon Web Services (Amazon Services) descubrió nuevas características en el administrador de sesiones del administrador de sistemas de AWS (Amazon Web Services). Ahora los usuarios pueden directamente las conexiones de Secure Shell (SSH) y Copy (SCP) de los clientes locales sin necesidad de una consola de administración de AWS. Los usuarios se han basado en firewalls durante años para acceder a contenido en la nube de manera segura, pero estas opciones tienen problemas de sobrecarga de cifrado y gestión. Session Manager ofrece proveedores de nube en la nube conectividad de consola auditada sin necesidad de puntos de acceso remoto. Se evita uno de los desafíos que enfrentan los usuarios que adoptan el administrador de la sesión de AWS incorporando la funcionalidad de copia segura (SCP). El acceso a la consola de activos de la nube se dio dentro de la consola de administración de AWS, pero hasta ahora, no había ninguna forma conveniente de transferir archivos a sistemas remotos. La creación o mantenimiento de un sistema en vivo necesita copiar parches u otros datos a las instancias en vivo en ciertos casos. Ahora, Session Manager lo otorga sin la necesidad de soluciones externas como firewalls o uso intermedio S3. Veamos el procedimiento para configurar SCP y SSH para usarlos con capacidades mejoradas.

Configuración de SCP y SSH:

Deberá ejecutar los siguientes pasos de configuración para realizar operaciones SCP y SSH desde Localhost a un activo de nube remoto:

Instalación del agente AWS Systems Manager en instancias EC2:

¿Qué es un agente SSM??

El agente SSM de software de Amazon se puede instalar y configurar en una instancia de EC2, una máquina virtual o un servidor en el sitio. El agente SSM permite al administrador del sistema actualizar, controlar y personalizar estas herramientas. El agente maneja las solicitudes del Servicio AWS Cloud System Manager, las ejecuta como se define en la solicitud y transfiere el estado y la información de ejecución al servicio del administrador de dispositivos utilizando el servicio de entrega de mensajes de Amazon. Si rastrea el tráfico, puede ver sus instancias de Amazon EC2 y cualquier servidor en el sitio o máquinas virtuales en su sistema híbrido, interactuando con puntos finales de mensajes EC2.

Instalación del agente SSM:

El agente SSM se instala en algunas instancias de imágenes EC2 y Amazon System (AMIS) de forma predeterminada como Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 y 20 y Amazon 2 ECS AMIS optimizados. Además de esto, puede instalar SSM manualmente desde cualquier región de AWS.

Para instalarlo en Amazon Linux, en primer lugar, descargue el instalador del agente SSM y luego ejecutelo usando el siguiente comando:

ubuntu@ubuntu: ~ $ sudo yum instalación -y https: // s3.región.amazonaws.com/amazon-ssm-region/ortat/linux_amd64/amazon-ssm-agent.rpm

En el comando anterior, "región" refleja el identificador de la región de AWS proporcionado por el gerente de sistemas. Si no puede descargarlo de la región, especificó, use la URL global I.mi

ubuntu@ubuntu: ~ $ sudo yum instalación -y https: // s3.amazonaws.com/ec2-downloads-windows/ssmagent/ortat/linux_amd64/amazon-ssm-agent.rpm

Después de la instalación, confirme si el agente se está ejecutando o no por el siguiente comando:

ubuntu@ubuntu: ~ $ sudo status amazon-ssm-agent

Si el comando de arriba muestra que se detiene el agente Amazon-SSM, entonces pruebe estos comandos:

ubuntu@ubuntu: ~ $ sudo start amazon-ssm-agent
ubuntu@ubuntu: ~ $ sudo status amazon-ssm-agent

Creación de perfil de instancia de IAM:

Por defecto, AWS Systems Manager no tiene la autorización para ejecutar acciones en sus instancias. Debe permitir el acceso utilizando el perfil instantáneo de gestión de identidad y acceso de AWS (IAM). En el lanzamiento, un contenedor transfiere los datos de la posición de IAM a una instancia de Amazon EC2 se llama perfil de instancia. Esta condición se extiende a las aprobaciones en toda la capacidad del Administrador de sistemas de AWS. Si está utilizando las capacidades de System Manager, como el comando ejecutar, un perfil de instancia con los permisos básicos necesarios para el administrador de sesiones ya se puede adjuntar a sus instancias. Si sus instancias ya están conectadas a un perfil de instancia que incluye la política administrada de AmazonSsManEdinStanceCore AWS, los permisos de gerente de sesión apropiados ya están emitidos. Sin embargo, en casos específicos, los permisos pueden tener que cambiarse para agregar permisos del administrador de sesión a un perfil de instancia. En primer lugar, abra la consola IAM iniciando sesión en la consola de administración de AWS. Ahora haga clic en el "RolesOpción en la barra de navegación. Aquí elija el nombre del puesto que se incluirá en la política. En la pestaña Permisos, elija agregar una política en línea ubicada en la parte inferior de la página. Haga clic en la pestaña JSON y reemplace el contenido ya ritmo con el siguiente:


"Versión": "2012-10-17",
"Declaración": [

"Efecto": "Permitir",
"Acción": [
"SSMMessages: CreateControlChannel",
"SSMMessages: creatingatachannel",
"SSMMessages: OpenControlChannel",
"SSMMessages: OpenDatachannel"
],
"Recurso": "*"
,

"Efecto": "Permitir",
"Acción": [
"S3: getencryptionConfiguration"
],
"Recurso": "*"
,

"Efecto": "Permitir",
"Acción": [
"KMS: descifrar"
],
"Resource": "Nombre de clave"

]

Después de reemplazar el contenido, haga clic en la política de revisión. En esta página, ingrese el nombre de la política en línea como SessionManagerPermissions bajo la opción Nombre. Después de hacer esto, elija la opción Crear política.

Actualización de la interfaz de línea de comandos:

Para descargar la versión 2 de AWS CLI desde la línea de comandos de Linux, descargue primero el archivo de instalación usando el comando CURL:

ubuntu@ubuntu: ~ $ curl "https: // awscli.amazonaws.com/awscli-exe-linux-x86_64.ZIP "-O" AWSCLIV2.cremallera"

Descomprima el instalador usando este comando:

ubuntu@ubuntu: ~ $ unzip awscliv2.cremallera

Para garantizar que la actualización esté habilitada en el mismo lugar que el AWS CLI ya instalado, la versión 2, encuentre el enlace simbólico existente, utilizando el comando qué comando y el directorio de instalación utilizando el comando LS como este:

ubuntu@ubuntu: ~ $ que aws
ubuntu@ubuntu: ~ $ ls -l/usr/local/bin/aws

Construya el comando de instalación utilizando este enlace simbólico y información del directorio y luego confirme la instalación utilizando los comandos a continuación:

ubuntu@ubuntu: ~ $ sudo ./AWS/Install--Bin-Dir/usr/local/bin --install-diir/usr/local/aws-cli-update
ubuntu@ubuntu: ~ $ aws --version

Instalación del complemento del administrador de sesiones:

Instale el complemento de Session Manager en su computadora local si desea utilizar la AWS CLI para iniciar y finalizar las sesiones. Para instalar este complemento en Linux, primero, descargue el paquete RPM y luego instálelo utilizando la siguiente secuencia de comandos:

ubuntu@ubuntu: ~ $ curl "https: // s3.amazonaws.com/session-manager-downloads/plugin/último/linux_64bit/session-manager-plugin.RPM "-O" Session-Manager-Plugin.RPM "
ubuntu@ubuntu: ~ $ sudo yum instalación -y session-manager-plugin. rpm

Después de instalar el paquete, puede confirmar si el complemento está instalado correctamente o no utilizando el siguiente comando:

ubuntu@ubuntu: ~ $ session-manager-plugin

O

Ubuntu@ubuntu: ~ $ AWS SSM Inicio Session-Target Id-de-Anstance-You-Have-Permissions-to-Acccess

Actualización del archivo de configuración SSH del host local:

Cambie el archivo de configuración SSH para permitir que un comando proxy inicie una sesión del administrador de sesión y pase todos los datos a través de la conexión. Agregue este código al archivo de configuración de SSH rayado en "~/.ssh/config ":

Usando SCP y SSH:

Ahora estará preparado para enviar conexiones SSH y SCP con sus propiedades en la nube directamente desde su PC cercana después de que se hayan terminado los pasos mencionados anteriormente.

Obtenga el ID de instancia de activo de la nube. Esto se puede lograr a través de la consola de administración de AWS o el siguiente comando:

ubuntu@ubuntu: ~ $ AWS EC2 Describa instancias

SSH se puede ejecutar como de costumbre utilizando el ID de instancia como nombre de host, y la línea de comandos SSH cambia así:

Ahora los archivos se pueden transferir fácilmente a la máquina remota sin necesidad de una etapa intermedia, utilizando SCP.

Conclusión:

Los usuarios se han basado en firewalls durante años para acceder a contenido en la nube de manera segura, pero estas opciones tienen problemas de sobrecarga de cifrado y gestión. Si bien la infraestructura inmóvil es un objetivo ideal por varias razones, en ciertos casos, la creación o el mantenimiento de un sistema en vivo necesita copiar parches u otros datos a las instancias en vivo, y muchos terminarán con la necesidad de llegar o ajustar sistemas en vivo en vivo. El administrador de sesión de AWS Systems Manager permite esta capacidad sin entrada adicional de firewall y la necesidad de soluciones externas como el uso intermedio S3.