CloudLink: Deaktivieren des AWS-Konsolenzugriffs auf das CloudLink-Betriebssystem
Summary: AWS hat den SSM-Agent auf allen unterstützten Betriebssystemen vorinstalliert. Dieser SSM-Agent ermöglicht auch den direkten Zugriff auf die CloudLink-Betriebssystemkonsole.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Dell empfiehlt, den SSM-Agent aus CloudLink-Instanzen zu entfernen, da dies zu Sicherheitslücken führen wird.
Cause
In AWS ist der SSM-Agent auf allen unterstützten Betriebssystemen vorinstalliert, um den Zugriff auf die Betriebssystemkonsole direkt zu ermöglichen.
Betroffene Produkte und Versionen: Alle Versionen von CloudLink bis 7.1.3 bei Bereitstellung in AWS.
Betroffene Produkte und Versionen: Alle Versionen von CloudLink bis 7.1.3 bei Bereitstellung in AWS.
Resolution
Um die Anmeldung über Session Manager beim CloudLink-Betriebssystem zu deaktivieren, muss der Administrator den SSM-Agent von der CloudLink-Instanz deinstallieren.
Es gibt zwei Workarounds:
Korrekturworkflow 1: Wenn der Benutzer über Session Manager Zugriff auf die CloudLink-Konsole hat.
Korrekturworkflow 2: Wenn der Benutzer keinen Zugriff auf die CloudLink-Konsole über Session Manager hat.
Korrekturworkflow 1:
1. Instanz von CloudLink.
2. Klicken Sie auf der Registerkarte "Session Manager" > auf Schaltfläche "Connect"
. 3. Sobald Sie sich mit Session Manager in der CloudLink-Konsole befinden, geben Sie sudo su
4 ein. Um den Status des auf der CloudLink-Konsole ausgeführten SSM-Agent zu überprüfen, führen Sie den folgenden Befehl
aus: "systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Um den ausgeführten SSM-Agent in der CloudLink-Konsole aufzulisten, führen Sie den folgenden Befehl
aus: "snap list amazon-ssm-agent"
6. Um den SSM-Agent aus der CloudLink-Konsole zu entfernen, führen Sie den folgenden Befehl
aus: "snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Wenn der SSM-Agent die CloudLink-Instanz deinstalliert, wird die Schaltfläche "Connect" deaktiviert
8. Wenn der Benutzer versucht, eine SSH-Verbindung zur CloudLink-IP-Adresse zu erstellen, wird der Benutzer zur CloudLink-Anmeldeaufforderung 9 aufgefordert
. Überprüfen Sie den Status des SSM-Agent. Überprüfen Sie, ob der Agent "Angehalten"
ist 10. Überprüfen Sie die Liste der SSM-Agents. Status gibt "No matching snaps installed" zurück.
Korrekturworkflow 2:
Session Manager ist nicht aktiviert, wenn keine IAM-Rolle ausgewählt ist. Daher kann der Benutzer ohne Sitzungsmanager nicht auf die CloudLink-Konsole zugreifen.
Um das IAM-Profil zu überprüfen, melden Sie sich bei AWS -> Ec2-Instanz starten -> Erweiterte Details -> IAM-Instanzprofil
Empfohlen, kein Profil unter "IAM-Instanzprofil" auszuwählen. Dies führt dazu, dass Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann.
HINWEIS: Zu diesem Zeitpunkt, an dem Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann, muss sich der Benutzer an den technischen Support wenden, um bei der Deinstallation des SSM-Agent von CloudLink-Instanzen zu helfen.
Es gibt zwei Workarounds:
Korrekturworkflow 1: Wenn der Benutzer über Session Manager Zugriff auf die CloudLink-Konsole hat.
Korrekturworkflow 2: Wenn der Benutzer keinen Zugriff auf die CloudLink-Konsole über Session Manager hat.
Korrekturworkflow 1:
1. Instanz von CloudLink.
2. Klicken Sie auf der Registerkarte "Session Manager" > auf Schaltfläche "Connect"
. 3. Sobald Sie sich mit Session Manager in der CloudLink-Konsole befinden, geben Sie sudo su
4 ein. Um den Status des auf der CloudLink-Konsole ausgeführten SSM-Agent zu überprüfen, führen Sie den folgenden Befehl
aus: "systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Um den ausgeführten SSM-Agent in der CloudLink-Konsole aufzulisten, führen Sie den folgenden Befehl
aus: "snap list amazon-ssm-agent"
6. Um den SSM-Agent aus der CloudLink-Konsole zu entfernen, führen Sie den folgenden Befehl
aus: "snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Wenn der SSM-Agent die CloudLink-Instanz deinstalliert, wird die Schaltfläche "Connect" deaktiviert
8. Wenn der Benutzer versucht, eine SSH-Verbindung zur CloudLink-IP-Adresse zu erstellen, wird der Benutzer zur CloudLink-Anmeldeaufforderung 9 aufgefordert
. Überprüfen Sie den Status des SSM-Agent. Überprüfen Sie, ob der Agent "Angehalten"
ist 10. Überprüfen Sie die Liste der SSM-Agents. Status gibt "No matching snaps installed" zurück.
Korrekturworkflow 2:
Session Manager ist nicht aktiviert, wenn keine IAM-Rolle ausgewählt ist. Daher kann der Benutzer ohne Sitzungsmanager nicht auf die CloudLink-Konsole zugreifen.
Um das IAM-Profil zu überprüfen, melden Sie sich bei AWS -> Ec2-Instanz starten -> Erweiterte Details -> IAM-Instanzprofil
Empfohlen, kein Profil unter "IAM-Instanzprofil" auszuwählen. Dies führt dazu, dass Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann.
HINWEIS: Zu diesem Zeitpunkt, an dem Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann, muss sich der Benutzer an den technischen Support wenden, um bei der Deinstallation des SSM-Agent von CloudLink-Instanzen zu helfen.
Affected Products
CloudLink SecureVM, CloudLinkArticle Properties
Article Number: 000200819
Article Type: Solution
Last Modified: 09 Nov 2022
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.