AWS Session Manager - позволяет выполнить подключение к Linux EC2 инстансу без необходимости открытия SSH порта.

Один из простых и безопасных способов со стороны AWS, для подключения к EC2 инстансу не открывая SSH порт как в настройках Security Group, так и в Linux Firewall'е - AWS Session Manager.

Необходимо создать роль и навесить на нее политику - "AmazonSSMManagedInstanceCore"

Пример создания одного AWS VPC Endpoint (com.amazonaws.us-east-1.ssm), чтобы была возможность подключаться через AWS Session Manager в AWS консоли к private IPv4 адресу EC2 инстанса.

Необходимо создать 3 endpoint для полноценной работы сервиса:

com.amazonaws.us-east-1.ssm

com.amazonaws.us-east-1.ssmmessages

com.amazonaws.us-east-1.ec2messages

В примере выбрана существующая Security Group default в VPC, но лучше создать отдельную Security Group для асоциации с VPC Endpoint.

Важно! Необходимо использовать DNS серверы AWS Route53, иначе DNS имена Private Endpoint не смогут резолвиться.

Так же необходимо в асоциированной Security Group с VPC Endpoint открыть Inbound трафик с нашего VPC CIDR range 172.31.0.0/16 на HTTPS (443) port

Для примера выберем образ Amazon Linux, потому что в нем точно установлен - amazon-ssm-agent.service, в некоторых других дистрибутивах Linux потребуется дополнительно установить данный агент самостоятельно по инструкции от AWS к выбранному дистрибутиву (https://repost.aws/knowledge-center/install-ssm-agent-ec2-linux), чтобы AWS Session Manager в итоге был запущен на сервере.

Создание EC2 без ключа показано лишь для примера!

User Data (для автоматического выполнения установки ssm-agent и его включения):

#!/bin/bash

cd /tmp

sudo dnf install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm

sudo tee /etc/amazon/ssm/amazon-ssm-agent.json > /dev/null <<EOF

{

"agent": {

"region": "us-east-1",

"privateEndpoint": "vpce-033d1e3cdeac5fa9b"

}

EOF