Ssm on SRE运维博客

使用IAM通过标签分配不同用户SSM会话窗口的完整指南

Wenlong — Tue, 17 Sep 2024 10:33:52 +0800

作者：SRE运维博客
博客地址：https://www.cnsre.cn/
文章地址：https://www.cnsre.cn/posts/240917103351/
相关话题：https://www.cnsre.cn/tags/aws/

什么是SSM和IAM标签分配？

在AWS上进行多用户管理时，安全和灵活的权限控制至关重要。SSM（AWS Systems Manager）允许通过控制台或命令行接口远程管理EC2实例，而IAM（Identity and Access Management）则是定义用户和服务在AWS中的操作权限的核心组件。

使用IAM角色和标签，我们可以为不同的用户分配特定EC2实例的访问权限，确保他们只能访问与自己相关的资源。例如，如果你有10台EC2服务器，你可以使用标签将这10台服务器分为两组，让用户A和用户B分别只能访问自己的EC2实例。

为什么选择通过标签分配SSM会话权限？

直接为用户分配权限显得笨重且复杂，特别是在需要不断添加或移除资源时。通过为资源添加标签，我们可以通过IAM策略轻松控制用户的访问权限，这使得管理变得更加灵活和可扩展。

那么，如何做到这一点？我们可以通过简单几步配置IAM策略来实现这个目标。

实现IAM策略：如何分配不同用户的SSM会话权限？

要实现通过标签分配不同用户对特定EC2实例的SSM会话窗口权限，我们需要定义一个合理的IAM策略。这个策略应包含以下功能：

允许用户使用System Manager控制台：通过IAM策略，用户可以访问SSM管理控制台并查看会话窗口的相关信息。
启动特定标签资源的会话：用户只能对具有指定标签的EC2实例启动SSM会话。
终止自己的会话：用户只能终止自己启动的SSM会话，确保操作安全性。

我们可以为这个需求设计如下IAM策略：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRoleForSSM",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                }
            }
        },
        {
            "Sid": "DescribeSessionsAndInstances",
            "Effect": "Allow",
            "Action": [
                "ssm:GetConnectionStatus",
                "ec2:DescribeInstances",
                "ssm:DescribeSessions",
                "iam:ListRoles",
                "ssm:DescribeInstanceProperties"
            ],
            "Resource": "*"
        },
        {
            "Sid": "StartSSMSession",
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ec2:region:account-id:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "test"
                }
            }
        },
        {
            "Sid": "TerminateOwnSession",
            "Effect": "Allow",
            "Action": "ssm:TerminateSession",
            "Resource": "arn:aws:ssm:region:account-id:session/${aws:username}*"
        }
    ]
}

解析策略的关键部分

PassRoleForSSM: 允许用户通过IAM角色为SSM服务授权访问权限。
DescribeSessionsAndInstances: 允许用户查看当前活动的会话和EC2实例的详细信息。
StartSSMSession: 用户只能启动标签为 Project=test 的EC2实例的SSM会话。通过这样的标签条件，我们可以轻松将不同的实例分配给不同的用户。
TerminateOwnSession: 用户只能终止自己启动的SSM会话，确保不会影响其他人的操作。

如何通过标签分配会话？

通过为EC2实例添加标签，我们可以方便地指定哪些资源属于哪个用户。例如，我们可以为实例添加标签 Project=test，这样具有相应权限的用户就可以通过SSM访问这些实例。

举例：

用户A的EC2实例可以添加标签 user=A。
用户B的实例可以添加标签 user=B。

在IAM策略中，可以根据 aws:ResourceTag 条件语句控制用户的访问权限。这意味着，用户A将只能访问带有 user=A 标签的实例，而用户B只能访问带有 user=B 标签的实例。

结论

通过IAM标签和策略，我们可以为不同用户分配特定资源的访问权限，实现精细化的权限控制。在AWS这样的复杂环境中，确保安全与灵活性并存至关重要。通过本文的策略示例和解释，我们可以轻松地为我们的用户提供合适的SSM访问权限，确保操作的安全性和可控性。

作者：SRE运维博客
博客地址：https://www.cnsre.cn/
文章地址：https://www.cnsre.cn/posts/240917103351/
相关话题：https://www.cnsre.cn/tags/aws/

AWS 中的另外一种远程工具 AWS Session Manager

Wenlong — Sun, 29 Jan 2023 11:26:15 +0800

作者：SRE运维博客
博客地址：https://www.cnsre.cn/
文章地址：https://www.cnsre.cn/posts/230129126154/
相关话题：https://www.cnsre.cn/tags/aws/

背景需求

因为项目的安全性。为了避免项目的服务器暴露在公网中。很多时候我们会使用跳板机或者是一些三方的远程工具，来进行一些安全性比较高的方式来进行远程项目的服务器，但是往往越安全的方式就越麻烦。那有没有一种既安全，有便捷的连接方式呢？当然有，今天就介绍下AWS Session Manager。

前置需求

一台 EC2 服务器（需要开启 SSM 远程服务并分配权限）
一个 AWS 账户

安装配置 SSM Agent

在 Amazon Linux 2 中安装SSM Agent

x86_64

`1`	`sudo yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm`

ARM64

`1`	`sudo yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm`

在 CentOS 7.x 上安装 SSM Agent

x86_64

`1`	`sudo yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm`

ARM64

`1`	`sudo yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_arm64/amazon-ssm-agent.rpm`

启动服务并设置为开机启动

1
2

sudo systemctl status amazon-ssm-agent
sudo systemctl enable amazon-ssm-agent

如其他系统安装请参考在适用于 Linux 的 EC2 实例上手动安装 SSM Agent

给 EC2 分配对应权限

在角色管理中选择创建角色。
如下如图所示选择对应选项。

搜索AmazonSSMFullAccess 选择下一步

填入角色名称，然后创建角色

在 AWS EC2 控制台中找到对应的服务器，然后点击操作``安全 修改IAM角色

在框内搜索刚才创建的角色名称。然后确定选择。

AWS 中的远程链接方式 Session Manager

安装完以后可以在AWS 中我们可以直接通过控制台去链接 Linux 服务器，如下图。在选中实例以后在右上角中选择连接。然后再次进行远程登录服务。

如遇到无法远程的情况请按照下面的方法将安装ssm服务。

在 SSM 中进行远程链接

在控制台 Amazon Systems Manager 中选择 Session Manager

选择启动会话。

选择对应的实例然后点击启动会话。

然后就进入到了系统界面。

如何通过IAM让不同的 aws 用户拥有不同的远程服务器权限？下篇文章将会介绍 Session Manager 的进阶用法

作者：SRE运维博客
博客地址：https://www.cnsre.cn/
文章地址：https://www.cnsre.cn/posts/230129126154/
相关话题：https://www.cnsre.cn/tags/aws/