全部产品
Search

搜索本产品

    Elastic Compute Service:Menghubungkan ke instance menggunakan Session Manager di konsol ECS

    文档中心

    Elastic Compute Service:Menghubungkan ke instance menggunakan Session Manager di konsol ECS

    更新时间:Jul 06, 2025

    Anda dapat menggunakan Session Manager untuk menghubungkan ke instance Elastic Compute Service (ECS) tanpa memerlukan kata sandi. Dibandingkan dengan SSH dan Remote Desktop Protocol (RDP), Session Manager memungkinkan Anda menghubungkan ke instance secara lebih nyaman dan aman. Topik ini menjelaskan cara menghubungkan ke instance menggunakan Session Manager di konsol ECS.

    Penting

    Metode logon Session Manager juga memungkinkan Anda menggunakan CLI untuk menghubungkan ke instance Linux dan Windows.

    Jika Anda ingin menggunakan antarmuka GUI Session Manager untuk menghubungkan ke instance Windows, Anda dapat menggunakan fitur penerusan port untuk memetakan port akses jarak jauh instance Windows ke komputer lokal dan menggunakan RDP untuk menghubungkan ke instance.

    Prasyarat

    Instance ECS yang ingin Anda hubungkan berada dalam Running state.

    Anda dapat melihat status instance pada halaman Instance di konsol ECS.

    Untuk informasi tentang cara memeriksa status instance, lihat Lihat informasi instance.

    image

    image

    Cloud Assistant Agent terpasang pada instance.

    Session Manager diimplementasikan berdasarkan Cloud Assistant. Anda perlu memasang Cloud Assistant Agent pada instance. Anda dapat melihat status Cloud Assistant Agent pada halaman ECS Cloud Assistant di konsol ECS.

    Cloud Assistant Agent terpasang sebelumnya pada instance ECS yang dibuat dari gambar publik Alibaba Cloud pada atau setelah 1 Desember 2017. Untuk instance ECS yang dibuat sebelum 1 Desember 2017, Anda harus memasang Cloud Assistant Agent secara manual. Untuk informasi lebih lanjut, lihat Pasang Cloud Assistant Agent.

    image

    image

    Untuk informasi tentang cara melihat status Cloud Assistant Agent dan menangani anomali, lihat Lihat status Cloud Assistant dan tangani anomali.

    Konektivitas jaringan disediakan dengan mengonfigurasi kelompok keamanan.

    Saat menggunakan Session Manager untuk menghubungkan ke instance ECS, pastikan bahwa Cloud Assistant Agent yang berjalan pada instance ECS terhubung ke server Cloud Assistant dengan menambahkan aturan berikut ke kelompok keamanan arah keluar:

    Dibandingkan dengan metode koneksi seperti SSH dan Remote Desktop Protocol (RDP), Cloud Assistant Agent secara aktif membuat koneksi WebSocket ke server Session Manager. Anda hanya perlu membuka port arah keluar WebSocket server Cloud Assistant dalam aturan keamanan. Untuk informasi tentang cara kerja Session Manager, lihat Cara kerja Session Manager.
    Penting

    • Jika Anda menggunakan kelompok keamanan dasar, termasuk kelompok keamanan default, semua lalu lintas arah keluar diizinkan. Tidak diperlukan konfigurasi tambahan.

    • Jika Anda menggunakan kelompok keamanan tingkat lanjut, semua lalu lintas arah keluar ditolak. Anda harus mengonfigurasi aturan yang relevan. Untuk informasi lebih lanjut tentang kelompok keamanan tingkat lanjut, lihat Kelompok keamanan dasar dan kelompok keamanan tingkat lanjut.

    Untuk informasi tentang cara menambahkan aturan ke kelompok keamanan, lihat Tambahkan aturan kelompok keamanan.

    Kebijakan otorisasi

    Prioritas

    Tipe protokol

    Rentang port

    Objek otorisasi

    Deskripsi

    Allow

    1

    Custom TCP

    443

    100.100.0.0/16

    Port ini digunakan untuk mengakses server Cloud Assistant.

    Allow

    1

    Custom TCP

    443

    100.0.0.0/8

    Port ini digunakan untuk mengakses server tempat paket instalasi Cloud Assistant Agent disimpan saat Anda ingin memasang atau memperbarui Cloud Assistant Agent.

    Allow

    1

    Custom UDP

    53

    0.0.0.0/0

    Port ini digunakan untuk menyelesaikan nama domain.

    Jika Anda ingin menghubungkan ke instance hanya menggunakan Session Manager, hapus aturan masuk yang mengizinkan port SSH (default 22) dan port RDP (default 3389) dari kelompok keamanan untuk meningkatkan keamanan instance ECS.

    Pengguna Resource Access Management (RAM) memiliki izin yang diperlukan pada Session Manager.

    Jika pengguna RAM ingin menggunakan Session Manager untuk menghubungkan ke instance di konsol ECS, pengguna RAM tersebut harus diberi izin berikut berdasarkan prinsip hak istimewa minimal:

    • ecs:StartTerminalSession: Izin untuk menghubungkan ke instance menggunakan Session Manager. Anda dapat mengonfigurasi parameter Resource untuk menentukan instance ECS yang dapat dihubungkan oleh pengguna RAM menggunakan Session Manager.

    • ecs:DescribeCloudAssistantStatus: Izin untuk memeriksa apakah Cloud Assistant Agent perlu dipasang pada instance ECS. Sistem memeriksa izin ini sebelum Anda menghubungkan ke instance di konsol ECS.

    • ecs:DescribeUserBusinessBehavior: Izin untuk memeriksa apakah Session Manager diaktifkan. Sistem memeriksa izin ini sebelum Anda menghubungkan ke instance di konsol ECS.

    • ecs:ModifyCloudAssistantSettings (Opsional): Izin untuk mengaktifkan atau menonaktifkan Session Manager. Jika Session Manager diaktifkan untuk akun Alibaba Cloud saat ini, Anda tidak perlu memberikan izin ini.

    Contoh kebijakan kustom:

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ecs:StartTerminalSession",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DescribeUserBusinessBehavior",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:ModifyCloudAssistantSettings"
      ],
      "Resource": "*"
    }
  ]
}

    Untuk informasi tentang cara memberikan izin kepada pengguna RAM, lihat Berikan izin kepada pengguna RAM.

    Prosedur

    1. Pergi ke ECS console - Instance.

    2. Di bilah navigasi atas, pilih wilayah dan grup sumber daya dari sumber daya yang ingin Anda kelola.

    3. Klik ID instance yang ingin Anda hubungkan. Pada halaman Instance Details, klik Connect di pojok kanan atas.

    4. Klik Show Other Logon Methods dan periksa apakah Session management turned on (full region) ditampilkan di bagian Session Manager. Jika Session management turned off ditampilkan, aktifkan sakelar untuk mengaktifkan Session Manager.

      Penting

      Sebelum Anda mengaktifkan Session Manager sebagai pengguna RAM, pastikan bahwa pengguna RAM memiliki izin DescribeUserBusinessBehavior untuk melihat konfigurasi Session Manager dan izin ModifyUserBusinessBehavior untuk mengaktifkan atau menonaktifkan Session Manager. Untuk informasi tentang contoh kebijakan yang dapat dilampirkan ke pengguna RAM untuk memberikan izin yang diperlukan, lihat bagian Prasyarat dari topik ini.

      image

      image

    5. Klik Secret-free login.

      Setelah instance terhubung, Anda akan masuk sebagai ecs-assist-user untuk instance Linux atau sebagai pengguna sistem untuk instance Windows. Dalam contoh ini, instance Linux digunakan. Gambar berikut menunjukkan bahwa Anda telah masuk ke instance Linux.

      image

    Referensi

    Selain menggunakan Session Manager untuk menghubungkan ke instance di konsol ECS, Anda dapat menggunakan fitur CLI Session Manager di komputer Anda. Untuk informasi lebih lanjut, lihat Menghubungkan ke instance menggunakan CLI Session Manager (ali-instance-cli).