Amazon 发布了新的会话管理器。这个新的会话管理器位于 AWS 系统管理器中,将提供一种新的 EC2 实例 shell 级访问方式。IT 系统管理员现在可以使用一种新的基于浏览器的交互式 shell 和命令行接口(CLI)管理他们的 Windows 和 Linux 实例。
之前,Amazon 就通过 AWS 系统管理器 Run Command 提供了 EC2 实例 shell 级访问的安全选项——可以创建命令文档并在希望的任何 EC2 实例集上运行,包括 Linux 和 Windows。此外,这些命令异步运行,可以获取输出并进行审查。现在,借助 AWS 系统管理器中新增的会话管理器,IT 管理员可以使用一个基于浏览器的 UI 和 CLI 来完成这项工作。
根据发布公告,新增的基于浏览器的会话管理器将提供如下功能:
- 安全访问——不需要在实例上手动设置用户账号、密码或 SSH 密钥,IT 管理员不必打开任何入站端口。
- 访问控制——IT 管理员可以使用 IAM 策略和用户来控制实例访问,不需要分发 SSH 密钥。
- 可审计——命令和响应都会记入 Amazon CloudWatch 和 S3 桶。
- 交互性——命令在一个完全交互式的 bash (Linux)或 PowerShell (Windows)环境中同步执行。
- 编程和脚本——除了控制台访问,IT 管理员还可以从命令行(aws ssm……)或者通过 Session Manager API 初始化会话。
使用新增的会话管理器访问 EC2 实例需要实例上有一个 SSM 代理,代理版本为 2.3.12 或更高。而且,代理必须能够连接会话管理器的公共端点,或者在不能访问互联网或没有公共 IP 地址时通过 PrivateLink 连接。为了安全起见,每个实例上的实例角色必须引用一项策略才能访问恰当的服务。有了这些先决条件之后,IT 管理员就可以指定实例会话参数了——例如,把会话输出写入一个 S3 桶,把输出发送到 CloudWatch Logs。之后,IT 管理员就可以启动实例的一个会话了。
图片来源: https://aws.amazon.com/blogs/aws/new-session-manager/
一旦会话建立,IT 管理员就可以在会话中发送命令,并稍后在 CloudWatch 中检查日志流(每个流代表一个会话)。
Amazon 发布会话管理器引起的反向似乎还不错。在一个 reddit.com话题中,人们反应积极,对于有关会话管理器的 Twitter 消息也是如此。
会话管理器在 AWS 的所有区域都可以使用(包括 AWS GovCloud),而且不会产生额外的费用。此外,Amazon 正在计划其他的会话管理器特性,如 SSH 客户端、访问本地实例。要了解有关会话管理器的更多细节,请查阅 AWS文档。
查看英文原文: Amazon Releases a New Session Manager in AWS Systems Manager
评论