Phenquestions
Configuration de SCP et SSH :
Vous devrez exécuter les étapes de configuration suivantes pour effectuer les opérations SCP et SSH de l'hôte local vers l'actif cloud distant :
Installation de l'agent AWS Systems Manager sur les instances EC2 :
Qu'est-ce qu'un agent SSM?
Le logiciel SSM Agent d'Amazon peut être installé et configuré sur une instance EC2, une machine virtuelle ou un serveur sur site. L'Agent SSM permet au System Manager de mettre à jour, contrôler et personnaliser ces outils. L'agent traite les demandes du service AWS Cloud System Manager, les exécute comme défini dans la demande et transfère les informations d'état et d'exécution au service Device Manager à l'aide du service Amazon Message Delivery. Si vous suivez le trafic, vous pouvez voir vos instances Amazon EC2 et tous les serveurs sur site ou machines virtuelles de votre système hybride, interagissant avec les points de terminaison des messages ec2.
Installation de l'agent SSM :
L'agent SSM est installé sur certaines instances EC2 et Amazon System Images (AMI) par défaut comme Amazon Linux, Amazon Linux 2, Ubuntu 16, Ubuntu 18 et 20, et les AMI optimisées Amazon 2 ECS. En plus de cela, vous pouvez installer SSM manuellement à partir de n'importe quelle région AWS.
Pour l'installer sur Amazon Linux, téléchargez tout d'abord le programme d'installation de l'agent SSM puis exécutez-le à l'aide de la commande suivante :
[email protected]:~$ sudo yum install -y https://s3.Région.amazones.com/amazon-ssm-region/latest/linux_amd64/amazon-ssm-agent.tr/minDans la commande ci-dessus, "Région" reflète l'identifiant de région AWS fourni par le gestionnaire de systèmes. Si vous ne pouvez pas le télécharger à partir de la région que vous avez spécifiée, utilisez l'URL globale i.e
[email protected]:~$ sudo yum install -y https://s3.amazones.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.tr/minAprès l'installation, confirmez si l'agent est en cours d'exécution ou non par la commande suivante :
[email protected]:~$ sudo status amazon-ssm-agentSi la commande ci-dessus indique que l'agent amazon-ssm est arrêté, essayez ces commandes :
[email protected]:~$ sudo start amazon-ssm-agent[email protected]:~$ sudo status amazon-ssm-agent
Création d'un profil d'instance IAM :
Par défaut, AWS Systems Manager n'a pas l'autorisation d'exécuter des actions sur vos instances. Vous devez autoriser l'accès à l'aide du profil instantané AWS Identity and Access Management (IAM). Au lancement, un conteneur transfère les données de position IAM vers une instance Amazon EC2 est appelé un profil d'instance. Cette condition s'étend aux approbations sur toutes les capacités AWS Systems Manager. Si vous utilisez les fonctionnalités de System Manager, comme la commande Exécuter, un profil d'instance avec les autorisations de base nécessaires pour Session Manager peut déjà être attaché à vos instances. Si vos instances sont déjà connectées à un profil d'instance qui inclut la politique gérée AWS AmazonSSMManagedInstanceCore, les autorisations de gestionnaire de session appropriées sont déjà émises. Cependant, dans des cas spécifiques, les autorisations peuvent devoir être modifiées pour ajouter des autorisations de gestionnaire de session à un profil d'instance. Tout d'abord, ouvrez la console IAM en vous connectant à la console de gestion AWS. Cliquez maintenant sur le "Les rôlesoption " dans la barre de navigation. Choisissez ici le nom du poste à inclure dans la politique. Dans l'onglet Autorisations, choisissez Ajouter une stratégie en ligne située au bas de la page. Cliquez sur l'onglet JSON et remplacez le contenu déjà rythmé par le suivant :
"Version": "2012-10-17",
"Déclaration": [
"Effet": "Autoriser",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:Créer un canal de données",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Ressource": "*"
,
"Effet": "Autoriser",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Ressource": "*"
,
"Effet": "Autoriser",
"Action": [
"kms:Déchiffrer"
],
"Ressource": "nom-clé"
]
Après avoir remplacé le contenu, cliquez sur la politique de révision. Sur cette page, entrez le nom de la stratégie en ligne comme SessionManagerPermissions sous l'option Nom. Après cela, choisissez l'option Créer une stratégie.
Mise à jour de l'interface de ligne de commande :
Pour télécharger la version 2 de l'AWS CLI à partir de la ligne de commande Linux, commencez par télécharger le fichier d'installation à l'aide de la commande curl :
[email protected] :~$ curl "https://awscli.amazones.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.Zip *: français"Décompressez le programme d'installation à l'aide de cette commande :
[email protégé] : ~$ décompressez awscliv2.Zip *: françaisPour vous assurer que la mise à niveau est activée au même endroit que l'AWS CLI version 2 déjà installée, recherchez le lien symbolique existant à l'aide de la commande which et le répertoire d'installation à l'aide de la commande ls comme ceci :
[email protected]:~$ qui aws[email protégé] :~$ ls -l /usr/local/bin/aws
Construisez la commande d'installation à l'aide de ce lien symbolique et des informations de répertoire, puis confirmez l'installation à l'aide des commandes ci-dessous :
[email protégé] :~$ sudo ./aws/install --bin-dir /usr/local/bin --install-dir /usr/local/aws-cli --update[email protégé] :~$ aws --version
Installation du plug-in Session Manager :
Installez le plug-in Session Manager sur votre ordinateur local si vous souhaitez utiliser l'AWS CLI pour démarrer et terminer des sessions. Pour installer ce plugin sur Linux, commencez par télécharger le package RPM, puis installez-le à l'aide de la séquence de commandes suivante :
[email protected] :~$ curl "https://s3.amazones.com/session-manager-downloads/plugin/latest/linux_64bit/session-manager-plugin.rpm" -o "plugin-gestionnaire de session.tr/min"[email protected]:~$ sudo yum install -y session-manager-plugin. tr/min
Après avoir installé le package, vous pouvez vérifier si le plugin est installé avec succès ou non à l'aide de la commande suivante :
[email protected]:~$ session-manager-pluginOU ALORS
[email protected]:~$ aws ssm start-session --target id-of-an-instance-you-have-permissions-to-accessMise à jour du fichier de configuration SSH de l'hôte local :
Modifiez le fichier de configuration SSH pour permettre à une commande proxy de démarrer une session du gestionnaire de session et de transmettre toutes les données via la connexion. Ajoutez ce code au fichier de configuration SSH au rythme de "~/.ssh/config":
Utilisation de SCP et SSH :
Vous serez maintenant prêt à envoyer des connexions SSH et SCP avec vos propriétés cloud directement depuis votre PC à proximité une fois les étapes mentionnées précédemment terminées.
Obtenir l'identifiant de l'instance de l'actif cloud. Cela peut être réalisé via la console de gestion AWS ou la commande suivante :
[email protected]:~$ aws ec2 describe-instancesSSH peut être exécuté comme d'habitude en utilisant l'identifiant d'instance comme nom d'hôte, et la ligne de commande SSH bascule comme ceci :
Désormais, les fichiers peuvent être transférés facilement vers la machine distante sans avoir besoin d'une étape intermédiaire, à l'aide de SCP.
Conclusion:
Les utilisateurs se sont appuyés sur des pare-feu pendant des années pour accéder au contenu du cloud en toute sécurité, mais ces options présentent des problèmes de chiffrement et de surcharge de gestion. Alors que l'infrastructure immuable est un objectif idéal pour diverses raisons, dans certains cas, la création ou la maintenance d'un système en direct nécessite de copier des correctifs ou d'autres données sur les instances en direct, et beaucoup finiront par avoir besoin d'accéder ou d'ajuster les systèmes fonctionnant en direct. AWS Systems Manager Session Manager permet cette capacité sans entrée de pare-feu supplémentaire et le besoin de solutions externes comme l'utilisation S3 intermédiaire.
