Tenho uma instância em uma sub-rede privada e um grupo de segurança que permite qualquer acesso de entrada. Posso me conectar a ele com o Session Manager.
Se eu restringir o acesso de entrada apenas à porta 22, não poderei mais me conectar a ela.
A documentação diz "Você pode usar esta funcionalidade para conectar-se a nós gerenciados sem abrir portas de entrada" e "Você pode fechar portas de entrada no nó", mas isso não parece ser verdade quando tento.
Gostaria de restringir ao mínimo o tráfego de entrada, mas só posso me conectar se o deixar aberto. Quais regras de entrada são necessárias para permitir conexões do Session Manager?
O Session Manager é um pouco complicado. As instruções de configuração estão aqui .
A principal conectividade é que a instância precisa ser capaz de se conectar a alguns endpoints da AWS em TCP:443. Há também um conjunto específico de permissões necessárias.
O acesso de entrada não deve fazer diferença. Deve funcionar bem sem acesso de entrada. A forma como o gerenciador de sessões funciona é que o agente na instância se conecta aos endpoints da AWS; quando você deseja uma sessão, ele usa as conexões que a instância já estabeleceu. No seu lugar, gostaria de ver se alguma coisa mudou quando você modificou o acesso de entrada.
Dos documentos:
Os nós gerenciados aos quais você se conecta também devem permitir tráfego de saída HTTPS (porta 443) para os seguintes terminais: