CloudLink: Deshabilitar el acceso de la consola de AWS al so CloudLink
Summary: AWS tiene un agente de SSM preinstalado en todos los sistemas operativos compatibles, este agente de SSM también permitirá el acceso a la consola de CloudLink OS directamente.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Dell recomienda la eliminación del agente de SSM de las instancias de CloudLink, ya que generará vulnerabilidades de seguridad.
Cause
En AWS, el agente de SSM está preinstalado en todos los sistemas operativos compatibles para permitir el acceso directo a la consola del sistema operativo.
Productos afectados y versiones: Todas las versiones de CloudLink hasta 7.1.3 cuando se implementan en AWS.
Productos afectados y versiones: Todas las versiones de CloudLink hasta 7.1.3 cuando se implementan en AWS.
Resolution
Para deshabilitar el inicio de sesión a través de Session Manager en el SO de CloudLink, el administrador debe desinstalar el agente de SSM de la instancia de CloudLink.
Existen dos soluciones alternativas:
flujo de trabajo de corrección 1: Cuando el usuario tiene acceso a la consola de CloudLink a través del administrador de sesiones.
Flujo de trabajo de corrección 2: Cuando el usuario no tiene acceso a la consola de CloudLink a través del administrador de sesiones.
Flujo de trabajo de corrección 1:
1. Instancia de CloudLink.
2. En la pestaña Administrador de sesiones: > haga clic en el botón
Conectar 3. Una vez que esté en la consola de CloudLink mediante el administrador de sesiones, ingrese sudo su
4. Para comprobar el estado del agente de SSM que se ejecuta en la consola de CloudLink, ejecute el siguiente comando
"systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Para enumerar el agente de SSM en ejecución en la consola de CloudLink, ejecute el siguiente comando
"snap list amazon-ssm-agent"
6. Para quitar el agente de SSM de la consola de CloudLink, ejecute el siguiente comando
"snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Cuando el agente de SSM se desinstala de la instancia de CloudLink, el botón "conectar" se deshabilita
8. Cuando el usuario intenta acceder mediante el protocolo SSH a la dirección IP de CloudLink, el usuario se dirige al indicador
de inicio de sesión de CloudLink 9. Compruebe el estado del agente ssm. Verifique que el agente esté "detenido"
10. Compruebe la lista de agentes de SSM. El estado muestra "No hay instantáneas coincidentes instaladas".
Flujo de trabajo de corrección 2:
Session Manager no está habilitado cuando no se selecciona una función de IAM. Por lo tanto, sin la presencia del administrador de sesiones, el usuario no podrá acceder a la consola de CloudLink.
Para verificar el perfil de IAM, inicie sesión en AWS -> Launch EC2 instance -> Advanced details -> IAM Instance profile
Se recomienda no seleccionar ningún perfil en "IAM Instance profile"; esto hará que session Manager no pueda establecer una conexión a la consola de CloudLink.
NOTA: En este punto, cuando Session Manager no puede establecer la conexión a la consola de CloudLink, el usuario debe ponerse en contacto con el soporte técnico para ayudar a desinstalar el agente de SSM de las instancias de CloudLink.
Existen dos soluciones alternativas:
flujo de trabajo de corrección 1: Cuando el usuario tiene acceso a la consola de CloudLink a través del administrador de sesiones.
Flujo de trabajo de corrección 2: Cuando el usuario no tiene acceso a la consola de CloudLink a través del administrador de sesiones.
Flujo de trabajo de corrección 1:
1. Instancia de CloudLink.
2. En la pestaña Administrador de sesiones: > haga clic en el botón
Conectar 3. Una vez que esté en la consola de CloudLink mediante el administrador de sesiones, ingrese sudo su
4. Para comprobar el estado del agente de SSM que se ejecuta en la consola de CloudLink, ejecute el siguiente comando
"systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Para enumerar el agente de SSM en ejecución en la consola de CloudLink, ejecute el siguiente comando
"snap list amazon-ssm-agent"
6. Para quitar el agente de SSM de la consola de CloudLink, ejecute el siguiente comando
"snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Cuando el agente de SSM se desinstala de la instancia de CloudLink, el botón "conectar" se deshabilita
8. Cuando el usuario intenta acceder mediante el protocolo SSH a la dirección IP de CloudLink, el usuario se dirige al indicador
de inicio de sesión de CloudLink 9. Compruebe el estado del agente ssm. Verifique que el agente esté "detenido"
10. Compruebe la lista de agentes de SSM. El estado muestra "No hay instantáneas coincidentes instaladas".
Flujo de trabajo de corrección 2:
Session Manager no está habilitado cuando no se selecciona una función de IAM. Por lo tanto, sin la presencia del administrador de sesiones, el usuario no podrá acceder a la consola de CloudLink.
Para verificar el perfil de IAM, inicie sesión en AWS -> Launch EC2 instance -> Advanced details -> IAM Instance profile
Se recomienda no seleccionar ningún perfil en "IAM Instance profile"; esto hará que session Manager no pueda establecer una conexión a la consola de CloudLink.
NOTA: En este punto, cuando Session Manager no puede establecer la conexión a la consola de CloudLink, el usuario debe ponerse en contacto con el soporte técnico para ayudar a desinstalar el agente de SSM de las instancias de CloudLink.
Affected Products
CloudLink SecureVM, CloudLinkArticle Properties
Article Number: 000200819
Article Type: Solution
Last Modified: 09 Nov 2022
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.