All Products
Search
Document Center

Elastic Compute Service:Terhubung ke instans dengan Session Manager di Konsol ECS

Last Updated:May 16, 2026

Session Manager menyediakan akses ke instans ECS tanpa kata sandi dan tanpa Alamat IP publik, dengan keamanan yang lebih kuat dibandingkan SSH atau RDP.

Penting

Session Manager juga mendukung koneksi CLI ke instans Linux dan Windows.

Untuk terhubung ke instans Windows melalui antarmuka grafis Session Manager, gunakan port forwarding untuk memetakan port akses jarak jauh ke komputer lokal Anda, lalu sambungkan dengan RDP.

Prasyarat

Instans ECS yang ingin Anda hubungkan berada dalam status Running

Lihat status instans pada halaman Instance di Konsol ECS.

Lihat Lihat informasi instans.

image

image

Cloud Assistant Agent telah diinstal pada instans

Session Manager bergantung pada Cloud Assistant. Instal Cloud Assistant Agent pada instans dan periksa statusnya di halaman Cloud Assistant ECS di Konsol ECS.

Cloud Assistant Agent pra-instal pada instans ECS yang dibuat dari gambar publik Alibaba Cloud setelah 1 Desember 2017. Untuk instans yang lebih lama, instal Cloud Assistant Agent secara manual. Lihat Instal Cloud Assistant Agent.

image

image

Lihat Periksa status Cloud Assistant dan atasi pengecualian.

Konektivitas jaringan disediakan dengan mengonfigurasi security group

Saat menggunakan Session Manager untuk terhubung ke instans ECS, pastikan Cloud Assistant Agent yang berjalan pada instans ECS dapat terhubung ke server Cloud Assistant dengan menambahkan aturan berikut ke security group outbound:

Berbeda dengan metode koneksi seperti SSH dan Remote Desktop Protocol (RDP), Cloud Assistant Agent secara aktif membuat koneksi WebSocket ke server Session Manager. Anda hanya perlu membuka port outbound WebSocket server Cloud Assistant dalam aturan keamanan. Untuk informasi tentang cara kerja Session Manager, lihat bagian Cara kerja Session Manager dalam topik ini.
Penting
  • Jika Anda menggunakan basic security groups, termasuk default security group, seluruh lalu lintas outbound diizinkan. Tidak diperlukan konfigurasi tambahan.

  • Jika Anda menggunakan advanced security group, seluruh lalu lintas outbound ditolak. Anda harus mengonfigurasi aturan yang relevan. Tabel berikut menjelaskan aturan tersebut. Untuk informasi tentang security group, lihat Basic dan advanced security groups.

Untuk informasi tentang cara menambahkan aturan ke security group, lihat Tambahkan aturan security group.

Action

Priority

Protocol type

Port range

Authorization object

Description

Allow

1

Custom TCP

443

100.100.0.0/16

Port ini digunakan untuk mengakses server Cloud Assistant.

Allow

1

Custom TCP

443

100.0.0.0/8

Port ini digunakan untuk mengakses server tempat paket instalasi Cloud Assistant Agent disimpan saat Anda ingin menginstal atau memperbarui Cloud Assistant Agent.

Allow

1

Custom UDP

53

0.0.0.0/0

Port ini digunakan untuk menyelesaikan nama domain.

Jika Anda hanya ingin terhubung ke instans menggunakan Session Manager, hapus aturan inbound yang mengizinkan port SSH (default 22) dan port RDP (default 3389) dari security group untuk meningkatkan keamanan instans ECS.

Pengguna Resource Access Management (RAM) memiliki izin yang diperlukan untuk Session Manager

Jika pengguna RAM ingin menggunakan Session Manager untuk terhubung ke instans di Konsol ECS, pengguna tersebut harus diberikan izin berikut berdasarkan prinsip least privilege:

  • ecs:StartTerminalSession: Izin untuk terhubung ke instans menggunakan Session Manager. Anda dapat mengonfigurasi parameter Resource untuk menentukan instans ECS mana saja yang dapat diakses pengguna RAM melalui Session Manager.

  • ecs:DescribeCloudAssistantStatus: Izin untuk memeriksa apakah Cloud Assistant Agent perlu diinstal pada instans ECS. Sistem memeriksa izin ini sebelum Anda terhubung ke instans di Konsol ECS.

  • ecs:DescribeUserBusinessBehavior: Izin untuk memeriksa apakah Session Manager diaktifkan. Sistem memeriksa izin ini sebelum Anda terhubung ke instans di Konsol ECS.

  • (Opsional) ecs:ModifyCloudAssistantSettings: Izin untuk mengaktifkan atau menonaktifkan Session Manager. Jika Session Manager sudah diaktifkan untuk Akun Alibaba Cloud saat ini, Anda tidak perlu memberikan izin ini.

Contoh kebijakan kustom:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ecs:StartTerminalSession",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DescribeUserBusinessBehavior",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:ModifyCloudAssistantSettings"
      ],
      "Resource": "*"
    }
  ]
}

Untuk informasi tentang cara memberikan izin kepada pengguna RAM, lihat Berikan izin kepada pengguna RAM.

Prosedur

  1. Buka Konsol ECS - Instances.

  2. Di bilah navigasi atas, pilih wilayah dan kelompok sumber daya yang ingin dikelola.

  3. Klik ID instans. Di halaman Instance Details, klik Connect di pojok kanan atas.

  4. Klik Show Other Logon Methods dan periksa apakah Session management turned on (full region) ditampilkan di bagian Session Manager. Jika yang ditampilkan adalah Session Management closed, aktifkan sakelar untuk mengaktifkan Session Manager.

    Penting

    Untuk mengaktifkan Session Manager sebagai pengguna RAM, pastikan pengguna RAM memiliki izin DescribeUserBusinessBehavior untuk melihat konfigurasi Session Manager dan izin ModifyUserBusinessBehavior untuk mengaktifkan atau menonaktifkannya. Lihat bagian Prasyarat.

    image

    image

  5. Klik Secret-free login

    Setelah terhubung, Anda akan masuk sebagai ecs-assist-user (Linux) atau pengguna sistem (Windows). Gambar berikut menunjukkan contoh login ke instans Linux.

    image

Referensi

Anda juga dapat terhubung ke instans dengan CLI Session Manager (ali-instance-cli) dari komputer Anda.