开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

使用CloudFormation模板的基于IAM的ssh to EC2实例

是一种通过AWS CloudFormation服务创建和管理基础设施的方法。它结合了AWS Identity and Access Management（IAM）和EC2实例，提供了一种安全且可自动化的方式来管理EC2实例的SSH访问。

IAM是AWS的身份验证和访问管理服务，它允许您控制对AWS资源的访问权限。通过IAM，您可以创建和管理用户、组和角色，并为它们分配适当的权限。在这种情况下，我们可以使用IAM角色来控制对EC2实例的SSH访问。

CloudFormation是AWS提供的一种基础设施即代码（Infrastructure as Code）服务，它允许您以声明性的方式定义和部署AWS资源。使用CloudFormation模板，您可以描述所需的资源和其配置，然后CloudFormation将自动创建和配置这些资源。

为了实现基于IAM的SSH访问，您可以使用CloudFormation模板来创建以下资源：

IAM角色：创建一个具有适当权限的IAM角色，用于允许SSH访问EC2实例。您可以为角色分配适当的IAM策略，以限制访问权限。
EC2实例：创建一个EC2实例，并将IAM角色与该实例关联。通过将IAM角色与实例关联，实例将具有与该角色关联的权限。
安全组：创建一个安全组，配置允许SSH访问的入站规则。您可以指定允许SSH访问的来源IP范围。

通过使用CloudFormation模板创建这些资源，您可以实现基于IAM的SSH访问。这种方法的优势包括：

安全性：通过使用IAM角色和安全组，您可以实现更加安全的SSH访问。只有具有适当权限的用户才能访问EC2实例。
自动化：使用CloudFormation模板，您可以自动创建和配置所需的资源，无需手动干预。这使得部署和管理基础设施变得更加简单和可靠。
可扩展性：通过使用CloudFormation，您可以轻松地扩展和管理多个EC2实例。您可以在模板中定义多个实例，并使用循环或其他技术来创建它们。
可追溯性：通过使用CloudFormation，您可以跟踪和管理基础设施的变化。您可以查看模板的版本历史记录，并了解每个版本的更改。

推荐的腾讯云相关产品和产品介绍链接地址：

腾讯云云服务器（CVM）：https://cloud.tencent.com/product/cvm
腾讯云访问管理（CAM）：https://cloud.tencent.com/product/cam
腾讯云云原生应用引擎（TKE）：https://cloud.tencent.com/product/tke
腾讯云云数据库MySQL版：https://cloud.tencent.com/product/cdb_mysql
腾讯云云存储（COS）：https://cloud.tencent.com/product/cos
腾讯云区块链服务（BCS）：https://cloud.tencent.com/product/bcs
腾讯云物联网通信（IoT Hub）：https://cloud.tencent.com/product/iothub
腾讯云人工智能（AI）：https://cloud.tencent.com/product/ai
腾讯云移动开发（移动推送、移动分析）：https://cloud.tencent.com/product/mobile
腾讯云音视频处理（VOD、直播、短视频）：https://cloud.tencent.com/product/vod

相关搜索:cloudformation堆栈使用的IAM角色如何为基于堆栈状态的Cloudformation创建IAM策略？包含EC2实例的EBS卷的IAM策略如何在Cloudformation模板中创建可变数量的EC2实例资源？在IAM策略中限制EC2实例的类型在CloudFormation模板中，如何使用已部署的EC2实例的命令输出作为堆栈输出？是否可以在使用Ansible Playbook的EC2实例上使用IAM角色来影响其他实例？如何通过CloudFormation设置EC2实例根卷的标签我如何从EC2实例本身使用PowerShell知道附加到EC2的"IAM角色“的名称？如何配置IAM角色为新的EC2实例启用SSM？来自IAM角色的EC2实例临时凭据不起作用如何使用CloudFormation脚本更新EC2实例中的application.properties文件？拒绝将现有实例升级到特定ec2实例类型的IAM策略不使用堡垒的私有网络内网中的ssh ec2实例将已有弹性公网in关联到CloudFormation中的EC2实例如何将CloudWatchLogsFullAccess附加到EKS EC2实例的IAM角色如何使用cloudformation创建具有s3权限的IAM用户？EC2实例的Sagemaker使用用于创建EC2的亚马逊网络服务CloudFormation模板-意外错误使用引用了另一个模板的模板引导EC2实例

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

资源 | Parris：机器学习算法自动化训练工具

选自GitHub 机器之心编译参与：刘晓坤、路雪、蒋思源 Parris 是一个自动化训练机器学习算法的工具。如果各位读者经常需要构建并训练机器学习模型，且花费很多时间来设置运行服务器，使用远程登录服务以监控进程等。那么这个工具将对大家十分有帮助，甚至我们都不需要使用 SSH 访问服务器以完成训练。机器之心简要介绍了该工具，更详细的内容请查看该 GitHub 项目。项目地址：https://github.com/jgreenemi/Parris 安装我们需要一个 AWS 账户，并将 AWS 证书加载到工

09

AMBERSQUID 云原生挖矿恶意软件疑似与印尼黑客有关

Sysdig 的研究人员发现了一种新的云原生挖矿攻击行动，并将其命名为 AMBERSQUID。攻击针对不太常用的 AWS 服务，如 AWS Amplify、AWS Fargate 和 Amazon SageMaker。这些不常见的服务往往意味着其安全性也会被忽视，AMBERSQUID 可能会让受害者每天损失超过 1 万美元。

03

具有EC2自动训练的无服务器TensorFlow工作流程

机器学习训练工作通常是时间和资源密集型的，因此将这一过程整合到实时自动化工作流程中可能会面临挑战。

01

云环境中的横向移动技术与场景剖析

本文将对云端环境中的横向移动技术和相关场景进行深入分析和研究，并给大家展示研究人员在云环境中观察到的一些威胁行为。云端环境中的横向移动可以通过利用云API和对计算实例的访问来实现，而云端级别的访问可能会扩展到后者。

01

在K8s上轻松部署Tungsten Fabric的两种方式

首先介绍下如何在AWS上使用Kubernetes编排的Tungsten Fabric集群部署沙盒，15分钟就可以搞定。Tungsten Fabric集群由部署节点、一个控制器节点、两个作为EC2 VM运行的计算节点组成。

04

Nebula云渗透工具

Nebula是一个云和DevOps渗透测试框架，它为每个提供者和每个功能构建了模块，截至 2021年4月，它仅涵盖AWS，但目前是一个正在进行的项目，有望继续发展以测试GCP、Azure、Kubernetes、Docker或Ansible、Terraform、Chef等自动化引擎

03

使用 AWS CDK Python 从零开始构建 EKS 集群

上篇文章《AWS CDK | IaC 何必只用 Yaml》笔者介绍了 AWS CDK 的概念和基本使用方法，本篇文章就来使用 CDK 在 AWS 从零开始构建一个全新的 KES 集群，实际感受一下使用 AWS CDK 创建和管理云资源的简单和便捷。

01

Fortify软件安全内容 2023 更新 1

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合提供支持，包括 Fortify 静态代码分析器（SCA）和 Fortify WebInspect。如今，Fortify 软件安全内容支持 30 种语言的 1，399 个漏洞类别，涵盖超过 100 万个单独的 API。

03

跟着大公司学数据安全架构之AWS和Google

近年来数据泄漏的事件层出不穷，网上可以搜到大量的数据泄漏新闻。从业者也都明白，数据泄漏只是一个结果，而原因有很多种，可能是一个越权漏洞，也可能是一个弱口令，有N种可能都会导致泄漏。传统的数据安全保障体系为什么没能有效遏制数据泄漏？是方法论出错了，还是执行不到位？带着这个问题，笔者研究了两家云服务厂商，试图从框架上寻找可借鉴的地方。结论是，有可借鉴的地方，但仍然不足以保证数据安全。

01

基于AWS EKS的K8S实践 - 集群搭建

基于AWS EKS的K8S实践系列文章是基于企业级的实战文章，一些设置信息需要根据公司自身的网络等要求进行设置，如果大家有问题讨论或咨询可以后台私信我或者加入知识星球问我，知识星球的加入方式在文章末尾。

04

在AWS云上的SAP

虽然最近亚马逊在迁离Oracle的数据库，使用Aurora PostgreSQL导致Prime Day促销日出现故障，但这似乎并不影响Amazon Aurora 数据库的推进，并且亚马逊一直在说Amazon Aurora兼容MySQL和PostgreSQL，是一种将数据库迁移到云的优秀工具。可见其要脱离Oracle的决心。而SAP也做出了同样的事情，在以前的SAP ERP系统里，SAP一直使用着别人的数据库，比如Oracle，后来SAP推出了HANA内存数据库，在S/4 HANA系列版本中，成功的使用了自己研发的数据库。可以看出这两家企业都想离开Oracle，所以合作是必然的事。

01

《Python分布式计算》第5章云平台部署Python （Distributed Computing with Python）云计算和AWS创建AWS账户创建一个EC2实例使用Amazon S3存

上一章介绍了创建Python分布式应用的Celery和其它工具。我们学习了不同的分布式计算架构：分布任务队列和分布对象。然而，还有一个课题没有涉及。这就时在多台机器上部署完成的应用。本章就来学习。这里，我们来学习Amazon Web Services (AWS)，它是市场领先的云服务产品，以在上面部署分布式应用。云平台不是部署应用的唯一方式，下一章，我们会学习另一种部署方式，HPC集群。部署到AWS或它的竞品是一个相对廉价的方式。云计算和AWS AWS是云计算的领先提供商，它的产品是基于互联网的按需计算

06

TF+K8s轻松上手｜TF Carbide评估指南--准备篇

Tungsten Fabric项目是一个开源项目协议，它基于标准协议开发，并且提供网络虚拟化和网络安全所必需的所有组件。项目的组件包括：SDN控制器，虚拟路由器，分析引擎，北向API的发布，硬件集成功能，云编排软件和广泛的REST API。

03

揭秘亚马逊内部与众不同的软件开发系统

作者 | Gergely Orosz 译者 | 平川策划 | Tina 本文最初发布于 Gergely Orosz 的个人博客。亚马逊有大量的内部系统。作为软件工程师和工程经理，下面这些值得了解一下。当作为 SDE（软件开发工程师）或 SDM（软件开发经理）加入时，你必须学会使用亚马逊自定义的技术栈，这和 AWS 客户所使用的技术栈有着惊人的差异。下面这些是你可能会遇到的系统。与 SDE 密切相关的内部系统 Code：代码搜索和 VCS（Git）。 Crux：亚马逊的代码评审系统。 B

01

（译）Zalando 是如何管理 140 多个 Kubernetes 集群的

最近我接到一个问题：“你是如何管理这么多 Kubernetes 的？”。本文试图揭示 Zalando 在 AWS 管理 140 多个 Kubernetes 集群的秘密。

02

用于Web爬虫解决方案的无服务器体系结构

对无服务器体系结构感兴趣，那么你可能已经阅读了许多相互矛盾的文章，并且想知道无服务器体系结构是经济高效还是昂贵的。我想通过对网络抓取解决方案的分析来消除有关有效性问题的疑虑。

02

蜂窝架构：一种云端高可用性架构

蜂窝架构是一种有助于在多租户应用程序中实现高可用性的设计模式。其目标是在设计应用程序时将所有组件部署到一个完全自给自足的隔离“单元”中，然后创建许多这种“单元”的离散部署，它们之间没有任何依赖关系。

01

将SSRF升级为RCE

今天我照例要和大家分享一个新的多汁漏洞。这个问题是在一个私人客户中发现的，所以我们称之为redacted.com。探索范围。在列举客户的域为子域的时候，我发现子域[docs]。我发现子域[docs]。我出来到这个子域[docs.redact.com]。寻找带外资源负载。 [docs]子域显示了一些文件和统计资料。当点击一个统计的照片时，我看到了一种奇怪的，但不是一个神奇的链接：我首先想到的是把[url]的值改为generaleg0x01.com 然后我注意到了[mimeType]参数，所以编辑

04

如何使用Metabadger帮助AWS EC2抵御SSRF攻击

Metabadger是一款功能强大的SSRF攻击防护工具，该工具可以帮助广大研究人员通过自动升级到更安全的实例元数据服务v2（IMDSv2），以防止网络犯罪分子对AWS EC2发动SSRF攻击。

03

ec2安装CloudWatchAgent

一、背景二、创建IAM角色和用户三、配置CloudWatch代理日志保留策略四、下载并安装代理安装包五、创建CloudWatch代理配置文件六、运行CloudWatchAgent参考

02

Pacu工具牛刀小试之基础篇

随着时间的高速发展，社会的不断进步……亚马逊公司推出了AWS云计算平台，有越来越多公司或是大佬们的首选，为了能够跟得上大佬们的步伐，斗哥也决定入坑了。正所谓工欲善其事，必先利其器，因此，斗哥想先向大家介绍一款工具----Pacu（一款基于AWS渗透测试的框架）。

04

MetaHub：一款针对漏洞管理的自动化安全上下文信息扩充与影响评估工具

在该工具的帮助下，广大研究人员可以完善漏洞管理工作流，并根据当前安全上下文来扩充安全分析信息，从而更好地评估安全风险所带来的影响。MetaHub提供了一系列技术方法来枚举、管理和输出我们的安全发现，以更好地对事件进行调查，并于其他工具集成。该工具支持以单独的CLI工具使用，或在自动化工作流中使用。该工具还支持不同的输出，其中包括JSON、HTML、XLSX和CSV。

01

如何使用Threatest测试端到端威胁检测规则的有效性

关于Threatest Threatest是一个基于Go开发的安全测试框架，该框架可以帮助广大研究人员测试端到端威胁检测规则的有效性与可用性。 Threatest允许我们使用各种渗透测试技术对目标进行安全检测，并以此验证是否能够触发期望的安全警报。检测工程从广义上讲，检测工程是识别与组织相关的威胁、深入了解它们并提出可靠的策略来检测它们的学科。尽管没有标准化流程，但检测工程通常遵循几个阶段：构思：哪些攻击技术与我们的组织相关？研究：攻击技术是如何工作的？它生成什么日志或遥测数据？收集

03

使用SSRF泄漏云环境中的Metadata数据实现RCE

本文我将向大家分享一个新的非常有意思的漏洞。利用该漏洞可以为我们泄漏云环境中的Metadata数据，并进一步的实现远程代码执行（RCE ）。

03

CloudFox：一款针对云环境渗透测试的自动化安全态势感知工具

CloudFox是一款针对云环境渗透测试的自动化安全态势感知工具，该工具可以帮助广大研究人员以自动化的形式在自己并不熟悉的云环境中获得环境安全态势感知。该工具是一个开源的命令行工具，旨在帮助渗透测试人员和红队安全专业人员在云基础设施中找到可利用的攻击路径，并以此来提升云端环境的安全性。

01

零停机给Kubernetes集群节点打系统补丁

Salesforce 的 Einstein Vision 和语言服务部署在 AWS Elastic Kubernetes Service(EKS) 集群上。其中有一个最主要的安全和合规性需求，就是给集群节点的操作系统打补丁。部署服务的集群节点需要通过打补丁的方式进行系统的定期更新。这些补丁减少了可能让虚拟机暴露于攻击之下的漏洞。

01

chmod 用户家目录需谨慎

ec2 aws主机，sudo -i 切换用户到root 修改了一个ec2-user目录下的模板文件。纯手贱执行了一下：

03

基于AWS EKS的K8S实践 - 如何打通云企业网集群内外服务调用

service 通常用作集群内服务之前的通信，ingress 通常用于暴露给集群外的服务使用。

03

弹性 Kubernetes 服务：Amazon EKS

Amazon EKS（Amazon Elastic Kubernetes Service）是一项托管服务，允许您在 AWS 云上运行 Kubernetes，而无需设置、管理或维护自己的控制平面和节点。

02

AWS Cloudformation 之 VPC简单架构

本架构包含VPC简单架构，于2020年2月27日编写并测试可用。架构中拥有VPC一个，内含公有子网、私有子网各2个，其中，公有子网流量通过IGW互联网网关通信，私有子网通过NAT与外界网络通信（NAT已绑定EIP），路由表分为公有子网路由表（table1）和私有子网路由表（table2），均含route。特此记录，供后期使用！

02

创建 EKS 管理员

EKS 管理员不仅需要登录管理控制台，也需要通过 eksctl 管理集群，还需要能够管理 EC2 和 CloudFormation 等资源，所以需要较高的权限。

01

SSM通信研究：如何拦截SSM代理流量

在这篇文章中，我将跟大家分享我在利用SSM代理通信实现后渗透利用方面所作的一些研究。需要注意的是，我这里指的并不是SSM代理或SSM中的安全漏洞。

02

AWS负载均衡器侦听转发规则配置

在VPC架构实现高可用的情况下，通过elb负载均衡器针对不同目标组的不同应用设定转发规则，从而实现利用负载均衡器的A记录+端口/配置的PATH路径访问到相应目标组的主机应用上。

03

走好这三步，不再掉进云上安全的沟里！

一直以来，公有云安全是横亘在广大用户面前的一道鸿沟。云安全（Cloud Security）是指用于控制云计算的安全性、合规性和其他使用风险的过程、机制和服务。公有云提供商们都强调安全是其最高优先级工作，动辄就发布上百页的云上安全最佳实践白皮书，举办几百几千人安全大会，发布几十甚至上百个安全服务。但与此同时，用户们对云上安全的担心一直挥之不去。在福布斯（Forbes）2019年的一份报告中，66%的IT从业人员认为安全是他们使用公有云服务最大的担心。Gartner预测到2020年，至少50%的企业用户会在不知情或误操作地将一些IAAS存储服务、网络、应用或API直接暴露到互联网上，而到2023年，至少99%的云上安全问题都是用户的错误引起的。

02

以代码的形式构建 Jenkins

在我们公司，我们尝试使用‘一切事物即代码’的模式，该模式涉及到可复制的基础架构，监控，任务等方面。但是在这篇文章当中，我将向你展示怎样将这种模式运用到 Jenkins 上。是的，我的意思是对于 Jenkins 完全可复制的配置，以及基础架构、插件、凭据、任务以及代码中的其他东西。另外，这篇文章你将解惑下面的疑问:

03

Make Everything Production Like | TW洞见

今日洞见文章作者/配图来自ThoughtWorks：马博文。本文所有内容，包括文字、图片和音视频资料，版权均属ThoughtWorks公司所有，任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发布/发表。已经本网协议授权的媒体、网站，在使用时必须注明"内容来源：ThoughtWorks洞见"，并指定原文链接，违者本网将依法追究责任。开发环境出问题的时候，影响到只是自己，如果持续集成环境或者其相关的基础设施出了问题，那影响到的就是所有人以及整个开发的进展，我们曾经遇到一次这样的

深入了解IAM和访问控制

本文为InfoQ中文站特供稿件，首发地址为：http://www.infoq.com/cn/articles/aws-iam-dive-in。访问控制，换句话说，谁能在什么情况下访问哪些资源或者操作，是绝大部分应用程序需要仔细斟酌的问题。作为一个志存高远的云服务提供者，AWS自然也在访问控制上下了很大的力气，一步步完善，才有了今日的 IAM：Identity and Access Management。如果你要想能够游刃有余地使用AWS的各种服务，在安全上的纰漏尽可能地少，那么，首先需要先深入了

08

如何使用AWS EC2+Docker+JMeter构建分布式负载测试基础架构

本文介绍有关如何使用AWS EC2+Docker+JMeter创建分布式负载测试基础架构。完成所有步骤后，得到的基础结构如下:

04

初学者指南OpenStack：基础

OpenStack是一个开源的云计算平台，可用于构建公共云和私有云。如编织各种技术组件来提供构建支持任何用例与规模的云服务的能力。

11 May 2024 在rosa部署alb和waf

01

SSRF 从入门到批量找漏洞

如下是 example.com 去请求 http://google.com 的流程

02

DevOps: 实施端到端CI/CD管道

持续集成和持续交付 (CI/CD) 在现代软件开发中至关重要，有助于实现自动化代码集成和可靠的应用程序交付。 Jenkins 以其灵活性和广泛的插件选项而闻名，是创建 CI/CD 管道的领先工具。

01

AWS攻略——一文看懂AWS IAM设计和使用

一言以蔽之，AWS IAM就是为了管理：谁（不）可以对什么做什么。（转载请指明出于breaksoftware的csdn博客）

01

每周云安全资讯-2022年第17周

云原生安全 1 这个开源工具防止错误配置乱入K8s 生产环境本文介绍开源工具Datree，通过管理策略来防止 K8s 工作负载和SaaS 平台的错误配置 https://mp.weixin.qq.com/s/oKJZM8iBp0O1r70sOtUchQ 2 CVE-2022-0492：权限提升漏洞导致容器逃逸本文从对CVE-2022-0492漏洞进行了分析，复现以及针对此漏洞场景给提供了缓解和检测措施 https://mp.weixin.qq.com/s/1T049kAOEj-N0TJPmqv3_g

02

如何使用CloudSpec验证你的云端资源安全性

CloudSpec是一款功能强大的开源工具，可以帮助广大研究人员通过普通人都能理解的逻辑语言来验证你托管在云服务提供商那里的云端资源安全。

01

追赶 terraform，让基础设施代码化更加容易，pulumi 都做了些什么？

好久不写 devOps 代码，程序君感觉莫名手欠。最近看着一个开源项目 pulumi 比较有意思，这个周末就在自己的 aws 账号里作死尝试了一把，嗯，还挺香。究竟有多香呢，我们来一起探索吧。

02

云渗透安全 - Nebula 自动化测试

Nebula 是一个云和（希望如此）DevOps 渗透测试框架。它为每个提供者和每个功能构建了模块。截至 2021 年 4 月，它仅涵盖 AWS，但目前是一个正在进行的项目，并有望继续发展以测试 GCP、Azure、Kubernetes、Docker 或 Ansible、Terraform、Chef 等自动化引擎。

03

如何使用Cliam枚举云端环境IAM权限

Cliam是一款针对云端安全的测试工具，在该工具的帮助下，广大研究人员可以轻松枚举目标云端环境的IAM权限。当前版本的Cliam支持下列云端环境：AWS、Azure、GCP和Oracle。

02

手把手在亚马逊EC2上搭建Keras GPU

由于需要使用越来越复杂的神经网络，我们还需要更好的硬件。但我们的电脑通常不能承受那么大的网络，不过你可以相对容易地在亚马逊上租用一个功能强大的计算机，比如E2服务你可以相对容易地按照小时租用在亚马逊EC2服务。我使用Keras——一个开源神经网络Python库。因为它的易用性，所以初学者可以很容易开始自己的深度学习旅程。它建立在TensorFlow之上（但是Theano也可以使用）—— 一个用于数值计算的开源软件库。租借的机器将通过浏览器使用Jupyter Notebook ——一个网络应用程序，允许共享

06

集群部署看过来，低代码@AWS智能集群的架构与搭建方案

为了帮助充分利用AWS的托管服务快速构建起一套集群环境，彻底去掉“单一故障点”，实现最高的可用性，我们准备了《低代码智能集群@AWS的架构与搭建方案》看完本文，带你掌握“基于nginx配置服务器集群”。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭