AWS Session Manager требует разрешения входящего трафика, но не должен

У меня есть экземпляр EC2, работающий со следующей сетевой настройкой:

  • он находится в общедоступной подсети с подключенным интернет-шлюзом
  • у него есть группа безопасности, прикрепленная к исходящему правилу, чтобы разрешить весь трафик (все порты на 0.0.0.0/0)

Согласно документации, должна быть возможность подключиться к экземпляру с помощью AWS Session Manager:

Чтобы ваши управляемые экземпляры и служба Systems Manager могли взаимодействовать друг с другом, вы должны выполнить одно из следующих действий:
-Настройка Systems Manager для использования интерфейса Virtual Private Cloud (VPC)
конечной точки
- Включите исходящий доступ в Интернет на ваших управляемых экземплярах

Примечание
Включение входящего доступа в Интернет не требуется.

(источник: https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-prereqs.html)

Но когда я пытаюсь подключиться к Session Manager, соединение не инициализируется (появляется черный экран, но он остается пустым).

Если я включу весь входящий трафик в группе безопасности (добавив правило для входящего трафика на всех портах на 0.0.0.0/0), то диспетчер сеансов работает правильно. Но это не обязательно, и, конечно, я хочу избежать этого из соображений безопасности.

Так что не так в настройке?


amazon-web-services amazon-vpc amazon-systems-manager
person Jacek Barecki    schedule 17.03.2019    source источник
comment
Подтвердите, что у вашего экземпляра действительно есть общедоступный IP-адрес? Это требование подразумевается тем, что он находится в общедоступной подсети с подключенным интернет-шлюзом. Я не могу представить, что это не так, но хотел бы уточнить.   -  person Michael - sqlbot    schedule 17.03.2019
comment
Да, у него публичный IP-адрес   -  person Jacek Barecki    schedule 18.03.2019
comment
[Отредактировано, чтобы удалить ссылку на актуальность, поддержка SSH-туннелирования - новая]. Трудно сказать, почему у вас возникают проблемы, если вы можете предоставить воспроизводимый шаблон, я могу взглянуть. Кроме того, я недавно написал блог, который может вас заинтересовать: aws.amazon.com/blogs/infrastructure-and-automation/. Я привожу пример подключения к экземпляру в частной подсети без использования открытых портов или пары ключей.   -  person vsnyc    schedule 06.08.2019

Ответы (1)


arrow_upward
0
arrow_downward

Насколько я понимаю, вы не настраиваете конечную точку VPC. VPC Endpoint - это интерфейс, который позволяет использовать сервисы AWS через частную сеть AWS (а не через Интернет). Поэтому вам не нужно включать правило для входящего трафика, AWS System Manager подключается к вашему EC2 через конечную точку VPC (это безопасный и рекомендуемый способ подключения). Однако, когда вы разрешаете входящее правило в группе безопасности, оно подключается к вашему экземпляру через Интернет и не является безопасным. Так что используйте интерфейс VPC Endpoint. Это не так сложно использовать, вы можете обратиться к Документация по AWS System Manager для VPC Endpoint

person Gor Kotikyan    schedule 17.03.2019
comment
Да, это тоже вариант, но в документации AWS указано, что требуется одно из следующего - либо VPC, либо разрешение исходящего доступа в Интернет. Обратной стороной конечной точки VPC является ее стоимость. - person Jacek Barecki; 18.03.2019
comment
Не могли бы вы уточнить? Когда вы включаете только исходящие правила, есть ли у вас доступ в Интернет в вашем EC2. Например, можете ли вы общаться с другими веб-сайтами или службами в EC2? - person Gor Kotikyan; 18.03.2019