1

我有一个运行以下网络设置的 EC2 实例:

  • 它驻留在连接了 Internet 网关的公共子网中
  • 它有一个附加了出站规则的安全组,以允许所有流量(0.0.0.0/0 上的所有端口)

根据文档,应该可以使用 AWS Session Manager 连接到实例:

为了让您的托管实例和 Systems Manager 服务相互通信,您必须执行以下操作之一: - 将
Systems Manager 配置为使用接口虚拟私有云 (VPC)
端点
- 在您的托管实例上启用出站 Internet 访问

注意
不需要启用入站 Internet 访问。

(来源:https ://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-prereqs.html )

但是当我尝试与 Session Manager 连接时,连接没有初始化(出现黑屏但它保持为空)。

如果我启用安全组中的所有入站流量(通过在 0.0.0.0/0 上的所有端口上添加入站规则),则会话管理器可以正常工作。但它不应该是必需的,当然出于安全原因我想避免它。

那么设置有什么问题呢?

4

1 回答 1

0

据我了解,您没有配置VPC Endpoint。VPC Endpoint 是一个接口,使您能够通过私有 AWS 网络(而不是通过 Internet)使用 AWS 服务。因此您不需要启用入站规则,AWS System Manager 通过 VPC Endpoint 连接到您的 EC2(这是安全的并推荐一种连接方式)。但是,当您在安全组中允许入站规则时,它会通过 Internet 连接到您的实例,并且不安全。所以使用 VPC Endpoint 接口。使用起来并不难,可以参考VPC Endpoint AWS System Manager Documentation

于 2019-03-17T13:59:41.847 回答