CloudLink: Deaktivieren des AWS-Konsolenzugriffs auf das CloudLink-Betriebssystem
概要: AWS hat den SSM-Agent auf allen unterstützten Betriebssystemen vorinstalliert. Dieser SSM-Agent ermöglicht auch den direkten Zugriff auf die CloudLink-Betriebssystemkonsole.
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Dell empfiehlt, den SSM-Agent aus CloudLink-Instanzen zu entfernen, da dies zu Sicherheitslücken führen wird.
原因
In AWS ist der SSM-Agent auf allen unterstützten Betriebssystemen vorinstalliert, um den Zugriff auf die Betriebssystemkonsole direkt zu ermöglichen.
Betroffene Produkte und Versionen: Alle Versionen von CloudLink bis 7.1.3 bei Bereitstellung in AWS.
Betroffene Produkte und Versionen: Alle Versionen von CloudLink bis 7.1.3 bei Bereitstellung in AWS.
解決方法
Um die Anmeldung über Session Manager beim CloudLink-Betriebssystem zu deaktivieren, muss der Administrator den SSM-Agent von der CloudLink-Instanz deinstallieren.
Es gibt zwei Workarounds:
Korrekturworkflow 1: Wenn der Benutzer über Session Manager Zugriff auf die CloudLink-Konsole hat.
Korrekturworkflow 2: Wenn der Benutzer keinen Zugriff auf die CloudLink-Konsole über Session Manager hat.
Korrekturworkflow 1:
1. Instanz von CloudLink.
2. Klicken Sie auf der Registerkarte "Session Manager" > auf Schaltfläche "Connect"
. 3. Sobald Sie sich mit Session Manager in der CloudLink-Konsole befinden, geben Sie sudo su
4 ein. Um den Status des auf der CloudLink-Konsole ausgeführten SSM-Agent zu überprüfen, führen Sie den folgenden Befehl
aus: "systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Um den ausgeführten SSM-Agent in der CloudLink-Konsole aufzulisten, führen Sie den folgenden Befehl
aus: "snap list amazon-ssm-agent"
6. Um den SSM-Agent aus der CloudLink-Konsole zu entfernen, führen Sie den folgenden Befehl
aus: "snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Wenn der SSM-Agent die CloudLink-Instanz deinstalliert, wird die Schaltfläche "Connect" deaktiviert
8. Wenn der Benutzer versucht, eine SSH-Verbindung zur CloudLink-IP-Adresse zu erstellen, wird der Benutzer zur CloudLink-Anmeldeaufforderung 9 aufgefordert
. Überprüfen Sie den Status des SSM-Agent. Überprüfen Sie, ob der Agent "Angehalten"
ist 10. Überprüfen Sie die Liste der SSM-Agents. Status gibt "No matching snaps installed" zurück.
Korrekturworkflow 2:
Session Manager ist nicht aktiviert, wenn keine IAM-Rolle ausgewählt ist. Daher kann der Benutzer ohne Sitzungsmanager nicht auf die CloudLink-Konsole zugreifen.
Um das IAM-Profil zu überprüfen, melden Sie sich bei AWS -> Ec2-Instanz starten -> Erweiterte Details -> IAM-Instanzprofil
Empfohlen, kein Profil unter "IAM-Instanzprofil" auszuwählen. Dies führt dazu, dass Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann.
HINWEIS: Zu diesem Zeitpunkt, an dem Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann, muss sich der Benutzer an den technischen Support wenden, um bei der Deinstallation des SSM-Agent von CloudLink-Instanzen zu helfen.
Es gibt zwei Workarounds:
Korrekturworkflow 1: Wenn der Benutzer über Session Manager Zugriff auf die CloudLink-Konsole hat.
Korrekturworkflow 2: Wenn der Benutzer keinen Zugriff auf die CloudLink-Konsole über Session Manager hat.
Korrekturworkflow 1:
1. Instanz von CloudLink.
2. Klicken Sie auf der Registerkarte "Session Manager" > auf Schaltfläche "Connect"
. 3. Sobald Sie sich mit Session Manager in der CloudLink-Konsole befinden, geben Sie sudo su
4 ein. Um den Status des auf der CloudLink-Konsole ausgeführten SSM-Agent zu überprüfen, führen Sie den folgenden Befehl
aus: "systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Um den ausgeführten SSM-Agent in der CloudLink-Konsole aufzulisten, führen Sie den folgenden Befehl
aus: "snap list amazon-ssm-agent"
6. Um den SSM-Agent aus der CloudLink-Konsole zu entfernen, führen Sie den folgenden Befehl
aus: "snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Wenn der SSM-Agent die CloudLink-Instanz deinstalliert, wird die Schaltfläche "Connect" deaktiviert
8. Wenn der Benutzer versucht, eine SSH-Verbindung zur CloudLink-IP-Adresse zu erstellen, wird der Benutzer zur CloudLink-Anmeldeaufforderung 9 aufgefordert
. Überprüfen Sie den Status des SSM-Agent. Überprüfen Sie, ob der Agent "Angehalten"
ist 10. Überprüfen Sie die Liste der SSM-Agents. Status gibt "No matching snaps installed" zurück.
Korrekturworkflow 2:
Session Manager ist nicht aktiviert, wenn keine IAM-Rolle ausgewählt ist. Daher kann der Benutzer ohne Sitzungsmanager nicht auf die CloudLink-Konsole zugreifen.
Um das IAM-Profil zu überprüfen, melden Sie sich bei AWS -> Ec2-Instanz starten -> Erweiterte Details -> IAM-Instanzprofil
Empfohlen, kein Profil unter "IAM-Instanzprofil" auszuwählen. Dies führt dazu, dass Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann.
HINWEIS: Zu diesem Zeitpunkt, an dem Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann, muss sich der Benutzer an den technischen Support wenden, um bei der Deinstallation des SSM-Agent von CloudLink-Instanzen zu helfen.
対象製品
CloudLink SecureVM, CloudLink文書のプロパティ
文書番号: 000200819
文書の種類: Solution
最終更新: 09 11月 2022
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。