标签: aws-ec2-instance-connect

我创建了一个用户并将公钥复制到.ssh/authorized_key该新用户，并且在保存文件后重新启动 sshd 服务并将其设置pubkeyauthentication为 yes 。/etc/ssh/sshd_config

当我尝试从新用户进行 ssh 时，出现错误：

Permission denied (publickey,gssapi-keyex,gssapi-with-mic)

我是否错过了从新用户帐户进行 ssh 的任何步骤？

当我检查 sshd.servive 的状态时，我看到错误：

AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys xxxx SHA256:84NyibLXFppE4BGIM+1e5iO...status 22

我的实例连接在本地计算机上的 CLI 中工作正常，因为我已将我的 IP 添加到 ec2 实例的安全组中以进行入站 ssh 访问。

但是，EC2 控制台中基于浏览器的版本似乎需要我添加所有互联网以进行入站访问才能使其正常工作！我确信它只需要特定的 AWS IP 范围，但我找不到任何文档来告诉我它们是什么。另外，我不知道如果这些范围是动态的或其他什么的话，维持这可能会有多大的痛苦。

有人可以帮忙吗？

谢谢

我正在使用新的（2019 年 6 月）EC2 浏览器 SSH 连接功能将 shell连接到 EC2。这非常方便，因为我在 Windows 上使用 AWS auth 配置 PuTTy 很烦人，而传统浏览器 SSH 产品从来不适合我。

我可以通过 AWS 控制台连接到 EC2 实例，如下所示

如果为任何 IP 地址启用了 SSH，它就可以完美运行。但是，当我将 SSH 安全组设置为我的 IP 地址时，SSH shell 只是挂起。

我已经确认这是我正确的公共 IP 地址，并且我也尝试过使用我的私有 IPV4 地址 - 不走运。但是，将 CIDR 块设置为任何位置时，连接工作正常。

我想也许这个新功能在某处使用了代理外壳，所以我必须允许访问这个中介的地址。

是在我的家庭办公室桌面上执行此操作，而不是从企业或复杂环境中执行此操作，并使用我的根 AWS 凭证（是的，我知道这是最糟糕的做法）。

如何限制用户使用 EC2 Instance Connect 连接到我的 Linux 实例？

我尝试设置策略并附加用户以使用 EC2 Instance Connect 连接新创建的 Amazon Linux 2 实例：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "arn:aws:ec2:eu-west-2:111122223333:instance/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSSHPublicKey",
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Owner": "Bob"
                }
            }
        }
    ]
}

但是，这似乎不起作用。

目前，每个人都可以访问新创建的实例。

因此，我想为该特定实例设置一个策略，仅指定的 IAM 用户可以访问它，其他人则不能。

有办法实现这一点吗？