Amazon EC2 Instance Connect для SSH - группа безопасности?

Question

Я использую новую (июнь 2019 г.) функцию подключения SSH в браузере EC2 для оболочки в EC2. Это очень удобно, так как я нахожусь в Windows, и раздражает настройка PuTTy с аутентификацией AWS, а устаревшее предложение SSH браузера никогда не работало для меня.

Я могу подключиться к экземпляру EC2 через консоль AWS, как показано ниже

и он отлично работает, если SSH включен для любого IP-адреса. Однако, когда я устанавливаю группу безопасности SSH на свой IP-адрес, оболочка SSH просто зависает.

Я подтвердил, что это мой правильный общедоступный IP-адрес, и я также попытался с моим частным IPV4-адресом - не повезло. Однако при установке блока CIDR в любое место соединение работает нормально.

Возможно, эта новая функция где-то использует прокси-оболочку, поэтому мне придется разрешить доступ к адресу этого посредника.

Я делаю это с рабочего стола моего домашнего офиса, а не из корпоративной или сложной среды, и использую свои корневые учетные данные AWS (да, я знаю, что это худшая практика).

Answer 1

Ах! Замечательный новый сервис AWS EC2 Instance Connect . Приятно видеть, что вы используете его!

EC2 Instance Connect работает, устанавливая HTTPS-соединение между вашим веб-браузером (запущенным на вашем компьютере) и внутренней службой EC2 Instance Connect. Затем EC2 Instance Connect устанавливает «в основном нормальное» SSH-соединение с целевым экземпляром. (Небольшое отличие заключается в том, как временный ключ вставляется в экземпляр.)

В результате, похоже, что соединение идет от службы EC2 Instance Connect, а не от вашего собственного компьютера!

Следовательно, вместо того, чтобы принимать соединение от «Мой IP», группа безопасности в экземпляре EC2 должна разрешать входящие соединения из службы EC2 Instance Connect .

Соответствующий диапазон IP-адресов можно получить из Диапазоны IP-адресов AWS . Это файл JSON, в котором указаны диапазоны IP-адресов для каждой службы AWS.

Например, вот диапазон для региона Сиднея:

{
"ip_prefix": "13.239.158.0/29",
"region": "ap-southeast-2",
"service": "EC2_INSTANCE_CONNECT"
},

Таким образом, вы можете поместить этот CIDR в группу безопасности, и он включит EC2 Instance Connect в регионе Сиднея. (Обратитесь к файлу https://ip -ranges.amazonaws.com / ip-range.json для соответствующего диапазона в вашем регионе.)