AWS System Manager对话支持连接端口转发功能

AWS宣布在其System Manager的对话管理器（Session Manager）中支持连接端口转发功能（Port Forwarding），让用户不需要自行于服务器上启动SSH服务，也不用打开安全群组的SSH连接端口或是使用堡垒主机，就能在私密子域名间创建安全信道。

当企业将应用程序搬迁到AWS云计算，通常需要连接EC2执行各种管理以及操作工作，而为了减少攻击面，AWS建议企业使用堡垒主机，使其成为互联网的主要访问点。因此当企业要连接EC2实例时，就必须要先使用SSH/RDP连接到堡垒主机，再从堡垒主机连接到目标EC2实例。

而AWS的System Manager的对话管理器便是用来代替堡垒主机，减少用户管理堡垒主机的负担以及额外成本，也不需要在EC2上执行SSH，就可以让用户安全地连接EC2实例。用户可以将System Manager代理安装到实例上，并使用IAM授权调用Systems Manager API，使用AWS管理控制台或是AWS命令行接口工具，安全地访问Linux或Windows的EC2实例。

之所以现在System Manager的对话管理器，还要提供连接端口转发功能，便是要来支持另一种SSH技术使用案例，称为SSH信道（SSH Tunneling）的应用，SSH信道可让用户的计算机，和没有暴露于公开互联网的远程服务，创建安全信道，可用在像是当用户使用AWS的EC2实例执行网页服务器，以作为私人文件传输之用的案例。

由于服务器上文件都是私人的，当用户不希望其他人也能够访问这个网页服务器，便能将网页服务器配置绑订在127.0.0.1，且只要不把连接端口增加到实例的安全群组，就只有本地端的程序才能访问网页服务器。

当用户想要从远程连接网页服务器，则需要创建SSH信道，在自己的计算机上打开连接端口9999，并将实例上所有内容转发到EC2实例localhost:80，当信道创建了，用户可以在浏览器上输入localhost:9999，连接私人网页服务器。

System Manager的对话管理器支持连接端口转发功能后，用户就不需要自己在服务器上创建SSH服务。连接端口转发与SSH信道功能类似，可以让用户在自己的计算机转发流量到实例上打开的连接端口，以连接实例中执行的服务器应用程序。System Manager对话管理器的API访问以及连接端口转发，皆使用IAM政策，因此用户可以控制组织中有权限创建信道的成员。

连接端口转发同时支持Windows和Linux实例，已经可在所有支持AWS Systems Manager的区域使用。连接EC2实例不需要额外费用，但是用户需要支付从NAT网关或是VPC私密连接（VPC Private Link）往外流出的带宽费用。