相比SSH、RDP等方式,通过会话管理连接实例更加便捷,免密码,免公网IP,无需开启SSH和RDP端口。本文介绍通过会话管理连接实例时的要求和操作。

前提条件

实例需满足以下条件:
  • 处于运行中状态。
  • 已安装云助手客户端,且客户端版本支持会话管理,即确保Linux操作系统中使用的客户端版本不低于2.2.3.196,Windows操作系统中使用的客户端版本不低于2.1.3.196。具体操作,请参见安装云助手客户端
说明 会话管理功能正在公测中。

背景信息

会话管理兼顾安全和便捷,更多工作原理的说明,请参见会话管理工作原理

操作步骤

  1. 登录ECS管理控制台
    • 阿里云账号和RAM用户均可以使用会话管理功能,但RAM用户无权开关该功能。如果尚未开启会话管理功能,请使用阿里云账号登录或联系阿里云账号使用者开启该功能。
    • 如果您通过RAM用户使用会话管理功能,请确保RAM用户拥有调用StartTerminalSession的权限。详细的权限策略示例,请参见权限策略示例。建议谨慎对RAM用户进行授权,避免因RAM用户管理或授权不当导致越权操作。
  2. 在左侧导航栏,选择实例与镜像 > 实例
  3. 在顶部菜单栏左上角处,选择地域。
  4. 实例页面,找到待连接的实例,然后单击操作区域中的远程连接
  5. 确保Workbench远程连接区域中免密登录按钮上方显示功能已开启(全地域),如果显示功能已关闭,请先打开功能开关。
    说明 免密登录更加便捷,但请在授权RAM用户时保持谨慎,避免因RAM用户管理或授权不当导致越权操作。
    session-mgr-switch
  6. 单击免密登录
    连接成功后,默认以ecs-assist-user用户登录实例,效果如下图所示。session-mgr-logon

权限策略示例

RAM用户必须拥有调用StartTerminalSession的权限,才能通过会话管理连接实例。创建权限策略和为RAM用户授权的操作,请参见创建自定义权限策略为RAM用户授权。以下为权限策略内容示例:
  • 允许连接所有实例
    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:StartTerminalSession"
                ],
                "Resource": [
                    "acs:ecs:*:*:instance/*"
                ]
            }
        ],
        "Version": "1"
    }
  • 允许连接指定的实例
    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:StartTerminalSession"
                ],
                "Resource": [
                    "acs:ecs:*:*:instance/i-****",
                    "acs:ecs:*:*:instance/i-****"
                ]
            }
        ],
        "Version": "1"
    }
    说明 请将<i-****>替换为指定实例的ID。
  • 允许连接绑定了指定标签的实例
    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:StartTerminalSession"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "ecs:tag/key-****": "value-****"
                    }
                }
            }
        ],
        "Version": "1"
    }
    说明 请将key-****替换为指定的标签键,value-****替换为指定的标签值。
  • 允许通过指定的IP连接实例
    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:StartTerminalSession"
                ],
                "Resource": "*",
                "Condition": {
                    "IpAddress": {
                        "acs:SourceIp": [
                            "192.168.XX.XX",
                            "192.168.XX.XX/24"
                        ]
                    }
                }
            }
        ],
        "Version": "1"
    }
    说明 请将192.168.XX.XX192.168.XX.XX/24替换为指定的IP或CIDR地址段。