Amazon EC2 Instance Connect 专业2008年〜
无需预先分发 SSH 密钥即可安全连接 EC2 实例的服务
它能做什么
Amazon EC2 Instance Connect 是无需预先分发和管理 SSH 密钥对即可安全连接 EC2 实例的服务。它将临时 SSH 公钥推送到实例元数据,建立仅 60 秒有效的连接。可通过 IAM 策略控制访问,连接日志记录在 CloudTrail 中。
使用场景
适用于开发者为故障排除连接 EC2 实例的场景,以及希望简化 SSH 密钥管理的情况。还支持基于浏览器的连接,即使本地没有 SSH 客户端也能连接。
日常类比
可以将其比作酒店的房卡系统。住客 (开发者) 在前台 (IAM) 验证身份后,会获得仅在住宿期间有效的房卡 (临时 SSH 密钥)。退房后房卡失效,因此没有丢失钥匙的风险。
什么是 EC2 Instance Connect
EC2 Instance Connect 是兼顾 SSH 连接安全性和便利性的服务。传统 SSH 连接需要管理私钥文件,而 Instance Connect 基于 IAM 认证自动生成临时密钥。还可以从 AWS 管理控制台直接在浏览器中打开终端。
连接方式
有 3 种连接方式:从 AWS 管理控制台基于浏览器连接、使用 AWS CLI 的 ec2-instance-connect 命令、与普通 SSH 客户端组合使用。无论哪种方式,只有 IAM 策略授权的用户才能访问,连接事件记录在 CloudTrail 中。 有关连接方式的具体实现方法,也可参阅 书籍 (Amazon)。
入门指南
在 EC2 控制台选择实例并点击「连接」按钮即可使用。在 VPC 中创建 Instance Connect 端点后,即使没有公有 IP 也能连接私有子网中的实例。需要在安全组中允许来自 Instance Connect IP 范围的 SSH 访问。
注意事项
- Instance Connect is supported on Amazon Linux 2 and Ubuntu 16.04 and later. It does not support Windows instances
- Connecting to instances in private subnets requires creating an Instance Connect Endpoint
