我在私有子网中有一个实例,并且有一个允许任何入站访问的安全组。我可以使用会话管理器连接到它。
如果我仅限制对端口 22 的入站访问,我就无法再连接到它。
文档说“您可以使用此功能连接到托管节点而无需打开入站端口”和“您可以关闭节点上的入站端口”但是当我尝试时这似乎并不正确。
我想将入站流量限制到最低限度,但只有完全开放才能连接。需要哪些入站规则才能允许 Session Manager 连接?
答案1
会话管理器有点麻烦。设置说明如下这里。
关键的连接性是实例需要能够连接到 TCP:443 上的几个 AWS 端点。它还需要一组特定的权限。
入站访问应该没有区别。没有入站访问时它应该可以正常工作。会话管理器的工作方式是实例上的代理连接到 AWS 端点,当您需要会话时,它会使用实例已经建立的连接。换作您,我会查看当您修改入站访问时是否还有其他变化。
来自文档:
- ec2messages.region.amazonaws.com
- ssm.region.amazonaws.com
- ssmmessages.region.amazonaws.com
您连接到的托管节点还必须允许 HTTPS(端口 443)出站流量到以下端点: