AWS System Manager对话管理器现支援连接埠转发功能

AWS宣布在其System Manager的对话管理器（Session Manager）中支援连接埠转发功能（Port Forwarding），让用户不需要自行于伺服器上启动SSH服务，也不用开启安全群组的SSH连接埠或是使用堡垒主机，就能在私密子网域间创建安全通道。

当企业将应用程式搬迁到AWS云端，通常需要连接EC2执行各种管理以及操作工作，而为了减少攻击面，AWS建议企业使用堡垒主机，使其成为网际网路的主要存取点。因此当企业要连接EC2实例时，就必须要先使用SSH/RDP连接到堡垒主机，再从堡垒主机连接到目标EC2实例。

而AWS的System Manager的对话管理器便是用来代替堡垒主机，减少用户管理堡垒主机的负担以及额外成本，也不需要在EC2上执行SSH，就可以让用户安全地连接EC2实例。用户可以将System Manager代理安装到实例上，并使用IAM授权呼叫Systems Manager API，使用AWS管理控制台或是AWS命令列介面工具，安全地存取Linux或Windows的EC2实例。

之所以现在System Manager的对话管理器，还要提供连接埠转发功能，便是要来支援另一种SSH技术使用案例，称为SSH通道（SSH Tunneling）的应用，SSH通道可让使用者的电脑，和没有暴露于公开网际网路的远端服务，创建安全通道，可用在像是当用户使用AWS的EC2实例执行网页伺服器，以作为私人档案传输之用的案例。

由于伺服器上档案都是私人的，当用户不希望其他人也能够存取这个网页伺服器，便能将网页伺服器配置绑订在127.0.0.1，且只要不把连接埠增加到实例的安全群组，就只有本地端的程序才能存取网页伺服器。

当用户想要从远端连接网页伺服器，则需要建立SSH通道，在自己的电脑上打开连接埠9999，并将实例上所有内容转发到EC2实例localhost:80，当通道建立了，使用者可以在浏览器上输入localhost:9999，连接私人网页伺服器。

System Manager的对话管理器支援连接埠转发功能后，用户就不需要自己在伺服器上建立SSH服务。连接埠转发与SSH通道功能类似，可以让使用者在自己的电脑转发流量到实例上开启的连接埠，以连接实例中执行的伺服器应用程式。System Manager对话管理器的API存取以及连接埠转发，皆使用IAM政策，因此用户可以控制组织中有权限创建通道的成员。

连接埠转发同时支援Windows和Linux实例，已经可在所有支援AWS Systems Manager的区域使用。连接EC2实例不需要额外费用，但是用户需要支付从NAT闸道或是VPC私密连结（VPC Private Link）往外流出的频宽费用。