CloudLink: Deaktivieren des AWS-Konsolenzugriffs auf das CloudLink-Betriebssystem
Samenvatting: AWS hat den SSM-Agent auf allen unterstützten Betriebssystemen vorinstalliert. Dieser SSM-Agent ermöglicht auch den direkten Zugriff auf die CloudLink-Betriebssystemkonsole.
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
Dell empfiehlt, den SSM-Agent aus CloudLink-Instanzen zu entfernen, da dies zu Sicherheitslücken führen wird.
Oorzaak
In AWS ist der SSM-Agent auf allen unterstützten Betriebssystemen vorinstalliert, um den Zugriff auf die Betriebssystemkonsole direkt zu ermöglichen.
Betroffene Produkte und Versionen: Alle Versionen von CloudLink bis 7.1.3 bei Bereitstellung in AWS.
Betroffene Produkte und Versionen: Alle Versionen von CloudLink bis 7.1.3 bei Bereitstellung in AWS.
Oplossing
Um die Anmeldung über Session Manager beim CloudLink-Betriebssystem zu deaktivieren, muss der Administrator den SSM-Agent von der CloudLink-Instanz deinstallieren.
Es gibt zwei Workarounds:
Korrekturworkflow 1: Wenn der Benutzer über Session Manager Zugriff auf die CloudLink-Konsole hat.
Korrekturworkflow 2: Wenn der Benutzer keinen Zugriff auf die CloudLink-Konsole über Session Manager hat.
Korrekturworkflow 1:
1. Instanz von CloudLink.
2. Klicken Sie auf der Registerkarte "Session Manager" > auf Schaltfläche "Connect"
. 3. Sobald Sie sich mit Session Manager in der CloudLink-Konsole befinden, geben Sie sudo su
4 ein. Um den Status des auf der CloudLink-Konsole ausgeführten SSM-Agent zu überprüfen, führen Sie den folgenden Befehl
aus: "systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Um den ausgeführten SSM-Agent in der CloudLink-Konsole aufzulisten, führen Sie den folgenden Befehl
aus: "snap list amazon-ssm-agent"
6. Um den SSM-Agent aus der CloudLink-Konsole zu entfernen, führen Sie den folgenden Befehl
aus: "snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Wenn der SSM-Agent die CloudLink-Instanz deinstalliert, wird die Schaltfläche "Connect" deaktiviert
8. Wenn der Benutzer versucht, eine SSH-Verbindung zur CloudLink-IP-Adresse zu erstellen, wird der Benutzer zur CloudLink-Anmeldeaufforderung 9 aufgefordert
. Überprüfen Sie den Status des SSM-Agent. Überprüfen Sie, ob der Agent "Angehalten"
ist 10. Überprüfen Sie die Liste der SSM-Agents. Status gibt "No matching snaps installed" zurück.
Korrekturworkflow 2:
Session Manager ist nicht aktiviert, wenn keine IAM-Rolle ausgewählt ist. Daher kann der Benutzer ohne Sitzungsmanager nicht auf die CloudLink-Konsole zugreifen.
Um das IAM-Profil zu überprüfen, melden Sie sich bei AWS -> Ec2-Instanz starten -> Erweiterte Details -> IAM-Instanzprofil
Empfohlen, kein Profil unter "IAM-Instanzprofil" auszuwählen. Dies führt dazu, dass Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann.
HINWEIS: Zu diesem Zeitpunkt, an dem Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann, muss sich der Benutzer an den technischen Support wenden, um bei der Deinstallation des SSM-Agent von CloudLink-Instanzen zu helfen.
Es gibt zwei Workarounds:
Korrekturworkflow 1: Wenn der Benutzer über Session Manager Zugriff auf die CloudLink-Konsole hat.
Korrekturworkflow 2: Wenn der Benutzer keinen Zugriff auf die CloudLink-Konsole über Session Manager hat.
Korrekturworkflow 1:
1. Instanz von CloudLink.
2. Klicken Sie auf der Registerkarte "Session Manager" > auf Schaltfläche "Connect"
. 3. Sobald Sie sich mit Session Manager in der CloudLink-Konsole befinden, geben Sie sudo su
4 ein. Um den Status des auf der CloudLink-Konsole ausgeführten SSM-Agent zu überprüfen, führen Sie den folgenden Befehl
aus: "systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Um den ausgeführten SSM-Agent in der CloudLink-Konsole aufzulisten, führen Sie den folgenden Befehl
aus: "snap list amazon-ssm-agent"
6. Um den SSM-Agent aus der CloudLink-Konsole zu entfernen, führen Sie den folgenden Befehl
aus: "snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Wenn der SSM-Agent die CloudLink-Instanz deinstalliert, wird die Schaltfläche "Connect" deaktiviert
8. Wenn der Benutzer versucht, eine SSH-Verbindung zur CloudLink-IP-Adresse zu erstellen, wird der Benutzer zur CloudLink-Anmeldeaufforderung 9 aufgefordert
. Überprüfen Sie den Status des SSM-Agent. Überprüfen Sie, ob der Agent "Angehalten"
ist 10. Überprüfen Sie die Liste der SSM-Agents. Status gibt "No matching snaps installed" zurück.
Korrekturworkflow 2:
Session Manager ist nicht aktiviert, wenn keine IAM-Rolle ausgewählt ist. Daher kann der Benutzer ohne Sitzungsmanager nicht auf die CloudLink-Konsole zugreifen.
Um das IAM-Profil zu überprüfen, melden Sie sich bei AWS -> Ec2-Instanz starten -> Erweiterte Details -> IAM-Instanzprofil
Empfohlen, kein Profil unter "IAM-Instanzprofil" auszuwählen. Dies führt dazu, dass Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann.
HINWEIS: Zu diesem Zeitpunkt, an dem Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann, muss sich der Benutzer an den technischen Support wenden, um bei der Deinstallation des SSM-Agent von CloudLink-Instanzen zu helfen.
Getroffen producten
CloudLink SecureVM, CloudLinkArtikeleigenschappen
Artikelnummer: 000200819
Artikeltype: Solution
Laatst aangepast: 09 nov. 2022
Versie: 5
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.