通過Workbench串連執行個體 - Elastic Compute Service

Workbench是阿里雲提供的在瀏覽器使用的遠端連線工具，使用該工具，您無需額外安裝任何軟體即可通過瀏覽器直接存取ECS執行個體。

什麼是Workbench？

Workbench介紹

Workbench是阿里雲為您提供的一款Web遠端連線工具，該工具無需安裝，直接在瀏覽器使用。使用該工具串連ECS執行個體流程如圖所示。

Workbench的特點

支援多種串連方式
通過Workbench可以使用多種方式串連執行個體，如SSH（Linux常用）、RDP（Windows常用）。
相關文檔
- 使用Workbench工具以SSH協議登入Linux執行個體
- 使用Workbench工具以RDP協議登入Windows執行個體

支援通過公網或私網串連執行個體
當您在使用Workbench通過SSH或RDP方式串連到執行個體時，可以選擇通過私網或公網IP串連執行個體。

Workbench更多功能

除了串連執行個體外，Workbench還支援以下功能。

檔案管理：支援上傳檔案到ECS和將ECS中的檔案下載至本機。請參見檔案管理。
系統管理：您可以通過Workbench的系統管理功能，對Linux執行個體作業系統上的使用者、歷史登入日誌、系統服務等進行管理。請參見系統管理。
多螢幕終端：可以通過Workbench的多屏終端功能同時串連多台ECS執行個體，然後在多台執行個體中同時執行相同的命令。請參見多屏終端。

Workbench基本使用流程

使用Workbench串連執行個體的流程如圖所示。

找到待串連的執行個體。
打通Workbench與ECS執行個體之間的網路連接。
這一步需要設定執行個體所在的安全性群組與執行個體內防火牆，需允許存取來自Workbench的入方向流量。
使用Workbench串連執行個體。
在控制台選擇通過Workbench串連執行個體，輸入使用者名稱、密碼、金鑰組等資訊。
開通服務關聯角色。
如果您在使用Workbench串連執行個體時沒有建立服務關聯角色，系統會提示您授予Workbench訪問ECS執行個體的許可權，即開通服務關聯角色。
成功串連到執行個體，執行營運操作。

Workbench的服務關聯角色

由於Workbench需要操作您的ECS執行個體，因此，在首次使用Workbench串連執行個體時，會提示您建立服務關聯角色AliyunServiceRoleForECSWorkbench，Workbench服務會以該角色的身份訪問您的ECS執行個體。更多服務關聯角色的說明，請參見服務關聯角色。

如圖所示，在首次串連執行個體時會出現以下對話方塊，單擊確定系統會自動為您建立該服務關聯角色。

如果您是RAM使用者，您需要聯絡主帳號或管理員為您授予AliyunECSWorkbenchFullAccess系統權限原則，擁有該許可權的使用者才可以建立Workbench的服務關聯角色。

RAM使用者使用Workbench的使用權限設定

在開通服務關聯角色後，RAM使用者使用Workbench需設定如下權限原則，該策略代表使用者可以使用Workbench串連所有ECS執行個體。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

如果需要限制使用者可以通過Workbench串連的執行個體，可通過修改Resource欄位實現，格式如下：

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": [
        "acs:ecs-workbench:{#regionId}:{#accountId}:workbench/{#instanceId}",
        "acs:ecs-workbench:{#regionId}:{#accountId}:workbench/{#instanceId}"
      ],
      "Effect": "Allow"
    }
  ]
}

參數說明如下：

{#regionId}：執行個體所在地區ID，可設定為萬用字元*。
{#accountId}：主帳號ID，可設定為萬用字元*。
{#instanceId}：目標執行個體ID，可設定為萬用字元*。

樣本

例如，設定RAM使用者可使用Workbench串連所有地區和帳號下執行個體ID為i-001和i-002的執行個體時，可設定以下權限原則。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": [
        "acs:ecs-workbench:*:*:workbench/i-001",
        "acs:ecs-workbench:*:*:workbench/i-002"
      ],
      "Effect": "Allow"
    }
  ]
}

Workbench相關安全性群組設定

由於使用Workbench通過SSH或RDP方式串連執行個體時，您需要在執行個體所在安全性群組放通來自Workbench服務端的入網流量，您可以根據您網路類型的不同，參考下表添加安全性群組規則。具體操作，請參見添加安全性群組規則。

重要

如果您在執行個體系統內開啟了防火牆，請參照安全性群組修改防火牆規則。

專用網路

使用Workbench串連專用網路執行個體時，需要在執行個體所在安全性群組入方向配置以下規則。

授權策略

優先順序

協議類型

連接埠範圍

授權對象

允許

自訂TCP

配置的連接埠取決於您執行個體內啟動並執行遠端連線服務的連接埠。

串連Linux執行個體：
選擇SSH (22)。
Linux執行個體預設遠端連線服務為SSH，預設連接埠為22。
串連Windows執行個體：
選擇RDP (3389)。
Windows執行個體預設遠端連線服務為RDP，預設連接埠為3389。

重要

如果您在執行個體內修改了相關遠程服務的連接埠，請根據實際情況進行設定。

通過公網串連：添加161.117.0.0/16。
通過私網串連：添加100.104.0.0/16。

警告

使用0.0.0.0/0，代表所有IP地址均可以串連遠程服務連接埠，該配置存在安全風險，請謹慎使用。

傳統網路

使用Workbench串連傳統網路執行個體時，需要在執行個體所在安全性群組入方向配置以下規則。