在 AWS 環境中,連線到 EC2 執行個體(登入操作)的方式主要有以下幾種。
隨著雲端資安的最佳實踐演進,現在 AWS 最推薦 的方式已經不是傳統的 SSH/RDP,而是使用 Systems Manager。以下依推薦程度排序介紹:
1. AWS Systems Manager (SSM) - Session Manager 【AWS 推薦 ⭐⭐⭐⭐⭐】
這是目前最安全、最現代化的連線方式。
- 原理:透過安裝在 EC2 內的 SSM Agent 與 AWS 服務溝通,建立加密通道。
- 優點 (考試必考):不需開 Port:Security Group 不需要 開放 Port 22 (SSH) 或 3389 (RDP)。不需 Public IP:位於私有子網 (Private Subnet) 的機器也能連線(需配置 NAT 或 VPC Endpoint)。不需管理金鑰:不用擔心弄丟 .pem 金鑰檔。稽核紀錄:所有的指令操作都會被記錄在 S3 或 CloudWatch Logs 中。
- 必要條件:EC2 必須綁定一個具有 AmazonSSMManagedInstanceCore 權限的 IAM Role。
2. EC2 Instance Connect 【方便快速 ⭐⭐⭐⭐】
這是 AWS Console 內建的瀏覽器連線工具(主要針對 Linux)。
- 原理:AWS 會產生一組「暫時性」的 SSH Key,透過 EC2 Instance Metadata Service (IMDS) 推送給機器,連線後隨即失效。
- 優點:直接在瀏覽器操作,不用開終端機。不需要永久的 SSH Key。
- 限制:EC2 必須有 Public IP(或透過 EC2 Instance Connect Endpoint 連線 Private IP)。Security Group 仍需開放 Port 22(若使用 Endpoint 模式則可限制來源)。主要支援 Amazon Linux 2 / 2023 或 Ubuntu。
3. 標準 SSH / RDP 客戶端 【傳統方式 ⭐⭐⭐】
這是最傳統的做法,使用你電腦上的 Terminal (Mac/Linux) 或 PuTTY/Remote Desktop (Windows)。
- 原理:直接透過 TCP/IP 網路協定連線。
- 必要條件:EC2 必須有 Public IP(或透過 VPN/Direct Connect/Bastion Host)。Security Group 必須對你的 IP 開放 Port 22 (Linux) 或 3389 (Windows)。你必須持有建立機器時下載的 Key Pair (.pem / .ppk)。
- 缺點:管理 Key Pair 很麻煩(遺失就進不去),且開放 Port 有被暴力破解的風險。
4. EC2 Serial Console (序列主控台) 【除錯專用 🔧】
這不是用來日常操作的,而是用來救火的。
- 場景:當你的 EC2 網路設定錯誤、防火牆設錯、或 開機開不起來 (Boot Issues),導致 SSH/RDP 完全連不上時使用。
- 原理:直接連線到虛擬機的序列埠 (Serial Port / ttyS0),繞過網路層。
- 限制:預設是關閉的,需要在帳戶層級啟用,且通常只支援 Nitro 系統的實例。
5. AWS CloudShell 【作為跳板】
雖然 CloudShell 本身是一個 Shell 環境,但常被拿來當作連線 EC2 的工具。
- 用法:開啟 AWS CloudShell(瀏覽器)。在裡面使用 ssh -i mykey.pem ec2-user@ip 指令連線到你的 EC2。
- 優點:如果你在外面使用別人的電腦,沒有安裝 SSH Client,可以用 CloudShell 當作臨時的終端機。
總結比較表 (考試/實務重點)
結論:
如果題目問 「最安全」 或 「不需要開 Port/Public IP」 的連線方式,答案絕對是 AWS Systems Manager (Session Manager)。
