CloudLink: Deaktivieren des AWS-Konsolenzugriffs auf das CloudLink-Betriebssystem
摘要: AWS hat den SSM-Agent auf allen unterstützten Betriebssystemen vorinstalliert. Dieser SSM-Agent ermöglicht auch den direkten Zugriff auf die CloudLink-Betriebssystemkonsole.
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Dell empfiehlt, den SSM-Agent aus CloudLink-Instanzen zu entfernen, da dies zu Sicherheitslücken führen wird.
原因
In AWS ist der SSM-Agent auf allen unterstützten Betriebssystemen vorinstalliert, um den Zugriff auf die Betriebssystemkonsole direkt zu ermöglichen.
Betroffene Produkte und Versionen: Alle Versionen von CloudLink bis 7.1.3 bei Bereitstellung in AWS.
Betroffene Produkte und Versionen: Alle Versionen von CloudLink bis 7.1.3 bei Bereitstellung in AWS.
解决方案
Um die Anmeldung über Session Manager beim CloudLink-Betriebssystem zu deaktivieren, muss der Administrator den SSM-Agent von der CloudLink-Instanz deinstallieren.
Es gibt zwei Workarounds:
Korrekturworkflow 1: Wenn der Benutzer über Session Manager Zugriff auf die CloudLink-Konsole hat.
Korrekturworkflow 2: Wenn der Benutzer keinen Zugriff auf die CloudLink-Konsole über Session Manager hat.
Korrekturworkflow 1:
1. Instanz von CloudLink.
2. Klicken Sie auf der Registerkarte "Session Manager" > auf Schaltfläche "Connect"
. 3. Sobald Sie sich mit Session Manager in der CloudLink-Konsole befinden, geben Sie sudo su
4 ein. Um den Status des auf der CloudLink-Konsole ausgeführten SSM-Agent zu überprüfen, führen Sie den folgenden Befehl
aus: "systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Um den ausgeführten SSM-Agent in der CloudLink-Konsole aufzulisten, führen Sie den folgenden Befehl
aus: "snap list amazon-ssm-agent"
6. Um den SSM-Agent aus der CloudLink-Konsole zu entfernen, führen Sie den folgenden Befehl
aus: "snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Wenn der SSM-Agent die CloudLink-Instanz deinstalliert, wird die Schaltfläche "Connect" deaktiviert
8. Wenn der Benutzer versucht, eine SSH-Verbindung zur CloudLink-IP-Adresse zu erstellen, wird der Benutzer zur CloudLink-Anmeldeaufforderung 9 aufgefordert
. Überprüfen Sie den Status des SSM-Agent. Überprüfen Sie, ob der Agent "Angehalten"
ist 10. Überprüfen Sie die Liste der SSM-Agents. Status gibt "No matching snaps installed" zurück.
Korrekturworkflow 2:
Session Manager ist nicht aktiviert, wenn keine IAM-Rolle ausgewählt ist. Daher kann der Benutzer ohne Sitzungsmanager nicht auf die CloudLink-Konsole zugreifen.
Um das IAM-Profil zu überprüfen, melden Sie sich bei AWS -> Ec2-Instanz starten -> Erweiterte Details -> IAM-Instanzprofil
Empfohlen, kein Profil unter "IAM-Instanzprofil" auszuwählen. Dies führt dazu, dass Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann.
HINWEIS: Zu diesem Zeitpunkt, an dem Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann, muss sich der Benutzer an den technischen Support wenden, um bei der Deinstallation des SSM-Agent von CloudLink-Instanzen zu helfen.
Es gibt zwei Workarounds:
Korrekturworkflow 1: Wenn der Benutzer über Session Manager Zugriff auf die CloudLink-Konsole hat.
Korrekturworkflow 2: Wenn der Benutzer keinen Zugriff auf die CloudLink-Konsole über Session Manager hat.
Korrekturworkflow 1:
1. Instanz von CloudLink.
2. Klicken Sie auf der Registerkarte "Session Manager" > auf Schaltfläche "Connect"
. 3. Sobald Sie sich mit Session Manager in der CloudLink-Konsole befinden, geben Sie sudo su
4 ein. Um den Status des auf der CloudLink-Konsole ausgeführten SSM-Agent zu überprüfen, führen Sie den folgenden Befehl
aus: "systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service"
5. Um den ausgeführten SSM-Agent in der CloudLink-Konsole aufzulisten, führen Sie den folgenden Befehl
aus: "snap list amazon-ssm-agent"
6. Um den SSM-Agent aus der CloudLink-Konsole zu entfernen, führen Sie den folgenden Befehl
aus: "snap remove amazon-ssm-agent"
Validate SSM agent is removed from CloudLink instance.
7. Wenn der SSM-Agent die CloudLink-Instanz deinstalliert, wird die Schaltfläche "Connect" deaktiviert
8. Wenn der Benutzer versucht, eine SSH-Verbindung zur CloudLink-IP-Adresse zu erstellen, wird der Benutzer zur CloudLink-Anmeldeaufforderung 9 aufgefordert
. Überprüfen Sie den Status des SSM-Agent. Überprüfen Sie, ob der Agent "Angehalten"
ist 10. Überprüfen Sie die Liste der SSM-Agents. Status gibt "No matching snaps installed" zurück.
Korrekturworkflow 2:
Session Manager ist nicht aktiviert, wenn keine IAM-Rolle ausgewählt ist. Daher kann der Benutzer ohne Sitzungsmanager nicht auf die CloudLink-Konsole zugreifen.
Um das IAM-Profil zu überprüfen, melden Sie sich bei AWS -> Ec2-Instanz starten -> Erweiterte Details -> IAM-Instanzprofil
Empfohlen, kein Profil unter "IAM-Instanzprofil" auszuwählen. Dies führt dazu, dass Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann.
HINWEIS: Zu diesem Zeitpunkt, an dem Session Manager keine Verbindung zur CloudLink-Konsole herstellen kann, muss sich der Benutzer an den technischen Support wenden, um bei der Deinstallation des SSM-Agent von CloudLink-Instanzen zu helfen.
受影响的产品
CloudLink SecureVM, CloudLink文章属性
文章编号: 000200819
文章类型: Solution
上次修改时间: 09 11月 2022
版本: 5
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。