在全球企业逐步取消服务器公网 SSH 登录的趋势下,“零公网暴露、零端口开放” 的云端安全运维方式成为主流。
AWS Systems Manager(简称 SSM)正是企业实现安全、稳定、无需公网登录的核心服务。
通过 SSM Session Manager,你可以:
- 无需开放 22 或 3389
- 无需堡垒机
- 无需固定公网 IP
- 无需跳板机
- 无需在服务器中保存 SSH Key
这套体系极大提升运维安全性,避免常见攻击如:
- SSH 暴力破解
- 扫端口攻击
- RDP 暴破
- 公网暴露导致的未授权访问
本指南将系统介绍如何通过 AWS SSM 构建企业级安全运维体系,包括架构设计、权限配置、审计日志、跨区域管理、最佳实践与安全加固方式。
一、为什么企业必须使用 AWS SSM 实现无公网登录?
1. 完全隐藏服务器公网暴露面(Zero Exposure)
使用 SSM 后可以:
- 不需要开放 任何 SSH / RDP 端口
- 不需要公网 IP
- 不需要跳板机
- 不需要防火墙开放规则
所有操作均通过 SSM 内网通道完成。
2. 集中化安全审计,满足监管要求
SSM 与 CloudTrail、S3、CloudWatch 日志结合,可记录:
- 谁进入了服务器
- 在服务器执行了哪些命令
- 登录时长
- 执行历史全部留存
适用于:
- 金融企业
- 游戏企业
- 出海平台
- 医疗健康数据企业
- 任何需要审计的系统
外链:
AWS SSM 官方文档
https://docs.aws.amazon.com/systems-manager
二、实现无公网登录:SSM Session Manager 的工作原理
SSM 通过 轻量级 Agent(SSM Agent)与 加密通道 实现登录:
- EC2 → 通过 VPC 内网访问 SSM Endpoint
- SSM Agent 通过私网将数据发送到 AWS SSM 服务
- 运维人员通过控制台或 AWS CLI 自动连接实例
- 全链路 TLS 加密,无需暴露公网
你可以把它理解成:
一个由 AWS 托管的、无须公网的“官方堡垒机”。
三、部署前准备:EC2 需要满足的条件
✔ 必须安装 SSM Agent
系统兼容性:
- Amazon Linux 2(自带)
- Ubuntu、CentOS、RHEL(可手动安装)
- Windows Server 2016+
✔ 必须有正确的 IAM 角色(非常重要)
为 EC2 绑定 SSM 所需权限:
IAM Role(EC2 使用)
AmazonSSMManagedInstanceCore
如果需要系统日志写入
CloudWatchAgentServerPolicy
四、开启无公网登录(完整配置流程)
步骤 1:创建 SSM 访问的 VPC Endpoint(强烈推荐)
在生产环境建议创建以下三个 Endpoint:
- com.amazonaws.region.ssm
- com.amazonaws.region.ssmmessages
- com.amazonaws.region.ec2messages
这样 EC2 可以在不出公网的情况下访问所有 SSM 组件。
步骤 2:为实例绑定 IAM Role
确保实例重启后自动获得最小必要权限。
步骤 3:进入 SSM Session Manager
操作入口:
路径:
AWS Console → Systems Manager → Session Manager → Start session
你将看到所有已经成功注册的实例。
点击即可直接进入:
- 类似 SSH 的命令行(Linux)
- 类似 PowerShell 的终端(Windows)
五、SSM 高级能力(企业必用)
1. 命令运行(Run Command)
无需登录服务器即可执行命令,例如:
- 自动修复脚本
- 定时脚本
- 安装软件
- 更新系统
- 运维巡检
示例命令:
sudo yum update -y
2. 文件传输(File Transfer)
可直接上传文件至实例,无需 FTP / SCP。
3. 自动化运维(Automation)
可执行:
- 批量更新
- 自动部署
- 配置变更
- Patch Manager 系统补丁
4. 端口转发(Port Forwarding)
无需暴露端口即可调试:
ssm start-session –target –document-name AWS-StartPortForwardingSession –parameters “portNumber=3306,localPortNumber=3306”
可安全访问:
- MySQL
- Redis
- MongoDB
- 内网 API
六、SSM 安全最佳实践(必须遵守)
✔ 1. 关闭服务器所有公网端口
包括:
- 22
- 3389
- 所有调试端口
✔ 2. CloudTrail + S3 存档审计
记录所有 SSM 行为以便合规审核。
✔ 3. Session Manager 必须启用日志
在设置中启用:
- CloudWatch Logs
- S3 存档
✔ 4. 禁止 Root 或 Administrator 使用 SSM
使用最小权限 IAM 用户操作。
七、跨账户 / 多区域的运维方式
SSM 支持跨:
- 多个 AWS 账户
- 多个区域
- 多云环境(混合架构)
你可以使用 AWS Organizations + IAM 身份中心 实现跨账号运维。
延伸阅读:AWS 多账户成本控制与预算管理
https://www.91-cloud.com/blog/2025/11/14/aws-multi-account-cost-control
八、与 VPC、堡垒机、Zero Trust 的协同方案
推荐企业架构组合:
- VPC 私网隔离
- SSM 实现免公网登录
- WAF / Shield 保护入口
- IAM 身份中心控制权限
- CloudWatch 实现可观测性
参考文章:
AWS VPC 网络隔离与跨区域互通
https://www.91-cloud.com/blog/2025/11/20/aws-vpc-cross-region-guide/
九、成本优化:SSM 如何让运维更省钱?
SSM 能显著降低成本:
- 不需要堡垒机(节省实例费用)
- 不需要公网 IP
- 不需要开放外网带宽
- 跨区域批量运维不再产生额外成本
如果你使用 91CLOUD 国际折扣账号,能进一步节省 AWS 成本 30%–60%:
https://www.91-cloud.com/blog/2025/11/28/multicloud-cost-guide/
🔵 总结
使用 AWS SSM Session Manager,你可以实现:
- ✦ 零公网
- ✦ 零端口
- ✦ 零跳板机
- ✦ 全链路加密
- ✦ 全量审计
- ✦ 自动化运维
是企业实施安全运维、合规管理与全球云环境统一管理的必备能力。
🔵 想让你的 AWS 运维体系更安全?
91CLOUD 可提供:
- AWS 无公网登录架构设计
- 零信任访问控制
- 跨区域安全加固
- 多账户安全运维体系
- AWS 国际折扣账号(省 30%–60%)
了解更多:https://www.91-cloud.com/
