當今這個時代對於企業 IT 管理員來說非常有趣。一方面，開發人員在探討（並著手實施）基礎設施即程式碼的美好未來，將伺服器和其他資源視之如敝履。另一方面，仍需將舊版系統視之如愛寵，需要手動或藉助有限的自動化進行設定和維護。與我交流過的許多客戶都在快速向未來邁進，但卻困囿於眼下的環境。例如，他們有時仍需要在 Shell 級別訪問伺服器。他們可能需要在維護強大的安全配置檔案的同時，強制結束失控的程序、查閱伺服器日誌、優化配置或安裝臨時補丁。他們希望避免因執行堡壘主機產生的麻煩，也希望規避因在例項上開啟入站 SSH 埠帶來的風險。

我們已經通過 AWS Systems Manager Run Command

全新 Session Manager

今天，我們增加了新的 Shell 級訪問選項。全新 Session Manager 讓 AWS Systems Manager 更加強大。現在，您可以使用基於瀏覽器的全新互動式 Shell 和命令列介面 (CLI) 來管理 Windows 和 Linux 例項。其功能如下：
安全訪問

訪問控制 – 您可以使用 IAM 策略和使用者來控制例項訪問許可權，無需分發 SSH 金鑰。您可以利用 IAM 的 日期條件運算子，將訪問限制在所需的時間/維護時段。

可審計性 – 命令和響應可以記錄到 Amazon CloudWatch 和 S3 儲存桶中。您可以安排在新會話啟動時接收 SNS 通知。

互動性 – 命令在完全互動的 bash

程式設計和指令碼編寫 – 除了我稍後要展示的控制檯訪問許可權之外，您還可以通過命令列 (aws ssm ...) 或 Session Manager API 發起會話。

EC2 例項上執行的 SSM 代理必須能夠連線到 Session Manager 的公共終端節點。您還可以設定 PrivateLink 連線，允許在私有 VPC 中執行的例項（在無法訪問網際網路或公共 IP 地址的情況下）連線到 Session Manager。

Session Manager 實際應用

為了使用 Session Manager 訪問我的 EC2 例項，例項必須執行位於最新版本（2.3.12 或更高版本）的 SSM 代理中。例項的例項角色必須引用允許訪問相應服務的策略；您可以建立自己的策略，也可以使用 AmazonEC2RoleForSSM 。這是我的 EC2 例項（ sk1 和 sk2 執行的是 Amazon Linux； sk3-win 和 sk4-win 執行的是 Microsoft Windows）：

在執行第一條命令之前，我要開啟 AWS Systems Manager，單擊首選項 。由於我想記錄命令，因此我要輸入 S3 儲存桶的名稱和 CloudWatch 日誌組。如果我輸入其中一個或兩個值，則例項策略還必須授予對它們的訪問許可權：

準備就緒了！ 我單擊“會話”，可以看到沒有活動會話，然後單擊 Start session （開始會話）繼續操作：

選擇一個 Linux 例項 (sk1 )，然後再次單擊 Start session（開始會話）：

會話將立即開啟：

我可以為我的一個 Windows 例項執行相同的操作：

在 CloudWatch 中可以看到日誌流：

每個流都包含單個會話的內容：

工作過程

與以往一樣，我們在使用 Session Manager 時會需要另外一些功能。以下為這些功能的簡要介紹：
SSH 客戶端 – 您可以在 Session Manager 上建立 SSH 會話，而無需開啟任何入站埠。

本地訪問 – 我們計劃通過 Session Manager 為您提供訪問本地例項（必須執行 SSM 代理）的功能。

現已推出

Session Manager 現已在所有 AWS 區域（包括 AWS GovCloud）推出，無需額外付費即可使用。

本篇作者