Parmi les nombreuses possibilités offertes par System Manager, un élément introduit en septembre dernier a retenu mon attention. Il s’agit de Connection Manager. Cet outil permet de se connecter en mode console à un serveur Linux ou Windows (console en ligne de commandes) sans utilisation d’une connexion réseau. La technologie mise en œuvre doit sans doute utiliser (information non publiée) la possibilité offerte par Xen de se connecter en mode console sur une machine virtuelle par utilisation du serial port.
L’avantage d’une connexion console possible sans connexion réseau nous affranchit de l’utilisation de serveur EC2 bastion créé pour chaque VPC (utilisation de ssh forwarding) ou d’un seul serveur EC2 bastion connecté à des VPC appairés.
Deux éléments sont utilisés pour mettre en place ce mécanisme :
- L’agent SSM doit être déployé et démarré sur les serveurs.
- La policy AmazonEC2RoleForSSM doit être affectée aux serveurs EC2 concernés via l’attribution d’un rôle.
Les agents SSM sont installés par défaut sur les Amazon Machine Images (AMIs) suivantes :
- Windows Server (all SKUs)
- Amazon Linux
- Amazon Linux 2
- Ubuntu Server 16.04
- Ubuntu Server 18.04
Pour les Linux dont l’AMI est non listée, l’agent est à installer. Par exemple pour RedHat ou Oracle Linux, il s’installe à partir d’un repository Amazon (cf. https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-manual-agent-install.html) :
sudo yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm
Voici maintenant un exemple de paramétrage pour un serveur EC2 Windows
1) L’agent SSM est pré-installé comme service dans les EC2 issues d’une AMI Windows
2) Créer un rôle comportant la policy AmazonEC2RoleForSSM
Il est à noter que j’ai relancé l’agent pour qu’il puisse initier la communication avec le serveur SSM parce que j’ai affecté le rôle à l’EC2 après la création de celle-ci et non au moment de la création.
3) Attacher ce rôle à l’EC2
4) Ouvrir le service Session Manager et cliquer sur le bouton « Start session »
5) Lancer la session
Les sessions qui apparaissent dans cette interface sont celles répondant aux pré-requis cités plus haut (agent SSM actif + policy). Choisir la session console Windows à lancer et cliquer à nouveau sur « Start session ».
6) Voici l’interface en mode texte obtenue pour une instance EC2 Windows
Pour aller plus loin, découvrez toutes nos formations officielles Amazon Web Services.
1 réflexion sur “AWS – Accès aux serveurs Linux et Windows sans connexion réseau grâce à Connection Manager”
Ping : AWS : Communiquer avec vos EC2 sans réseau - La liberté du design d'architecture sans contraintes - EASYTEAM