CloudLink: Desabilitar o acesso do console da AWS ao So CloudLink
概要: A AWS tem um agente SSM pré-instalado em todos os sistemas operacionais compatíveis. Esse agente de SSM também permitirá o acesso diretamente ao console do CloudLink OS.
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
A Dell recomenda a remoção do agente SSM das instâncias do CloudLink, pois isso resultará em vulnerabilidades de segurança.
原因
Na AWS, o agente do SSM é pré-instalado em todos os sistemas operacionais compatíveis para permitir o acesso diretamente ao console do sistema operacional.
Produtos afetados e versões: Todas as versões do CloudLink até a 7.1.3 quando implementadas na AWS.
Produtos afetados e versões: Todas as versões do CloudLink até a 7.1.3 quando implementadas na AWS.
解決方法
Para desativar o login por meio do Session Manager no So CloudLink, o administrador deve desinstalar o agente do SSM da instância do CloudLink.
Há duas soluções temporárias: workflow
de remediação 1: Quando o usuário tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 2: Quando o usuário não tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 1:
1. Instância do CloudLink.
2. Na guia Session Manager (Gerenciador de > clique no botão Connect (Conectar
) 3. Depois de acessar o console do CloudLink usando o Session Manager, digite sudo su
4. Para verificar o status do agente SSM em execução no console
do CloudLink, execute o seguinte comando"systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Para listar o agente SSM em execução no console do CloudLink, execute o comando
abaixo"snap list amazon-ssm-agent"
6. Para remover o agente SSM do console do CloudLink,
execute o comando abaixo"snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Quando o agente do SSM é desinstalado da instância do CloudLink, o botão "connect" é desativado
8. Quando o usuário tenta fazer SSH para o endereço IP do CloudLink, ele leva o usuário ao prompt de log-in do
CloudLink 9. Verifique o status do agente do SSM. Verifique se o Agent está "Stopped"
10. Verifique a lista de agentes do SSM. O status retorna "No matching snaps installed".
Workflow de remediação 2:
O Gerenciador de sessão não é ativado quando uma função do IAM não está selecionada. Assim, sem a presença do Session Manager, o usuário não poderá acessar o console do CloudLink.
Para verificar o perfil do IAM, faça log-in no AWS -> Launch EC2 instance -> Advanced details -> IAM Instance profile
Recommended not to select any profile under "IAM Instance profile", isso fará com que o Session Manager não consiga estabelecer uma conexão com o console do CloudLink.
NOTA: Nesse ponto em que o Session Manager não consegue estabelecer conexão com o console do CloudLink, o usuário precisa entrar em contato com o suporte técnico para ajudar a desinstalar o agente do SSM das instâncias do CloudLink.
Há duas soluções temporárias: workflow
de remediação 1: Quando o usuário tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 2: Quando o usuário não tem acesso ao console do CloudLink por meio do Session Manager.
Workflow de remediação 1:
1. Instância do CloudLink.
2. Na guia Session Manager (Gerenciador de > clique no botão Connect (Conectar
) 3. Depois de acessar o console do CloudLink usando o Session Manager, digite sudo su
4. Para verificar o status do agente SSM em execução no console
do CloudLink, execute o seguinte comando"systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Para listar o agente SSM em execução no console do CloudLink, execute o comando
abaixo"snap list amazon-ssm-agent"
6. Para remover o agente SSM do console do CloudLink,
execute o comando abaixo"snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Quando o agente do SSM é desinstalado da instância do CloudLink, o botão "connect" é desativado
8. Quando o usuário tenta fazer SSH para o endereço IP do CloudLink, ele leva o usuário ao prompt de log-in do
CloudLink 9. Verifique o status do agente do SSM. Verifique se o Agent está "Stopped"
10. Verifique a lista de agentes do SSM. O status retorna "No matching snaps installed".
Workflow de remediação 2:
O Gerenciador de sessão não é ativado quando uma função do IAM não está selecionada. Assim, sem a presença do Session Manager, o usuário não poderá acessar o console do CloudLink.
Para verificar o perfil do IAM, faça log-in no AWS -> Launch EC2 instance -> Advanced details -> IAM Instance profile
Recommended not to select any profile under "IAM Instance profile", isso fará com que o Session Manager não consiga estabelecer uma conexão com o console do CloudLink.
NOTA: Nesse ponto em que o Session Manager não consegue estabelecer conexão com o console do CloudLink, o usuário precisa entrar em contato com o suporte técnico para ajudar a desinstalar o agente do SSM das instâncias do CloudLink.
対象製品
CloudLink SecureVM, CloudLink文書のプロパティ
文書番号: 000200819
文書の種類: Solution
最終更新: 09 11月 2022
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。