Diseño de infraestructura

Eliminación de la gestión de claves SSH con EC2 Instance Connect - Conexión segura desde navegador y CLI

Explicamos la conexión SSH sin claves con EC2 Instance Connect, el control de acceso basado en IAM y el uso de Endpoints.

約 4 分で読めます

Descripción general de EC2 Instance Connect

EC2 Instance Connect es un servicio para conectarse de forma segura a instancias EC2 sin distribución previa de claves SSH. Con la conexión SSH tradicional, la creación, distribución, rotación y manejo de pérdida de pares de claves era una carga operativa, pero Instance Connect utiliza claves públicas temporales, eliminando la necesidad de gestión de claves.

Endpoint y conexión privada

EC2 Instance Connect Endpoint es un endpoint creado dentro de la VPC que permite conectarse a instancias en subredes privadas sin IP pública ni servidor bastión. Se controla la acción ec2-instance-connect:OpenTunnel con políticas IAM, restringiendo la conexión a instancias o subredes específicas. Al conectarse, una clave pública SSH temporal se coloca en los metadatos de la instancia durante 60 segundos y se elimina automáticamente después de establecer la conexión, sin dejar claves permanentes.

EC2 Instance Connect Endpoint

Con EC2 Instance Connect Endpoint (EIC Endpoint), se puede establecer conexión SSH/RDP a instancias en subredes privadas sin dirección IP pública ni servidor bastión. Se crea un EIC Endpoint dentro de la VPC y se controlan los usuarios autorizados y las instancias objetivo con políticas IAM. La conexión se tuneliza a través de AWS PrivateLink, por lo que no es necesario abrir el puerto SSH de entrada en el grupo de seguridad de la instancia. Se puede auditar con CloudTrail quién se conectó a qué instancia y cuándo, y no se requiere gestión de claves SSH. Un solo EIC Endpoint puede conectarse a instancias en múltiples subredes dentro de la VPC, sin cargos adicionales. Si desea aprender sistemáticamente sobre conexiones SSH, también puede consultar libros relacionados (Amazon).

Comparación y selección de métodos de conexión

Hay 3 métodos de conexión a EC2: EC2 Instance Connect, Systems Manager Session Manager y el par de claves SSH tradicional. Instance Connect inyecta una clave pública temporal a través del servicio de metadatos, eliminando la necesidad de gestión de claves SSH permanentes. Session Manager es basado en agente y no usa el protocolo SSH, siendo el más adecuado para requisitos de seguridad estrictos al no requerir apertura de puertos. El par de claves SSH tradicional tiene alta compatibilidad con flujos de trabajo existentes, pero la carga operativa de rotación y distribución de claves es un desafío. Para entornos de desarrollo, la facilidad de Instance Connect es adecuada; para entornos de producción, la auditabilidad y seguridad de Session Manager son apropiadas.

Precios de EC2 Instance Connect

EC2 Instance Connect es gratuito. No hay cargos adicionales por la conexión SSH desde navegador, conexión desde CLI ni uso de Instance Connect Endpoint. Session Manager (Systems Manager) también es gratuito, por lo que el costo de conexión es cero independientemente de cuál se elija. Al usar Instance Connect Endpoint, se puede conectar a instancias en subredes privadas sin dirección IP pública, reduciendo costos de NAT Gateway o servidor bastión.

Resumen

EC2 Instance Connect es un servicio que elimina la gestión de claves SSH y proporciona control de acceso basado en IAM. Con EIC Endpoint se puede conectar a instancias en subredes privadas sin IP pública ni servidor bastión, y se registran logs de auditoría de conexión con CloudTrail. Diferenciando con Session Manager, se puede seleccionar el método de conexión adecuado para entornos de desarrollo y producción.

Servicios relacionados

Amazon EC2 Instance ConnectUn servicio para conectarse de forma segura a instancias EC2 sin distribuir previamente claves SSHAmazon EC2Un servicio de cómputo que proporciona servidores virtuales en la nubeAWS IAMServicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWS

Artículos relacionados

Gestión de flotas con AWS Systems Manager - Automatización de parches, inventario y Run CommandAutomatizamos la gestión de parches con Patch Manager, optimizamos las operaciones remotas con Session Manager y Run Command, y gestionamos el inventario de la flota.Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Infraestructura adaptable a la demanda con AWS Auto Scaling - Diseño y optimización de políticas de escaladoPresenta cómo utilizar los 3 tipos de políticas (Target Tracking, Predictive y Scheduled) y lograr la optimización de costos con instancias Spot mediante Mixed Instances Policy.

Más sobre este tema

Por qué Auto Scaling escala rápido hacia afuera y es cauteloso al reducir - Intención de diseño de la lógica de decisión asimétricaExplica la razón del diseño asimétrico de EC2 Auto Scaling que ejecuta el scale-out inmediatamente mientras establece un período de enfriamiento para el scale-in, el mecanismo de prevención de flapping y la lógica interna del Target Tracking Scaling.Infraestructura adaptable a la demanda con AWS Auto Scaling - Diseño y optimización de políticas de escaladoPresenta cómo utilizar los 3 tipos de políticas (Target Tracking, Predictive y Scheduled) y lograr la optimización de costos con instancias Spot mediante Mixed Instances Policy.Diseño de dominios de fallo en AWS - El mecanismo de disponibilidad protegido por la estructura de 3 capas AZ, región y particiónExplicamos por qué la infraestructura de AWS está diseñada en 3 capas: AZ (aislamiento de fallos), región (separación geográfica) y partición (separación política), y hasta dónde se propagan los fallos en cada capa con ejemplos concretos.Principios de sistemas distribuidos aprendidos de las interrupciones de AWS - Arquitecturas transformadas por grandes incidentesUsando como material los informes de incidentes publicados por AWS, como la interrupción de S3 (2017), la interrupción de Kinesis (2020) y la particularidad de us-east-1, explicamos principios de diseño como Shuffle Sharding, Static Stability y Cell-based Architecture.Por qué AWS construye regiones allí - Los criterios desconocidos de selección de ubicación de centros de datosExplicamos los criterios de decisión que AWS considera al determinar la ubicación de regiones, como suministro eléctrico, riesgo geopolítico, legislación de soberanía de datos, conectividad de red y riesgo de desastres naturales, con ejemplos concretos de regiones.Por qué los Availability Zone ID de AWS difieren por cuenta - La intención de diseño detrás del mapeo de AZExplicamos cómo us-east-1a apunta a diferentes AZ físicas por cuenta, por qué se introdujeron los AZ ID (use1-az1), la intención de diseño de distribución uniforme de capacidad y las consideraciones para la especificación de AZ entre cuentas.Infraestructura de computación por lotes - Procesamiento paralelo a gran escala con AWS BatchExplicamos cómo construir procesamiento por lotes a gran escala con AWS Batch. Cubrimos el diseño de colas de trabajos, auto-escalado de entornos de cómputo, optimización de costos con instancias Spot y la construcción de infraestructura de lotes ideal para computación científica y procesamiento de datos a gran escala.Streaming en vivo con calidad broadcast - Construcción de plataforma de distribución a gran escala con AWS Elemental MediaLive y MediaPackageExplicamos cómo construir una plataforma de streaming en vivo con calidad broadcast usando AWS Elemental MediaLive y MediaPackage. Cubrimos transcodificación en tiempo real, DRM, inserción de anuncios y distribución multi-CDN.

Artículos y servicios similares

AWS Systems ManagerServicio que centraliza la gestión operativa de instancias EC2 y servidores on-premises, permitiendo aplicar parches, ejecutar comandos, gestionar parámetros y conectarse por sesión sin SSHGestión de flotas con AWS Systems Manager - Automatización de parches, inventario y Run CommandAutomatizamos la gestión de parches con Patch Manager, optimizamos las operaciones remotas con Session Manager y Run Command, y gestionamos el inventario de la flota.Diseño de conexión dedicada - Conexión de red privada estable con Direct ConnectExplicamos las técnicas de diseño de conexión dedicada con AWS Direct Connect, presentando la selección entre conexión dedicada y conexión hospedada, la configuración redundante y la integración con VPC para lograr una conexión de red privada estable.Automatización operativa con AWS Systems Manager - Plataforma integrada desde gestión de parches hasta gestión de sesionesExplicamos la ventaja de AWS Systems Manager como plataforma integrada de automatización operativa, centrándonos en la gestión de parches, inventario, Run Command y Session Manager, comparándolo con Azure Automation.