Ключи EC2 Instance Connect и IAM для публикации c

Question

Я устанавливаю новый EC2 Amazon Linux 2 AMI и пытаюсь настроить EC2 Instance Connect, так как он предустановлен на моем новом экземпляре.

Из того, что я понял, документы до значит, я должен иметь возможность создать пользователя IAM, добавить ключ publi c для этого пользователя, а затем S SH в поле, используя ключ пользователя IAM (publi c), без необходимости создавать .s * Папка 1032 * на экземпляре EC2.

Я сделал следующее:

1. Создайте пользователя на экземпляре EC2, которому должен сопоставляться мой пользователь IAM (назовем его bob)
2. Загрузил мой ключ publi c OpenS SH для пользователя IAM
3. Создана политика разрешений, которая разрешает действие ec2-instance-connect: SendSSHPublicKey (согласно документам)

Как только все это будет сделано, если я попытаюсь ввести S SH в коробку, это не сработает, и в моем / var / log / secure я вижу ошибку preauth.

Если я создаю файл .ssh / authorized_keys и правильно устанавливаю права доступа, все работает нормально.

Тем не менее, мое понимание подхода EC2 Instance Connect заключается в том, что он дает мне центральный способ управления доступом к моим экземплярам на основе ключа c.

Я прав?

Я что-то упускаю из-за того, как я это настраиваю?

Я нахожу документацию немного неясной, поэтому было бы полезно кое-что понять.

Спасибо!

Answer 1

EC2 Instance Connect работает следующим образом:

• Вы вводите команду, которая передает временный доступный c ключ к экземпляру , например:

$ aws ec2-instance-connect send-ssh-public-key --instance-id i-001234a4bf70dec41EXAMPLE --availability-zone us-west-2b --instance-os-user ec2-user --ssh-public-key file://my_rsa_key.pub

• Затем вы устанавливаете sh S SH соединение с экземпляром, используя личную половину пары ключей
• Внутри экземпляра EC2 Программное обеспечение Instance Connect взаимодействует с процессом s sh и проверяет, соответствует ли предоставленная клавиша S SH клавиша publi c, которая была нажата с помощью send-ssh-public-key (и это в течение 60 секунд после получения этот ключ)
• Если они совпадают, сеанс S SH разрешается

См .: Подключение с использованием экземпляра EC2 Connect - Amazon Elasti c Compute Cloud

EC2 Instance Connect также предоставляет веб-интерфейс , который может инициировать вышеуказанный процесс (используя временную случайную пару ключей) и предоставлять интерфейс S SH. При этом подключение S SH происходит изнутри AWS, а не с вашего собственного IP-адреса. Это связано с тем, что веб-интерфейс использует HTTPS для AWS, а затем AWS устанавливает соединение S SH с экземпляром. Это влияет на конфигурацию группы безопасности.