开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何配置IAM角色为新的EC2实例启用SSM？

IAM角色是AWS Identity and Access Management（IAM）中的一种实体，用于授予AWS服务和资源访问权限。EC2实例是Amazon Elastic Compute Cloud（EC2）中的虚拟服务器。SSM是AWS Systems Manager的一项服务，用于管理和操作EC2实例。

要配置IAM角色为新的EC2实例启用SSM，可以按照以下步骤进行操作：

打开AWS管理控制台，并登录到您的AWS账户。
导航到IAM控制台。
在左侧导航栏中，选择“角色”。
点击“创建角色”按钮。
在“选择类型”页面上，选择“AWS服务”。
在“选择使用案例”页面上，选择“EC2”。
在“权限”页面上，搜索并选择“AmazonEC2RoleforSSM”策略。
点击“下一步：标记”按钮。
（可选）为角色添加标签，然后点击“下一步：审核”按钮。
在“审核”页面上，为角色提供一个名称和描述，然后点击“创建角色”按钮。

现在，您已经成功创建了一个IAM角色，接下来需要将该角色分配给新的EC2实例：

导航到EC2控制台。
在左侧导航栏中，选择“实例”。
点击“启动实例”按钮创建一个新的EC2实例。
在“配置实例详细信息”页面上，展开“高级详细信息”部分。
在“IAM角色”下拉菜单中，选择之前创建的IAM角色。
继续完成实例的其他配置，并启动实例。

现在，新的EC2实例将具有SSM的访问权限，并且可以使用AWS Systems Manager来管理和操作该实例。

推荐的腾讯云相关产品：腾讯云云服务器（CVM）和腾讯云云监控。您可以在腾讯云官网上找到更多关于这些产品的详细信息和介绍。

腾讯云云服务器（CVM）：https://cloud.tencent.com/product/cvm 腾讯云云监控：https://cloud.tencent.com/product/monitor

相关搜索:IAM角色无法为EC2实例授予权限如何将IAM角色应用到EC2实例？如何将CloudWatchLogsFullAccess附加到EKS EC2实例的IAM角色来自IAM角色的EC2实例临时凭据不起作用我如何从EC2实例本身使用PowerShell知道附加到EC2的"IAM角色“的名称？是否可以在使用Ansible Playbook的EC2实例上使用IAM角色来影响其他实例？我的EC2配置文件角色(在IAM控制台中)在哪里？如何在具有IAM角色的ec2实例上使用java访问dynamodb而无需访问凭据如何限制iam角色可以访问的ssm文档，以便使用标记开始自动化？如何向cloudwatch传入ssm参数来监控ec2实例的状态变化？尝试将ec2实例与IAM角色关联的Boto3可以使用名称，但不能使用arn 如何配置运行DPDK的EC2实例过滤弹性IP和其他ec2实例之间的流量？如何使用IAM角色身份验证从EC2上的RStudio访问S3数据？身份验证问题(403)尝试从EC2实例上的SQS队列读取，尽管通过IAM角色具有适当的权限如何在路由53中配置我的EC2实例如何在重启EC2实例后保留ProxySQL的配置？如何解决集成上配置的IAM角色或API网关没有调用集成的权限如果EC2实例是使用自动伸缩组和启动配置创建的，如何引用该实例的实例id 如何在API网关中配置API，只接受指定EC2实例的流量如何为作为弹性伸缩一部分启动的EC2实例分配角色

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

具有EC2自动训练的无服务器TensorFlow工作流程

本文将逐步介绍如何使数据管理和预测保持无服务器状态，但将训练工作加载到临时EC2实例。这种实例创建模式将基于为在云中运行具有成本效益的超参数优化而开发的一种模式。...此外，将添加创建EC2实例所需的策略： EC2 —创建并运行实例。 CloudWatch —创建，描述和启用警报，以便可以在训练完成后自动终止实例。...ECR —允许提取Docker映像（仅EC2会使用，而不是Lambda函数使用）。 IAM —获取，创建角色并将其添加到实例配置文件。...从控制台启动EC2实例并选择IAM角色时，会自动创建此配置文件，但是需要在功能内手动执行此操作。安全说明：在部署到生产环境之前，应将这些策略的范围缩小到仅所需的资源 # ......接下来，检索实例配置文件，该配置文件定义了EC2实例将使用的IAM角色。每个需要阻止的调用都使用带有await关键字的promise表单。

12.5K1 0

将SSRF升级为RCE

今天我照例要和大家分享一个新的多汁漏洞。这个问题是在一个私人客户中发现的，所以我们称之为redacted.com。探索范围。在列举客户的域为子域的时候，我发现子域[docs]。...所以我们知道[169.254.169.254]是EC2实例的本地IP地址。让我们尝试通过导航到[/latest/meta-data/]来访问meta-data文件夹。 SSRF确认。...在EC2环境上冲浪：让我们检查我们当前的角色通过导航到 [/latest/meta -data/iam/security -credentials/]....将SSRF升级到RCE：我尝试了一些潜在的开发方案通过[ssm send-command]升级失败。经过几番研究，尝试使用AWS系统管理器[ssm]命令。该角色未被授权执行此命令。...尝试使用AWS CLI运行多个命令，从AWS实例中检索信息。然而，由于现有的安全策略，大多数命令的访问都被拒绝了。

1.9K4 0

使用SSRF泄漏云环境中的Metadata数据实现RCE

本文我将向大家分享一个新的非常有意思的漏洞。利用该漏洞可以为我们泄漏云环境中的Metadata数据，并进一步的实现远程代码执行（RCE ）。...正如我们所知，[169.254.169.254]是EC2实例的本地IP地址。让我们尝试通过导航到[ latest/meta-data/]来访问元数据文件夹。 ? SSRF被确认。...让我们通过导航到[/latest/meta-data/iam/security-credentials/]来检查我们当前的角色。...SSRF利用得很好，现在让我们进一步的漏洞挖掘，看看能否将其升级为威胁性更大的“RCE” 从 SSRF 到 RCE 我尝试了一些潜在的利用场景。...通过[ssm send-command]发送命令失败之后我研究尝试使用了AWS Systems Manager [ssm] 命令。但该角色无权执行此命令。

2.4K3 0

如何使用Metabadger帮助AWS EC2抵御SSRF攻击

本质上来说，AWS元数据服务将允许用户访问实例中的所有内容，包括实例角色凭据和会话令牌等。实例元数据是有关用户的实例的数据，可以用来配置或管理正在运行的实例。实例元数据可划分成不同类别。...例如，用户可指定参数以便配置实例，也可附加简单的脚本。用户也可以使用这些数据来构建更多可通过启动时提供的配置文件来修改的通用AMI。...要随时添加一个新客户，用户只需为该客户创建一个存储桶，将客户的内容添加进去，然后启动用户的 AMI 即可。如果用户同时启动多个实例，则用户数据可供该预留中的所有实例使用。...工具要求 Metabadger需要带有下列权限的IAM角色或凭证： ec2:ModifyInstanceAttribute ec2:DescribeInstances 在对实例元数据服务进行更改时，我们应该谨慎...，并遵循AWS关于如何安全升级到v2的其他指导。

8913 0

SSM通信研究：如何拦截SSM代理流量

考虑到SSM处理身份验证的方式，如果我们可以访问EC2实例的IAM凭证，则意味着我们可以拦截EC2消息以及SSM会话。这样一来，即使是低权限用户也可以拦截这些通信。...接下来，我们还会解释为了攻击者能够拦截和修改这些通信流量，并完全阻止资源的拥有者访问EC2实例。此外，这些内容还可以帮助大家更好地了解SSM代理是如何在低级别上运行的。...我们也可以自行调用ec2messages:GetMessages，这将允许我们拦截到传入实例的EC2消息。不过这里有个小问题，SSM代理将大约每20秒就会建立一次这种连接。...我们可以通过反复打开新的连接来确保我们拥有最新的连接，通过这种方法，我们可以确保我们的连接始终是最新的，并实现EC2消息的拦截。...当用户尝试启动SSM会话（ssm:StartSession）时，控制信道将会接收请求并生成数据信道。而这条数据信道主要负责传输用户和EC2实例之间的实际通信消息。

5612 0

EasyCVR如何用api设置配置新的账号和角色？

EasyCVR作为TSINGSEE青犀视频开发的视频协议融合平台，除了可以接入RTSP、GB28181外，还通过HIKSDK、Ehome等私有协议完成与设备的对接和视频流的传输。...EasyCVR在前期更新后，能够支持帐号和角色的设定，通过此功能，运维人员管理更加便捷。本文我们介绍下EasyCVR如何用api设置配置新的账号和角色。...首先还是要调登录接口，在postman上面调用登录接口：然后再调用分组接口，要设置新的账号和角色必须要先分组（post请求）：接着再调用角色接口，配置一个新的角色（post请求）：最后再设置账号绑定角色...TSINGSEE青犀视频团队在流媒体行业丰富的开发经验，使得EasyCVR的整个开发过程非常流畅，并且平台功能仍在持续拓展中。...与其他视频平台不同的是，EasyCVR能够支持视频分析数据与多源数据融合，可通过智能分析算法挖掘价值数据，这也是EasyCVR的一个重要特点。

5822 0

如何使用AWS EC2+Docker+JMeter构建分布式负载测试基础架构

Step 5: 创建一个IAM策略（可选）假设您只需要一个由1个JMeter主节点和2个从节点组成的基础架构。在这种情况下，访问每个实例并对其进行配置（安装docker +启动容器）相对容易。...因此，我们不必访问每个实例，安装docker并一次一个实例地启动容器。能够通过“Run Command”功能在EC2实例上执行命令的唯一要求是，适当的IAM角色已与该实例相关联。...我将IAM策略命名为“ EC2Command”，并为每个新创建的实例选择了该策略（但是稍后可以通过“attach/replace role”功能将该角色分配给该实例）： ?...为现有实例设置IAM策略 ? 在实例创建时关联IAM策略当您创建角色时，请确保将“AmazonEC2RoleforSSM”策略附加到您的角色上，这样就可以了。 ?...将权限关联到IAM角色现在您可以使用“Run command”功能对多个实例批量执行脚本。这将我们带入流程的下一步。

1.8K4 0

CloudFox：一款针对云环境渗透测试的自动化安全态势感知工具

CloudFox功能介绍 1、查看AWS账户使用的是哪个地区，账户中大致有多少资源； 2、查看EC2用户数据或特定于服务的环境变量； 3、查看目标主体可执行的操作和拥有的权限； 4、查看哪些角色授信过于宽松或允许跨账户操作...源码安装该工具基于Golang开发，因此我们首先需要在本地设备上安装并配置好Go环境。...配置AWS API密钥： # aws configure --profile readonly AWS Access Key ID [None]: AKIA-[REDACTED] AWS Secret...(向右滑动，查看更多) Azure-枚举关于目标用户所有资源组计算实例的全部信息 # ....Owner subscriptions bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbbb (向右滑动，查看更多) Azure-枚举指定用户分配的全部角色

2.1K1 0

每周云安全资讯-2023年第43周

https://cloudsec.tencent.com/article/1sW4yK 4 CSA发布 | IAM在云环境下新的挑战云安全联盟大中华区发布报告《IAM在云环境下新的挑战》,围绕IAM在云中管理所涉及的挑战...https://cloudsec.tencent.com/article/1AmkZa 6 AWS 云安全检查表（云安全）本文提供了为AWS 云环境量身定制的安全检查表，该清单涵盖广泛的服务，包括 IAM...、EC2、EBS、ELBv2、VPC、S3、RDS等等云上服务。...如何在云中启用和保护 GenAI 部署，以及 Deepfakes 等 GenAI 功能如何产生新的 IAM 问题。...，为DevOps 团队带来更多麻烦。。

2602 0

资源 | Parris：机器学习算法自动化训练工具

将 ec2-keypair-name 改写为你的一个 EC2 密匙对。将 instance-type 改写为 t2.micro 或另一种小型实例类型。...以下是我使用的案例，可以使 Lambda 函数启动一个新的 CloudFormation 堆栈、从 S3 bucket 中获取对象，以及对 EC2 实例进行大量运算： { "Version":...一般而的报错很可能是因为 Lambda 函数的 IAM 角色中缺少 IAM 许可。 4....如果处于某些原因你们并没有配置训练项目名，那么栈的名字应该采用默认名「parris-stack」。 5. 切换到 AWS 控制台的 EC2 实例视图，以查看你登录的新实例。...由于终止和安装新实例与更新原有的实例相比，不需要额外的开销，因此算法训练最佳实践是终止栈，然后在需要重新训练时重新安装栈。 5.

2.9K9 0

AWS 容器服务的安全实践

如果您想要进行容器的无服务器计算，您可以选择AWS Fargate模式，如果您想要控制计算环境的安装，配置和管理，您可以选择Amazon EC2模式。...而对于EKS则需要同时了解和配置IAM和Kubernetes RBAC，就是基于角色的访问控制。IAM负责将权限分配到AWS服务，而RBAC负责控制资源的权限。...另外，通过 Amazon EKS 集群上服务账户 (service account)的 IAM 角色，您可以将 IAM 角色与 Kubernetes 服务账户关联。...EKS有一个功能可以启用这些日志，我们建议启用并且将它们发送到Amazon CloudWatch进行进一步的处理并发现洞察。第三，我们看一下网络和防火墙的配置，这也是容器安全实践中最重要的部分。...Calico是EKS官方文档中介绍的一种主流的方式。 ? 一种既可以分配EC2实例级IAM角色，又可以完全信任基于安全组的方式，是为不同的Pod使用不同的工作节点集群，甚至是完全独立的集群。

2.7K2 0

AMBERSQUID 云原生挖矿恶意软件疑似与印尼黑客有关

Sysdig 的研究人员发现了一种新的云原生挖矿攻击行动，并将其命名为 AMBERSQUID。...AMBERSQUID 攻击云服务但不会触发 AWS 申请更多资源的请求，与向 EC2 实例发送垃圾邮件类似。...，使管道每分钟启动一个新的构建。...用户可以指定在创建或启动实例时运行的 Shell 脚本，这也是攻击者利用其运行挖矿程序的地方。攻击者运行的 note.sh会创建类型为 ml.t3.medium 的 SageMaker 实例。...配置中的 OnStart 字段就是每次启动实例需要运行的 Shell 脚本，其中插入了 base64 编码的命令来运行挖矿程序。

3033 0

Pacu工具牛刀小试之基础篇

背景介绍 ✚ ● ○ AWS引发的安全事件: 配置错误的AWS云存储实例引起的数据泄露已变得非常普遍，多得数不胜数，此处在前两年中各找一例较大的数据泄露事件。...上搭建服务器和在S3上创建了相应的存储桶，并在IAM上设置了对应的IAM管理用户Test以及EC2和S3的管理用户Tory，以供演示Pacu工具可以获取到信息。...关于AWS的部分介绍 ✚ ● ○ AWS IAM----提供用户设置以及授权 AWS EC2----提供云服务器 AWS S3----提供网盘 IAM所创建的用户，是用于控制EC2服务以及S3服务，可具体至服务中的一些权限控制...各字段（从上往下）依次为用户名、角色名、资源名称、账户ID、用户ID、角色、组、策略、访问秘钥ID、加密后的访问秘钥、会话token、秘钥别名、权限（已确定）、权限。...为了获取EC2的信息，直接使用枚举类的功能模块： ec2__enum 操作之前，如果我们忘记了如何使用该模块，也没关系，可以利用Help进行获取相关信息。 ?

2.6K4 0

【翻译】研究表明--保护公共AWS SSM文件的必要性

默认情况下，SSM文档是私有的，但可以配置为与其他AWS账户共享或公开共享。AWS提供了共享SSM文档的最佳实践。...Check Point CloudGuard研究团队分析了由其所有者配置为公开共享的SSM文档。研究团队发现，出现了一些对该服务的基本误解，同时缺乏正确的参数使用（如AWS最佳实践中定义的）。...由于SSM文档包含了基础设施及其操作的摘要，它可以成为有用的情报来源，即使SSM文档不包含任何硬编码的秘密。例如，下面的SSM文档包含一个AWS IAM用户名。IAM用户的包含本身并不产生安全风险。...保持备份程序的隐私性攻击者可以从公共SSM文件中获得的最有价值的信息可能是与AWS账户中的部署和备份有关的程序。下面介绍的流程是不需要的数据暴露的一个实例。...不要分享部署过程和备份程序审查SSM文件中包含的任何AWS资源，以确保其配置的安全性。

4902 0

基于AWS EKS的K8S实践 - 集群搭建

创建集群配置集群，主要用来指定集群的名称和集群服务角色 2....准备EC2的role 将以下内容复制到名为 ec2-trust-policy.json 的文件中，并创建角色test-eks-manage-role { "Version": "2012-10-17...\ --role-name test-eks-manage-role 创建EC2 EC2在创建的时候一定要绑定test-eks-manage-role角色，我这里选择操作系统是ubuntu。...，这里主要指定节点组的名称，IAM的角色，然后指定启动模板，如下图： 2....节点组配置，这里主要指定节点组里面节点的数量大小，实例类型等参数，如下图：通过上图可以看到我们的模板中已经指定好了AMI、磁盘、实例类型，这里所以是灰色的无法选择。 3.

4974 0

零停机给Kubernetes集群节点打系统补丁

打补丁的过程包括构建新的 Amazon Machine Image (AMI)，镜像中包含了所有更新的安全补丁。新的 AMI 用于更新节点组，每一次需要启动一个新的 EC2 实例。...当新实例通过运行健康状况检查后，旧实例将被终止。这个过程将会持续下去，直到节点组中的所有 EC2 实例都被新实例替换，这个过程也称为滚动更新。然而，这个打补丁的过程给我们带来了一个挑战。...隔离实例可防止在被终止的实例上启动新的 Pod。隔离实例后，该实例所有的 Pod 都将被驱逐，并放在一个正常的节点上。 Kubernetes 负责为健康实例提供新的 Pod。...4RBAC(基于角色的访问控制) 为了能从 AWS Lambda 函数访问 Kubernetes 资源，我们创建了一个 IAM 角色、一个clusterrole和一个clusterrolebinding...IAM 角色用于授予访问 ASG 的权限，clusterrole和clusterrolebinding为node-drainer Lambda 函数授予驱逐 Kubernetes Pod 的权限。

1.2K1 0

每周云安全资讯-2022年第31周

https://mp.weixin.qq.com/s/PJ5YqSxHttgjKZXVkxqIcQ 2 详细案例教会你如何在AWS中链接漏洞getshell和访问数据本文为旧金山湾区的OWASP会上演讲...，关于在AWS EC2实例中使用错误配置、公开允许的IAM策略和应用程序安全漏洞getshell https://mp.weixin.qq.com/s/rI72ir5B52FmNTDC526LxA 3...攻击面管理解决方案可能成为大型企业的首要投资项目 https://mp.weixin.qq.com/s/et5gzhOt1uQjCw6RJ7hFoQ 7 无处不在的 AWS IAM 角色，无处不在的...IAM 风险 AWS 最近宣布了一项新的革命性身份和访问管理 (IAM) 功能 – IAM Roles Anywhere。...此功能允许 AWS 账户之外的工作负载在您的 AWS 账户中担任角色并访问 AWS 资源。

1.2K4 0

跟着大公司学数据安全架构之AWS和Google

尤其体现在资源的细颗粒程度，例如我要对EC2进行IP分配，这就是一个资源，而IAM针对这个资源的策略可以有允许、禁止、申请等不同的资源级权限，再进一步，要能够根据不同的角色甚至标签进行。...再比如你在Oracle启用了加密，主加密密钥可以存在HSM中，因为HSM是个硬件，所以具有更高的安全性。...观察Macie的报警其实也很有意思，可以作为实战中的规则： • 配置合规性 – 与合规性控制的内容，策略，配置设置，控制和数据日志以及修补程序相关。...IP地址调用API • API从已知的恶意IP地址被调用 • EC2实例正在执行出站端口扫描 • 调用通常用于发现与AWS账户中各种资源相关的权限的API • 调用通常用于启动计算资源（如EC2实例）的...IAM用户发生异常控制台登录 • 启动了一个不寻常类型的EC2实例 • 与比特币矿池进行通信六、总结关于两家的文档，其实还有更丰富的细节值得推敲学习。

1.9K1 0

如何使用CloudSpec验证你的云端资源安全性

该工具支持通过相当简单的语法，来验证云端资源的配置情况，以避免出现那些可能导致云服务可用性受损或安全性问题出现的错误问题。...项目介绍 CloudSpec支持验证云服务提供商托管的资源，这种资源可以是EC2实例或SES规则，实际上CloudSpec可以对云服务提供商实现的任何内容进行验证。资源具有属性和关联。...属性定义资源的形式或配置，而关联定义的是它与其他资源的关系。使用CloudSpec，我们不仅可以验证资源的配置，还可以验证其关联资源的配置。比如说，我们以一个EC2实例为例。...我们不仅可以验证EC2实例是否属于特定实例类型，或者是否启用了删除终止选项，还可以验证其附加卷的大小、其子网的CIDR块或其关联资源中的任何其他属性，或其关联资源的关联资源等等。...镜像，并使用了绑定的专用IAM角色，你就可以忽略上述代码中的AWS环境变量了。

8611 0

云环境中的横向移动技术与场景剖析

由于攻击者已经获取到了相对强大的IAM凭证，因此他们将能够采取另一种方法来访问EC2实例中的数据。...威胁行为者首先可以使用自己的SSH密钥集创建了一个新的EC2实例，然后再使用CreateSnapshot API创建了其目标EC2实例的EBS快照，最后再加载到他们所控制的EC2实例上，相关命令代码具体如下图所示...只要不使用OS Login服务，威胁行为者就可以将计算引擎实例配置为将其SSH密钥存储在实例元数据中。这些SSH密钥存储在实例元数据中，便于访问各个实例。...与EC2实例连接技术相比，这种方法具有更大的限制，因为它需要使用用户密码或其他功能（如SysRq）对实例的操作系统进行预配置。...Manager）服务的IAM权限，并以该服务管理的实例为目标。

1461 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭