设置 EC2 Instance Connect
Amazon Linux 2 2.0.20190618 或更高版本预配置了 EC2 Instance Connect。对于支持的其他 Linux 发行版,您需要为提供 Instance Connect 功能的每个实例设置 Instance Connect 以进行连接。这是每个实例的一次性要求。
要设置 Instance Connect,请执行以下操作:
限制
如果 SSH 设置使用或要求使用 AuthorizedKeysCommand 和 AuthorizedKeysCommandUser,则无法安装 EC2 Instance Connect。
如果已配置 AuthorizedKeysCommand 和 AuthorizedKeysCommandUser,则 EC2 Instance Connect 安装不会更改这些值,并且您无法使用 Instance Connect。
Instance Connect 支持以下 Linux 发行版:
-
Amazon Linux 2(任何版本)
-
Ubuntu 16.04 或更高版本
先决条件
-
确认满足使用 SSH 连接到实例的一般先决条件。
有关更多信息,请参阅 连接到您的实例的常规先决条件。
-
在您的本地计算机上安装 SSH 客户端。
您的本地计算机很可能已默认安装 SSH 客户端。您可以通过在命令行键入 ssh 来检查 SSH 客户端。如果您的本地计算机无法识别该命令,您可安装 SSH 客户端。有关在 Linux 或 macOS X 上安装 SSH 客户端的信息,请参阅 http://www.openssh.com。有关在 Windows 10 上安装 SSH 客户端的信息,请参阅 Windows 中的 OpenSSH。
-
在本地计算机上安装 AWS CLI。
要配置 IAM 权限,您必须使用 AWS CLI。有关安装 AWS CLI 的更多信息,请参阅 AWS Command Line Interface 用户指南 中的安装 AWS CLI。
-
[Ubuntu] 在实例上安装 AWS CLI。
要在 Ubuntu 实例上安装 EC2 Instance Connect,您必须在实例上使用 AWS CLI。有关安装 AWS CLI 的更多信息,请参阅 AWS Command Line Interface 用户指南 中的安装 AWS CLI。
步骤 1:配置对实例的网络访问
您需要配置对实例的网络访问,以便安装 EC2 Instance Connect 并允许用户连接到实例。您需要配置对实例的以下网络访问:
-
确保与您实例关联的安全组允许来自您 IP 地址端口 22 上的传入 SSH 流量。默认情况下,VPC 的默认安全组不允许传入 SSH 流量。默认情况下,由启动向导创建的安全组支持 SSH 流量。有关更多信息,请参阅为您的 Linux 实例授权入站流量。
-
(仅限控制台)如果您的用户使用 Amazon EC2 控制台进行连接,我们建议实例允许来自以下位置的入站 SSH 流量:为该服务发布的建议 IP 块。在
service参数中使用EC2_INSTANCE_CONNECT筛选条件以获取 EC2 Instance Connect 子集中的 IP 地址范围。有关更多信息,请参阅 Amazon Web Services 一般参考 中的 AWS IP 地址范围。
步骤 1:在实例上安装 EC2 Instance Connect
安装 EC2 Instance Connect 将在实例上配置 SSH 守护程序。对于使用 Amazon Linux 2 和 Ubuntu 启动的实例,安装 EC2 Instance Connect 的过程是不同的。
- Amazon Linux 2
-
在使用 Amazon Linux 2 启动的实例上安装 EC2 Instance Connect
-
使用 SSH 连接到您的实例。
可以使用在启动实例时为其分配的 SSH 密钥对以及用于启动实例的 AMI 的默认用户名。对于 Amazon Linux 2,默认用户名是
ec2-user。例如,如果实例是使用 Amazon Linux 2 启动的,实例的公有 DNS 是
ec2-a-b-c-d.us-west-2.compute.amazonaws.com,并且密钥对是my_ec2_private_key.pem,请使用以下命令通过 SSH 连接到实例:$ssh -imy_ec2_private_key.pemec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com有关连接到实例的更多信息,请参阅使用 SSH 连接到 Linux 实例。
-
在实例上安装 EC2 Instance Connect 程序包。
对于 Amazon Linux 2,请使用 yum install 命令。
[ec2-user ~]$sudo yum install ec2-instance-connect将会在
/opt/aws/bin/文件夹中看到四个新文件:eic_curl_authorized_keys eic_harvest_hostkeys eic_parse_authorized_keys eic_run_authorized_keys -
(可选)验证是否在实例上成功安装了 Instance Connect。
可以使用 sudo less 命令检查是否正确更新了
/etc/ssh/sshd_config文件,如下所示:[ec2-user ~]$sudo less /etc/ssh/sshd_config如果
/etc/ssh/sshd_config文件中的AuthorizedKeysCommand和AuthorizedKeysCommandUser行包含以下值,则成功安装了 Instance Connect:AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f AuthorizedKeysCommandUser ec2-instance-connect-
AuthorizedKeysCommand设置eic_run_authorized_keys文件以从实例元数据中查找密钥 -
AuthorizedKeysCommandUser将系统用户设置为ec2-instance-connect
注意
如果以前配置了
AuthorizedKeysCommand和AuthorizedKeysCommandUser,则 Instance Connect 安装不会更改这些值,并且您无法使用 Instance Connect。 -
-
- Ubuntu
-
在使用 Ubuntu 16.04 或更高版本启动的实例上安装 EC2 Instance Connect
-
使用 SSH 连接到您的实例。
可以使用在启动实例时为其分配的 SSH 密钥对以及用于启动实例的 AMI 的默认用户名。对于 Ubuntu AMI,用户名称是
ubuntu。如果实例是使用 Ubuntu 启动的,实例的公有 DNS 是
ec2-a-b-c-d.us-west-2.compute.amazonaws.com,并且密钥对是my_ec2_private_key.pem,请使用以下命令通过 SSH 连接到实例:$ssh -imy_ec2_private_key.pemubuntu@ec2-a-b-c-d.us-west-2.compute.amazonaws.com有关连接到实例的更多信息,请参阅使用 SSH 连接到 Linux 实例。
-
(可选)确保您的实例具有最新 Ubuntu AMI。
对于 Ubuntu,使用 apt-get update 命令更新实例上的所有程序包。
ubuntu:~$sudo apt-get update -
在实例上安装 Instance Connect 程序包。
对于 Ubuntu,请使用 sudo apt-get 命令安装
.deb程序包。ubuntu:~$sudo apt-get install ec2-instance-connect将会在
/usr/share/ec2-instance-connect/文件夹中看到四个新文件:eic_curl_authorized_keys eic_harvest_hostkeys eic_parse_authorized_keys eic_run_authorized_keys -
(可选)验证是否在实例上成功安装了 Instance Connect。
可以使用 sudo less 命令检查是否正确更新了
/lib/systemd/system/ssh.service.d/ec2-instance-connect.conf,如下所示:ubuntu:~$sudo less /lib/systemd/system/ssh.service.d/ec2-instance-connect.conf如果
/lib/systemd/system/ssh.service.d/ec2-instance-connect.conf文件中的AuthorizedKeysCommand和AuthorizedKeysCommandUser行包含以下值,则成功安装了 Instance Connect:AuthorizedKeysCommand /usr/share/ec2-instance-connect/eic_run_authorized_keys %u %f AuthorizedKeysCommandUser ec2-instance-connect-
AuthorizedKeysCommand设置eic_run_authorized_keys文件以从实例元数据中查找密钥 -
AuthorizedKeysCommandUser将系统用户设置为ec2-instance-connect
注意
如果以前配置了
AuthorizedKeysCommand和AuthorizedKeysCommandUser,则 Instance Connect 安装不会更改这些值,并且您无法使用 Instance Connect。 -
-
有关 EC2 Instance Connect 程序包的更多信息,请参阅 GitHub 网站上的 aws/aws-ec2-instance-connect-config。
步骤 3:(可选)安装 EC2 Instance Connect CLI
EC2 Instance Connect CLI 提供与标准 SSH 调用类似的界面,包括查询 EC2 实例信息,生成和发布临时公有密钥以及通过单个命令 (mssh
) 建立 SSH 连接。
instance_id
注意
如果用户仅使用控制台或 SSH 客户端连接到实例,则无需安装 EC2 Instance Connect CLI。
安装 EC2 Instance Connect CLI 程序包
-
使用
pip安装ec2instanceconnectcli程序包。$pip install ec2instanceconnectcli有关 EC2 Instance Connect CLI 程序包的更多信息,请参阅 GitHub 网站上的 aws/aws-ec2-instance-connect-cli,以及 Python Package Index (PyPI) 网站上的 https://pypi.org/project/ec2instanceconnectcli/。
步骤 4:为 EC2 Instance Connect 配置 IAM 权限
如果 IAM 用户将使用 EC2 Instance Connect 连接到实例,您必须为其授予所需的权限以将公有密钥推送到实例。以下说明介绍如何使用 AWS CLI 创建策略并将其附加到用户。有关如何使用 AWS 管理控制台执行该操作的信息,请参阅 IAM 用户指南 中的创建 IAM 策略(控制台)和将策略直接附加到用户以添加权限。
注意
对于 Instance Connect,我们目前不支持基于标签的授权。ec2 命名空间中的标签和上下文键不会自动应用于 ec2-instance-connect。
为 IAM 用户授予 EC2 Instance Connect (AWS CLI) 权限
-
创建一个 JSON 文档,其中包含新策略的以下内容:
-
如果您的用户仅使用控制台或 SSH 客户端连接到实例,请在策略中使用以下内容:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2-instance-connect:SendSSHPublicKey", "Resource": "arn:aws:ec2:region:account-id:instance/i-instance-id", "Condition": { "StringEquals": { "ec2:osuser": "ami-username" } } }] } -
如果您的用户使用 EC2 Instance Connect CLI 连接到实例,请在策略中使用以下内容,其中包括
ec2:DescribeInstances操作:{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2-instance-connect:SendSSHPublicKey", "Resource": "arn:aws:ec2:region:account-id:instance/i-instance-id", "Condition": { "StringEquals": { "ec2:osuser": "ami-username" } } }, { "Effect": "Allow", "Action": "ec2:DescribeInstances", "Resource": "*" } ] }
-
ec2-instance-connect:SendSSHPublicKey操作为 IAM 用户授予将公有密钥推送到实例的权限。 -
ec2:osuser条件指定用于启动实例的 AMI 的默认用户名。对于 Amazon Linux 2,默认用户名是ec2-user。对于 Ubuntu AMI,默认用户名是ubuntu。 -
(仅通过 EC2 Instance Connect CLI 进行连接)
ec2:DescribeInstances操作是必需的,因为包装程序在第一步进行 describe 调用。
有关更多信息,请参阅 IAM 用户指南 中的 Amazon EC2 的操作、资源和条件键。
-
-
使用 create-policy 命令创建新的托管策略,并指定您创建的 JSON 文档以作为新策略的内容。
$aws iam create-policy --policy-namemy-policy--policy-document file://JSON-file-name -
使用 attach-user-policy 命令将指定的托管策略附加到指定的 IAM 用户。对于
--user-name参数,请指定 IAM 用户的友好名称(而不是 ARN)。$aws iam attach-user-policy --policy-arn arn:aws:iam::account-id:policy/my-policy--user-nameIAM-friendly-name