Session Manager menyediakan akses ke instans ECS tanpa kata sandi dan tanpa Alamat IP publik, dengan keamanan yang lebih kuat dibandingkan SSH atau RDP.
Prasyarat
Instans ECS yang ingin Anda hubungkan berada dalam status Running
Lihat status instans pada halaman Instance di Konsol ECS.
Lihat Lihat informasi instans.
Cloud Assistant Agent telah diinstal pada instans
Session Manager bergantung pada Cloud Assistant. Instal Cloud Assistant Agent pada instans dan periksa statusnya di halaman Cloud Assistant ECS di Konsol ECS.
Cloud Assistant Agent pra-instal pada instans ECS yang dibuat dari gambar publik Alibaba Cloud setelah 1 Desember 2017. Untuk instans yang lebih lama, instal Cloud Assistant Agent secara manual. Lihat Instal Cloud Assistant Agent.
Lihat Periksa status Cloud Assistant dan atasi pengecualian.
Konektivitas jaringan disediakan dengan mengonfigurasi security group
Saat menggunakan Session Manager untuk terhubung ke instans ECS, pastikan Cloud Assistant Agent yang berjalan pada instans ECS dapat terhubung ke server Cloud Assistant dengan menambahkan aturan berikut ke security group outbound:
Berbeda dengan metode koneksi seperti SSH dan Remote Desktop Protocol (RDP), Cloud Assistant Agent secara aktif membuat koneksi WebSocket ke server Session Manager. Anda hanya perlu membuka port outbound WebSocket server Cloud Assistant dalam aturan keamanan. Untuk informasi tentang cara kerja Session Manager, lihat bagian Cara kerja Session Manager dalam topik ini.
Penting Jika Anda menggunakan basic security groups, termasuk default security group, seluruh lalu lintas outbound diizinkan. Tidak diperlukan konfigurasi tambahan.
Jika Anda menggunakan advanced security group, seluruh lalu lintas outbound ditolak. Anda harus mengonfigurasi aturan yang relevan. Tabel berikut menjelaskan aturan tersebut. Untuk informasi tentang security group, lihat Basic dan advanced security groups.
Untuk informasi tentang cara menambahkan aturan ke security group, lihat Tambahkan aturan security group.
Action | Priority | Protocol type | Port range | Authorization object | Description |
Allow | 1 | Custom TCP | 443 | 100.100.0.0/16
| Port ini digunakan untuk mengakses server Cloud Assistant. |
Allow | 1 | Custom TCP | 443 | 100.0.0.0/8
| Port ini digunakan untuk mengakses server tempat paket instalasi Cloud Assistant Agent disimpan saat Anda ingin menginstal atau memperbarui Cloud Assistant Agent. |
Allow | 1 | Custom UDP | 53 | 0.0.0.0/0
| Port ini digunakan untuk menyelesaikan nama domain. |
Jika Anda hanya ingin terhubung ke instans menggunakan Session Manager, hapus aturan inbound yang mengizinkan port SSH (default 22) dan port RDP (default 3389) dari security group untuk meningkatkan keamanan instans ECS.
Pengguna Resource Access Management (RAM) memiliki izin yang diperlukan untuk Session Manager
Jika pengguna RAM ingin menggunakan Session Manager untuk terhubung ke instans di Konsol ECS, pengguna tersebut harus diberikan izin berikut berdasarkan prinsip least privilege:
ecs:StartTerminalSession: Izin untuk terhubung ke instans menggunakan Session Manager. Anda dapat mengonfigurasi parameter Resource untuk menentukan instans ECS mana saja yang dapat diakses pengguna RAM melalui Session Manager.
ecs:DescribeCloudAssistantStatus: Izin untuk memeriksa apakah Cloud Assistant Agent perlu diinstal pada instans ECS. Sistem memeriksa izin ini sebelum Anda terhubung ke instans di Konsol ECS.
ecs:DescribeUserBusinessBehavior: Izin untuk memeriksa apakah Session Manager diaktifkan. Sistem memeriksa izin ini sebelum Anda terhubung ke instans di Konsol ECS.
(Opsional) ecs:ModifyCloudAssistantSettings: Izin untuk mengaktifkan atau menonaktifkan Session Manager. Jika Session Manager sudah diaktifkan untuk Akun Alibaba Cloud saat ini, Anda tidak perlu memberikan izin ini.
Contoh kebijakan kustom:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "ecs:StartTerminalSession",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeUserBusinessBehavior",
"ecs:DescribeCloudAssistantStatus",
"ecs:ModifyCloudAssistantSettings"
],
"Resource": "*"
}
]
}
Untuk informasi tentang cara memberikan izin kepada pengguna RAM, lihat Berikan izin kepada pengguna RAM.
Prosedur
Buka Konsol ECS - Instances.
-
Di bilah navigasi atas, pilih wilayah dan kelompok sumber daya yang ingin dikelola.
-
Klik ID instans. Di halaman Instance Details, klik Connect di pojok kanan atas.
-
Klik Show Other Logon Methods dan periksa apakah Session management turned on (full region) ditampilkan di bagian Session Manager. Jika yang ditampilkan adalah Session Management closed, aktifkan sakelar untuk mengaktifkan Session Manager.
Penting
Untuk mengaktifkan Session Manager sebagai pengguna RAM, pastikan pengguna RAM memiliki izin DescribeUserBusinessBehavior untuk melihat konfigurasi Session Manager dan izin ModifyUserBusinessBehavior untuk mengaktifkan atau menonaktifkannya. Lihat bagian Prasyarat.


-
Klik Secret-free login
Setelah terhubung, Anda akan masuk sebagai ecs-assist-user (Linux) atau pengguna sistem (Windows). Gambar berikut menunjukkan contoh login ke instans Linux.
