CloudLink：禁用 AWS 控制台对 CloudLink 操作系统的访问

戴尔建议从 CloudLink 实例中删除 SSM 代理，因为这将导致安全漏洞。

在 AWS 中，SSM 代理预安装在所有受支持的操作系统上，以允许直接访问操作系统控制台。

受影响的产品和版本：在 AWS 中部署时，CloudLink 的所有版本直到 7.1.3。

要禁用通过会话管理器登录 CloudLink 操作系统，管理员必须从 CloudLink 实例卸载 SSM 代理。

有两种解决方法：
补救工作流 1：   当用户可以通过会话管理器访问 CloudLink 控制台时。
补救工作流 2：   当用户无法通过会话管理器访问 CloudLink 控制台时。


补救工作流 1：

1.    CloudLink 实例。


2.    在 Session Manager 选项卡 ->单击 Connect 按钮


3。    使用会话管理器进入 CloudLink 控制台后，输入 sudo su


4。    要检查在 CloudLink 控制台上运行的 SSM Agent 的状态，请运行以下命令
“systemctl status snap.amazon-ssm-agent.amazon-ssm-agent.service”


5.    要列出 CloudLink 控制台上运行的 SSM 代理，请运行以下命令
“snap list amazon-ssm-agent”


6.    要从 CloudLink 控制台中删除 SSM 代理，请运行以下命令
“snap remove amazon-ssm-agent”

验证 SSM 代理已从 CloudLink 实例中删除。

7.    当 SSM 代理卸载 CloudLink 实例时，“connect”按钮将被禁

用 8。    当用户尝试通过 SSH 访问 CloudLink IP 地址时，需要用户访问 CloudLink 登录提示


9。    检查 SSM 代理的状态。  验证代理是否“已停止”


10。    检查 SSM 代理的列表。  状态返回“No matching snaps installed”。


补救工作流 2：
未选择 IAM 角色时，会话管理器未启用。因此，如果没有会话管理器，用户将无法访问 CloudLink 控制台。
要验证 IAM 配置文件，请登录到 AWS -> 启动 EC2 实例 ->高级详细信息 -> IAM 实例配置文件

建议不要在“IAM 实例配置文件”下选择任何配置文件，这将导致会话管理器无法建立与 CloudLink 控制台的连接。


注意：此时，当会话管理器无法建立与 CloudLink 控制台的连接时，用户必须联系 技术支持 以帮助从 CloudLink 实例卸载 SSM 代理。