在高度安全的纯内网使用Session Manager登录EC2 – PCMAN的技术博客

Session Manager基础知识请参考这篇文章。本文只针对严格受限的纯内网场景编写，一些操作细节略过。

一、背景

Session Manager是非常好用的EC2远程连接和管理工具，之前在这篇博客中有过系统讲解。Session Manager的使用前提是本VPC的EC2能够具备出向互联网访问，连接到本Region的Session Manager位于互联网的Endpoint。

那么对于一个完全内网的环境，没有默认路由0.0.0.0/0去往互联网或NAT Gateway，甚至没有Internet Gateway（IGW），完全是封闭的内网。此时，如何使用Session Manager？此时可通过Endpoint实现。此外，由于各种依赖条件比较多，因此编写本篇文章。

二、创建EC2与Session Manager连接所需要的IAM Role

创建一个EC2专用的IAM Role，然后绑定IAM Policy策略AmazonSSMManagedInstanceCore。

之前在这篇博客中有过系统讲解，请参考对应章节。

三、为高度安全的网络环境创建互信的安全组

这里假设在一个高度安全的网络环境下，VPC的默认安全组中出站规则和入站规则完全是空白的，即默认拒绝任何网络出站和入站。由此实现最高安全标准。由于EC2等服务是支持同时加载多个安全组的，因此可通过配置多个安全组叠加的效果，实现高度安全的配置

接下来创建创建两个安全组，一个用于Session Manager Endpoint（即Server端），一个用于EC2（即Client端）

1、创建两个全空白的安全组

进入VPC，找到安全规则组，创建两个完全空白的安全组。分别取名ssm-endpoint和ssm-ec2。创建时候注意安全组是基于VPC区分的，如果选择VPC位置，选错了VPC，那么后续无法配置。

在出站规则和入站规则都完全空白。创建完毕后，复制下来这两个名字。注意：新创建的安全组自动带有出站规则是0.0.0.0/0，这是默认条目，这可能不符合最高安全要求。因此手工清空。

2、配置交互信任

编辑ssm-endpoint安全组，设置规则如下：

入站规则：从下拉框协议中找到HTTPS协议，来源地址仅允许ssm-ec2安全组
出站规则：空白

编辑ssm-ec2安全组，设置规则如下：

入站规则：空白
出站规则：从下拉框协议中找到HTTPS协议，目标地址是ssm-endpoint安全组

由此，就实现了Session Manager Endpoint和EC2的最小信任。

后续创建终端节点和EC2时候，请分别使用这两个安全组。

四、创建Session Manager所需要的VPC Endpoint

1、VPC Endpoint与DNS解析要求

一共需要配置三个VPC Endpoint，在系统中的名称是：

com.amazonaws.ap-southeast-1.ssm
com.amazonaws.ap-southeast-1.ssmmessages
com.amazonaws.ap-southeast-1.ec2messages

此外，为了本VPC的EC2能识别到这些Endpoint，请确认VPC的DNS解析功能打开，确认所有EC2都使用了VPC自带的.2DNS。如果修改了EC2的DNS为自建DNS，根据自建DNS的位置又分成两种，一种是在EC2上自建DNS，一种是在IDC自建DNS。前者只需要配置DNS转发，将amazonaws.com的结尾的域名（本域名为AWS海外区域）转发到AWS的DNS进行解析；后者需要使用DNS Resovle，请参考这篇文章。