通過會話管理連接ECS實例
如果您需要實現(xiàn)免密碼、免公網(wǎng)IP或無需開啟SSH和RDP端口直接連接ECS實例,您可以通過會話管理來連接。會話管理相比SSH、VNC等方式,可以更便捷、安全地遠程連接ECS實例。本文為您介紹如何通過會話管理連接ECS實例。
會話管理的工作原理說明,請參見會話管理概述。
前提條件
使用會話管理功能需滿足以下條件:
該實例處于運行中狀態(tài)。
該實例已安裝云助手Agent,并且Agent版本滿足以下要求:
Linux實例:不低于2.2.3.196。
Windows實例:不低于2.1.3.196。
關(guān)于如何查詢云助手Agent版本及升級云助手Agent,請參見查看ECS實例的云助手Agent信息和升級或禁止升級云助手Agent。
該實例處于會話管理支持的地域,更多信息,請參見支持的地域。
如果通過RAM用戶使用會話管理功能,請確保RAM用戶擁有調(diào)用StartTerminalSession的權(quán)限。詳細的權(quán)限策略示例,請參見權(quán)限策略示例。
重要免密登錄更加便捷,但請在授權(quán)RAM用戶時保持謹慎,避免因RAM用戶管理或授權(quán)不當導(dǎo)致越權(quán)操作。
操作步驟
登錄ECS管理控制臺。
在左側(cè)導(dǎo)航欄,選擇 。
在頁面左側(cè)頂部,選擇目標資源所在的資源組和地域。
在實例頁面,找到待連接的實例,單擊對應(yīng)操作列的遠程連接。
單擊展開其他登錄方式,確保會話管理已開啟(全地域),如果顯示會話管理已關(guān)閉,請先打開功能開關(guān)。
重要打開會話管理功能開關(guān)前,請確保RAM用戶具有查看會話管理配置的DescribeUserBusinessBehavior權(quán)限和打開或關(guān)閉會話管理功能的ModifyUserBusinessBehavior權(quán)限,詳細的權(quán)限策略示例,請參見權(quán)限策略示例。
單擊免密登錄。
連接成功后,Linux實例默認以ecs-assist-user用戶登錄實例,Windows實例默認以system用戶登錄。以Linux實例為例,效果如下圖所示。
權(quán)限策略示例
創(chuàng)建權(quán)限策略和為RAM用戶授權(quán)的操作,請參見創(chuàng)建自定義權(quán)限策略和為RAM用戶授權(quán)。使用會話管理連接實例時,權(quán)限說明如下:
RAM用戶必須擁有調(diào)用StartTerminalSession的權(quán)限,才能通過會話管理連接實例。以下為權(quán)限策略內(nèi)容示例:
允許連接所有實例
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession" ], "Resource": [ "acs:ecs:*:*:instance/*" ] } ], "Version": "1" }
允許連接指定的實例
重要請將<i-****>替換為指定實例的ID。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession" ], "Resource": [ "acs:ecs:*:*:instance/i-bp11igy9rss1hu8y****", "acs:ecs:*:*:instance/i-bp1fihgzdytqve94****" ] } ], "Version": "1" }
允許連接綁定了指定標簽的實例
重要請將key-****替換為指定的標簽鍵,value-****替換為指定的標簽值。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession" ], "Resource": "*", "Condition": { "StringEquals": { "ecs:tag/key-****": "value-****" } } } ], "Version": "1" }
允許通過指定的IP連接實例
重要請將192.168.XX.XX和192.168.XX.XX/24替換為指定的IP或CIDR地址段。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:StartTerminalSession" ], "Resource": "*", "Condition": { "IpAddress": { "acs:SourceIp": [ "192.168.XX.XX", "192.168.XX.XX/24" ] } } } ], "Version": "1" }
您只需要在打開會話管理開關(guān)前,為RAM用戶添加查看會話管理配置的DescribeUserBusinessBehavior權(quán)限和打開或關(guān)閉會話管理的ModifyUserBusinessBehavior權(quán)限。打開開關(guān)后,您可以根據(jù)實際需要取消授權(quán)。以下為權(quán)限策略內(nèi)容示例:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:ModifyUserBusinessBehavior", "ecs:DescribeUserBusinessBehavior" ], "Resource": "acs:ecs:*:*:instance/*" } ] }
如何在自己的應(yīng)用中集成會話管理遠程登錄功能?
在開源項目cloud-assistant-starter中,包含了使用會話管理功能,遠程連接到云服務(wù)器或托管實例的完整代碼。項目中的AxtSession.tsx包含了連接與使用StartTerminalSession所返回的WebSocketURL的完整代碼,將這段代碼移植到您自己的企業(yè)應(yīng)用中,即可實現(xiàn)免密碼、免公網(wǎng)遠程登錄功能的會話管理。
相關(guān)文檔
會話管理支持多種方式連接實例,您可以根據(jù)業(yè)務(wù)需要,選擇合適的連接方式。