全部产品
Search

搜索本产品

    Elastic Compute Service:Menghubungkan ke instance menggunakan Session Manager

    文档中心

    Elastic Compute Service:Menghubungkan ke instance menggunakan Session Manager

    更新时间:Jul 16, 2025

    Session Manager adalah alat gratis dari Alibaba Cloud yang memungkinkan Anda menghubungkan ke instance Elastic Compute Service (ECS). Dibangun berdasarkan teknologi seperti Cloud Assistant dan WebSocket, Session Manager mendukung logon tanpa kata sandi dan tanpa server lompat ke instance, tanpa memerlukan koneksi internet. Topik ini menjelaskan skenario penggunaan dan catatan penting terkait Session Manager.

    Apa itu Session Manager?

    Penting

    Session Manager tidak dikenakan biaya. Jika Anda ingin menyimpan catatan operasi Session Manager, aktifkan fitur Pengiriman Catatan Sesi. Untuk informasi lebih lanjut, lihat Gunakan fitur Pengiriman Catatan Sesi.

    Session Manager menawarkan fitur-fitur berikut:

    • Koneksi tanpa kata sandi: Tidak perlu memasukkan kata sandi saat menghubungkan ke instance.

    • Koneksi ke instance tanpa akses internet: Session Manager memungkinkan Anda menghubungkan ke instance tanpa koneksi internet atau konfigurasi server lompat.

      Saat menggunakan Session Manager untuk menghubungkan ke instance, perintah terkait dikirim ke instance ECS oleh server Session Manager dari Alibaba Cloud.

    • Dukungan untuk berbagai jenis klien:

    Deskripsi pengguna logon

    Secara default, Anda menggunakan Session Manager untuk menghubungkan instance Linux sebagai pengguna ecs-assist-user dan instance Windows sebagai pengguna system.

    • ecs-assist-user: pengguna biasa di Linux. Pengguna ini tidak memiliki izin tingkat sistem dan hanya dapat melakukan operasi yang diizinkan. Anda dapat menjalankan perintah sudo untuk memberikan izin root sementara kepada pengguna ecs-assist-user.

    • system: akun sistem lokal di Windows dengan izin tertinggi.

    Batasan dan Prasyarat

    • Instance yang ingin Anda hubungkan harus berada dalam status Running.

    • Cloud Assistant Agent telah diinstal pada instance. Session Manager diimplementasikan berdasarkan Cloud Assistant Agent.

      Cloud Assistant Agent telah diinstal sebelumnya pada instance ECS yang dibuat dari gambar publik Alibaba Cloud pada atau setelah 1 Desember 2017. Untuk instance ECS yang dibuat sebelum 1 Desember 2017, Anda harus menginstal Cloud Assistant Agent secara manual. Untuk informasi lebih lanjut, lihat Instal Cloud Assistant Agent.

    • Konektivitas jaringan tersedia. Pastikan instance terhubung ke server Cloud Assistant. Ini memungkinkan Cloud Assistant Agent berkomunikasi dengan server Cloud Assistant melalui WebSocket. Untuk informasi lebih lanjut, lihat bagian Pengaturan grup keamanan dari topik ini.

    • Hingga 1.000 sesi dapat dibuat dan tetap tersedia per wilayah. Setiap instance ECS dapat memiliki hingga 20 sesi dalam status terhubung. Bandwidth dibatasi hingga 200 kbit/s untuk setiap sesi.

    Fitur dan skenario lainnya

    • Mengakses layanan tanpa koneksi internet menggunakan fitur penerusan port

      Anda dapat menggunakan fitur penerusan port dari Session Manager Client untuk memetakan port layanan instance ECS ke port pada mesin lokal Anda. Kemudian, Anda dapat mengirim permintaan ke port lokal untuk mengakses layanan pada instance ECS. Misalnya, Anda dapat mengakses layanan backend web yang diterapkan melalui jaringan internal atau menghubungkan ke instance melalui jaringan internal menggunakan SSH. Session Manager membangun koneksi WebSocket melalui TCP. Oleh karena itu, fitur penerusan port hanya mendukung penerusan port TCP dan tidak mendukung penerusan port UDP. Untuk informasi lebih lanjut, lihat Menghubungkan ke instance tanpa koneksi internet menggunakan fitur penerusan port dari Session Manager CLI.

    • Menambahkan kunci publik SSH sementara ke instance

      Saat menggunakan SSH untuk menghubungkan ke instance, Anda dapat menggunakan Session Manager untuk menambahkan kunci publik sementara yang valid selama 60 detik ke instance. Kemudian, Anda dapat menghubungkan ke instance menggunakan pasangan kunci yang berisi kunci publik sementara dan kunci privat. Untuk informasi lebih lanjut, lihat Gunakan Session Manager CLI untuk mendaftarkan kunci publik sementara untuk logon tanpa kata sandi ke instance.

    • Gunakan fitur Pengiriman Catatan Sesi

      Jika Anda ingin membuat sesi dengan beberapa pengguna, Anda dapat menggunakan fitur Pengiriman Catatan Sesi untuk melihat catatan operasi pengguna tertentu untuk audit operasi selanjutnya. Untuk informasi tentang cara mengaktifkan fitur Pengiriman Catatan Sesi, lihat Gunakan fitur Pengiriman Catatan Sesi.

    Cara kerja Session Manager

    Seperti ditunjukkan pada gambar berikut, saat Anda menghubungkan ke instance ECS menggunakan Session Manager, Session Manager Client dan instance ECS membentuk koneksi WebSocket ke server Cloud Assistant. Setelah koneksi terbentuk, setiap perintah yang Anda masukkan diteruskan ke instance oleh server Cloud Assistant dan dijalankan oleh Cloud Assistant Agent pada instance.

    Modul yang terlibat dalam gambar

    • Klien Cloud Assistant: alat klien yang Anda gunakan, seperti Session Manager di Konsol ECS, ali-instance-cli di mesin lokal Anda, atau Cloud Assistant Agent.

    • Server Cloud Assistant: Session Manager diimplementasikan berdasarkan Cloud Assistant untuk mengelola izin dan status sesi.

    • Cloud Assistant Agent yang diinstal pada instance: menjalankan perintah yang Anda masukkan.

    Deskripsi koneksi

    • Saat Session Manager Client membentuk koneksi WebSocket ke server Cloud Assistant (Langkah 2 hingga 4), server Cloud Assistant mengotentikasi Session Manager Client untuk menentukan apakah Anda memiliki izin untuk menghubungkan ke instance menggunakan Session Manager. Untuk informasi tentang izin terkait, lihat bagian Manajemen Izin dari topik ini.

    • Saat Cloud Assistant Agent di ECS membentuk koneksi WebSocket ke server Cloud Assistant (Langkah 5 dan 6), server Cloud Assistant memberi tahu Cloud Assistant Agent untuk membentuk koneksi. Kemudian, Cloud Assistant Agent secara aktif membentuk koneksi ke server Cloud Assistant.

      Perhatikan bahwa port keluar WebSocket harus dibuka agar instance ECS dapat mengakses server Cloud Assistant. Proses koneksi tidak relevan dengan aturan masuk grup keamanan tempat instance ECS termasuk. Untuk informasi lebih lanjut, lihat bagian Pengaturan grup keamanan dari topik ini.

    Keamanan

    • Enkripsi: Protokol Web Socket Secure (WSS) digunakan untuk membentuk koneksi WebSocket persisten antara Session Manager Client dan server Cloud Assistant serta antara server Cloud Assistant dan Cloud Assistant Agent. Untuk meningkatkan keamanan data, protokol WSS mengenkripsi koneksi WebSocket persisten menggunakan protokol Secure Socket Layer (SSL).

    • Otentikasi: Saat menggunakan Session Manager untuk menghubungkan ke instance, Anda tidak perlu mengelola kata sandi instance, dan instance tidak memiliki risiko kebocoran kata sandi. Dibandingkan dengan SSH dan Virtual Network Computing (VNC) yang menggunakan otentikasi berbasis nama pengguna/kata sandi, Session Manager menggunakan otentikasi berbasis Resource Access Management (RAM). Untuk informasi tentang izin terkait, lihat bagian Manajemen Izin dari topik ini.

    • Jaringan: Setelah koneksi WebSocket terbentuk antara Cloud Assistant Agent yang diinstal pada instance dan server Cloud Assistant, Anda dapat menggunakan Session Manager sebagai pengganti SSH atau VNC untuk menghubungkan ke instance, tanpa perlu membuka port untuk lalu lintas masuk pada instance. Ini meningkatkan keamanan instance.

    Proses koneksi

    • Menghubungkan ke instance menggunakan Session Manager di Konsol ECS (di browser).

      Masuk ke Konsol Manajemen Alibaba Cloud di browser dan gunakan Session Manager untuk menghubungkan ke instance. Untuk informasi lebih lanjut, lihat Menghubungkan ke instance menggunakan Session Manager di Konsol ECS. Gambar berikut menunjukkan prosesnya.

    • Menghubungkan ke instance menggunakan Session Manager di komputer lokal Anda (di CLI lokal).

      Anda dapat menginstal ali-instance-cli di komputer lokal Anda dan menggunakan CLI lokal untuk menghubungkan ke instance menggunakan Session Manager.

      Untuk informasi lebih lanjut, lihat Menghubungkan ke instance menggunakan Session Manager CLI (ali-instance-cli). Gambar berikut menunjukkan prosesnya.

    Manajemen izin

    Jika Anda ingin menggunakan pengguna RAM untuk menghubungkan ke instance menggunakan Session Manager, Anda harus memiliki izin yang diperlukan. Tabel berikut menjelaskan izin yang diperlukan.

    Kolom Action sesuai dengan tindakan dalam kebijakan RAM.

    Action

    Deskripsi

    ecs:StartTerminalSession

    (Diperlukan) Menghubungkan ke instance ECS menggunakan Session Manager.

    ecs:DescribeCloudAssistantStatus

    Memeriksa apakah Cloud Assistant Agent diinstal pada instance ECS. Sistem memeriksa izin ini sebelum Anda menghubungkan ke instance di Konsol ECS.

    ecs:DescribeUserBusinessBehavior

    Memeriksa apakah Session Manager diaktifkan. Sistem memeriksa izin ini sebelum Anda menghubungkan ke instance di Konsol ECS.

    ecs:ModifyCloudAssistantSettings

    Mengaktifkan atau menonaktifkan Session Manager. Jika Session Manager diaktifkan untuk akun Alibaba Cloud saat ini, Anda tidak perlu memberikan izin ini.

    Contoh kebijakan izin

    Contoh 1: Gunakan Session Manager di Konsol ECS

    Jika pengguna RAM ingin menggunakan Session Manager untuk menghubungkan ke instance di Konsol ECS, pengguna RAM harus diberikan izin berikut berdasarkan prinsip hak istimewa minimal:

    • ecs:StartTerminalSession: Izin untuk menghubungkan ke instance menggunakan Session Manager. Anda dapat mengonfigurasi parameter Resource untuk menentukan instance ECS yang dapat dihubungkan oleh pengguna RAM menggunakan Session Manager.

    • ecs:DescribeCloudAssistantStatus: Izin untuk memeriksa apakah Cloud Assistant Agent perlu diinstal pada instance ECS. Sistem memeriksa izin ini sebelum Anda menghubungkan ke instance di Konsol ECS.

    • ecs:DescribeUserBusinessBehavior: Izin untuk memeriksa apakah Session Manager diaktifkan. Sistem memeriksa izin ini sebelum Anda menghubungkan ke instance di Konsol ECS.

    • (Opsional) ecs:ModifyCloudAssistantSettings: Izin untuk mengaktifkan atau menonaktifkan Session Manager. Jika Session Manager diaktifkan untuk akun Alibaba Cloud saat ini, Anda tidak perlu memberikan izin ini.

    Contoh kebijakan kustom:

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ecs:StartTerminalSession",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DescribeUserBusinessBehavior",
        "ecs:DescribeCloudAssistantStatus",
        "ecs:ModifyCloudAssistantSettings"
      ],
      "Resource": "*"
    }
  ]
}

    Untuk informasi tentang cara memberikan izin kepada pengguna RAM, lihat Memberikan izin kepada pengguna RAM.

    Contoh 2: Menghubungkan ke instance menggunakan ali-instance-cli

    Saat menggunakan ali-instance-cli, Anda harus menentukan pasangan AccessKey dan Token Layanan Keamanan (STS) dari pengguna RAM. Saat Anda menghubungkan ke instance menggunakan Session Manager, sistem memverifikasi apakah pengguna RAM yang memiliki kredensial juga memiliki izin ecs:StartTerminalSession.

    Saat Anda mengonfigurasi kebijakan kustom, Anda dapat mengonfigurasi parameter Resource untuk menentukan instance ECS yang dapat dihubungkan oleh pengguna RAM menggunakan Session Manager. Contoh kebijakan:

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ecs:StartTerminalSession",
      "Resource": "*"
    }
  ]
}

    Untuk informasi tentang parameter CredentialsURI dan Token STS, lihat Buat pasangan AccessKey dan Apa itu STS?

    Untuk informasi tentang cara memberikan izin kepada pengguna RAM, lihat Memberikan izin kepada pengguna RAM.

    Contoh 3: Buat kebijakan RAM untuk memberikan izin kepada pengguna tertentu untuk menggunakan Session Manager

    • Berikan izin kepada pengguna RAM bernama testUser1 dantestUser2 untuk menggunakan Session Manager.

      {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:StartTerminalSession"
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*"
      ],
      "Condition": {
        "StringEquals": {
          "ecs:SessionStartAs": [
            "testUser1",
            "testUser2"
          ]
        }
      }
    }
      ],
  "Version": "1"
}

    • Cabut izin untuk menggunakan Session Manager dari pengguna RAM bernama testUser1 dan testUser2.

      {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:StartTerminalSession"
      ],
      "Resource": [
        "acs:ecs:*:*:instance/*"
      ],
      "Condition": {
        "StringNotEqualsIgnoreCase": {
          "ecs:SessionStartAs": [
            "testUser1",
            "testUser2"
          ]
        }
      }
    }
      ],
  "Version": "1"
}

      Untuk informasi tentang cara memberikan izin kepada pengguna RAM, lihat Memberikan izin kepada pengguna RAM.

    Pengaturan grup keamanan

    Saat menggunakan Session Manager untuk menghubungkan ke instance ECS, pastikan Cloud Assistant Agent yang berjalan pada instance ECS terhubung ke server Cloud Assistant dengan menambahkan aturan berikut ke grup keamanan keluar:

    Dibandingkan dengan metode koneksi seperti SSH dan Remote Desktop Protocol (RDP), Cloud Assistant Agent secara aktif membentuk koneksi WebSocket ke server Session Manager. Anda hanya perlu membuka port keluar WebSocket server Cloud Assistant dalam aturan keamanan. Untuk informasi tentang cara kerja Session Manager, lihat bagian Cara kerja Session Manager dari topik ini.
    Penting

    • Jika Anda menggunakan grup keamanan dasar, termasuk grup keamanan default, semua lalu lintas keluar diizinkan. Tidak diperlukan konfigurasi tambahan.

    • Jika Anda menggunakan grup keamanan lanjutan, semua lalu lintas keluar ditolak. Anda harus mengonfigurasi aturan terkait. Tabel berikut menjelaskan aturan tersebut. Untuk informasi tentang grup keamanan, lihat Grup keamanan dasar dan grup keamanan lanjutan.

    Untuk informasi tentang cara menambahkan aturan ke grup keamanan, lihat Tambahkan aturan grup keamanan.

    Action

    Prioritas

    Jenis protokol

    Rentang port

    Objek otorisasi

    Deskripsi

    Allow

    1

    Custom TCP

    443

    100.100.0.0/16

    Port ini digunakan untuk mengakses server Cloud Assistant.

    Allow

    1

    Custom TCP

    443

    100.0.0.0/8

    Port ini digunakan untuk mengakses server tempat paket instalasi Cloud Assistant Agent disimpan saat Anda ingin menginstal atau memperbarui Cloud Assistant Agent.

    Allow

    1

    Custom UDP

    53

    0.0.0.0/0

    Port ini digunakan untuk menyelesaikan nama domain.

    Jika Anda hanya ingin menghubungkan ke instance menggunakan Session Manager, hapus aturan masuk yang mengizinkan port SSH (default 22) dan port RDP (default 3389) dari grup keamanan untuk meningkatkan keamanan instance ECS.

    Integrasikan fitur Session Manager dalam aplikasi Anda untuk logon ke instance

    Untuk kode lengkap yang digunakan untuk menghubungkan ke instance ECS atau instance terkelola menggunakan Session Manager, lihat cloud-assistant-starter. File AxtSession.tsx dalam proyek ini berisi kode contoh untuk memanggil operasi StartTerminalSession untuk mendapatkan WebSocketURL dan membentuk koneksi. Setelah Anda memindahkan kode ke aplikasi perusahaan Anda, Anda dapat menggunakan Session Manager untuk menghubungkan ke instance.