通过Workbench连接实例

Workbench是阿里云提供的在浏览器使用的远程连接工具，使用该工具，您无需额外安装任何软件即可通过浏览器直接访问ECS实例。

什么是Workbench？

Workbench介绍

Workbench是阿里云为您提供的一款Web远程连接工具，该工具无需安装，直接在浏览器使用。使用该工具连接ECS实例流程如图所示。

Workbench的特点

支持多种连接方式
通过Workbench可以使用多种方式连接实例，如SSH（Linux常用）、RDP（Windows常用）、运维安全中心等。
相关文档
- 使用Workbench工具以SSH协议登录Linux实例
- 使用Workbench工具以RDP协议登录Windows实例
- 通过运维安全中心（堡垒机）登录实例

支持通过公网或私网连接实例
当您在使用Workbench通过SSH或RDP方式连接到实例时，可以选择通过私网或公网IP连接实例。

Workbench更多功能

除了连接实例外，Workbench还支持以下功能。

文件管理：支持上传文件到ECS和将ECS中的文件下载至本机。请参见文件管理。
系统管理：您可以通过Workbench的系统管理功能，对Linux实例操作系统上的用户、历史登录日志、系统服务等进行管理。请参见系统管理。
多屏幕终端：可以通过Workbench的多屏终端功能同时连接多台ECS实例，然后在多台实例中同时执行相同的命令。请参见多屏终端。
终端助手：帮助您生成运维中需要的脚本/命令。请参见Workbench终端助手。
运维管理：支持可视化地为Linux实例上的Java应用新增运维任务，如新增Java堆分析、线程栈分析或性能分析任务。请参见运维管理。
录屏审计：录制终端用户在ECS实例内部的操作视频，以便管理员进行操作审计时查看终端用户的操作行为，为安全审计提供有效依据。请参见录屏审计。
命令行审计：审查经过Workbench登录会话执行的历史命令是否符合安全标准，帮助您发现异常操作和风险事件，并记录具体的执行命令、执行命令时间等信息，以便进行后续分析和审计。请参见命令行审计。

Workbench基本使用流程

使用Workbench连接实例的流程如图所示。

找到待连接的实例。
打通Workbench与ECS实例之间的网络连接。
这一步需要设置实例所在的安全组与实例内防火墙，需放行来自Workbench的入方向流量。
使用Workbench连接实例。
在控制台选择通过Workbench连接实例，输入用户名、密码、密钥对等信息。
开通服务关联角色。
如果您在使用Workbench连接实例时没有创建服务关联角色，系统会提示您授予Workbench访问ECS实例的权限，即开通服务关联角色。
成功连接到实例，执行运维操作。

Workbench的服务关联角色

由于Workbench需要操作您的ECS实例，因此，在首次使用Workbench连接实例时，会提示您创建服务关联角色AliyunServiceRoleForECSWorkbench，Workbench服务会以该角色的身份访问您的ECS实例。更多服务关联角色的说明，请参见服务关联角色。

如图所示，在首次连接实例时会出现以下对话框，单击确定系统会自动为您创建该服务关联角色。

如果您是RAM用户，您需要联系主账号或管理员为您授予AliyunECSWorkbenchFullAccess系统权限策略，拥有该权限的用户才可以创建Workbench的服务关联角色。

RAM用户使用Workbench的权限设置

在开通服务关联角色后，RAM用户使用Workbench需设置如下权限策略，该策略代表用户可以使用Workbench连接所有ECS实例。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

如果需要限制用户可以通过Workbench连接的实例，可通过修改Resource字段实现，格式如下：

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": [
        "acs:ecs-workbench:{#regionId}:{#accountId}:workbench/{#instanceId}",
        "acs:ecs-workbench:{#regionId}:{#accountId}:workbench/{#instanceId}"
      ],
      "Effect": "Allow"
    }
  ]
}

参数说明如下：

{#regionId}：实例所在地域ID，可设置为通配符*。
{#accountId}：主账号ID，可设置为通配符*。
{#instanceId}：目标实例ID，可设置为通配符*。

示例

例如，设置RAM用户可使用Workbench连接所有地域和账号下实例ID为i-001和i-002的实例时，可设置以下权限策略。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": [
        "acs:ecs-workbench:*:*:workbench/i-001",
        "acs:ecs-workbench:*:*:workbench/i-002"
      ],
      "Effect": "Allow"
    }
  ]
}

Workbench相关安全组设置

由于使用Workbench通过SSH或RDP方式连接实例时，您需要在实例所在安全组放通来自Workbench服务端的入网流量，您可以根据您网络类型的不同，参考下表添加安全组规则。具体操作，请参见添加安全组规则。

重要

如果您在实例系统内开启了防火墙，请参照安全组修改防火墙规则。

专有网络

使用Workbench连接专有网络实例时，需要在实例所在安全组入方向配置以下规则。

授权策略

优先级

协议类型

端口范围

授权对象

允许

自定义TCP

配置的端口取决于您实例内运行的远程连接服务的端口。

连接Linux实例：
选择SSH (22)。
Linux实例默认远程连接服务为SSH，默认端口为22。
连接Windows实例：
选择RDP (3389)。
Windows实例默认远程连接服务为RDP，默认端口为3389。

重要

如果您在实例内修改了相关远程服务的端口，请根据实际情况进行设置。

通过公网连接：添加47.96.60.0/24, 118.31.243.0/24, 8.139.112.0/24, 8.139.99.192/26。
通过私网连接：添加100.104.0.0/16。

警告

使用0.0.0.0/0，代表所有IP地址均可以连接远程服务端口，该配置存在安全风险，请谨慎使用。

经典网络

使用Workbench连接经典网络实例时，需要在实例所在安全组入方向配置以下规则。