Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Herstellen einer Verbindung zu Ihrer EC2-Instance
Ihre Amazon-EC2-Instance ist ein virtueller Server in der AWS Cloud. Zum Anmelden an Ihrer Instance müssen Sie eine Verbindung zu der Instance herstellen. Wie Sie eine Verbindung zu Ihrer Instance herstellen, hängt vom Betriebssystem der Instance und dem Betriebssystem auf dem Computer ab, mit dem Sie sich mit der Instance verbinden. Die folgende Tabelle enthält die Anforderungen für die einzelnen Verbindungsmethoden.
| Verbindungsoption | Instance-Betriebssystem | Regel für eingehenden Verkehr | IAM-Berechtigungen | Instance-Profilrolle | Software in Instance | Software im Verbindungssystem | Schlüsselpaar |
| --- | --- | --- | --- | --- | --- | --- | --- |
| SSH-Client | Linux | Ja | Nein | Nein | Nein | Ja | Ja |
| EC2 Instance Connect | Linux | Ja | Ja | Nein | Ja¹ | Nein | Nein |
| PuTTY | Linux | Ja | Nein | Nein | Nein | Ja | Ja |
| RDP-Client | Windows | Ja | Nein | Nein | Nein | Ja | Ja² |
| Fleet Manager | Windows | Nein | Ja | Ja | Ja¹ | Nein | Ja |
| Session Manager | Linux, Windows | Nein | Ja | Ja | Ja¹ | Nein | Nein |
| EC2-Instance-Verbindungsendpunkt | Linux, Windows | Ja | Ja | Nein | Nein | Nein | Nein ³ |
¹ Die erforderliche Software ist nur auf bestimmten AMIs Geräten vorinstalliert. Sie können die erforderliche Software bei Bedarf auf unterstützten Betriebssystemen manuell installieren.
² Das Schlüsselpaar ist nur erforderlich, wenn Sie das zufällig generierte Passwort für das lokale Administrator-Benutzerkonto verwenden.
³ Ein Schlüsselpaar ist erforderlich, wenn Sie die SSH-Verbindungsmethode verwenden.
Weitere Informationen finden Sie in der Dokumentation zu der Verbindungsoption, die Sie verwenden möchten.
**Verbindungsoptionen**
+ [Verbinden mit der Linux-Instance über einen SSH-Client](connect-linux-inst-ssh.md)
+ [Verbindung mit Ihrer Linux-Instance mithilfe von PuTTY](connect-linux-inst-from-windows.md)
+ [Verbindung zu Ihrer Windows-Instance mithilfe eines RDP-Clients herstellen](connect-rdp.md)
+ [Herstellen einer Verbindung mit Ihrer Windows-Instance mithilfe von Fleet Manager](connect-rdp-fleet-manager.md)
+ [Herstellen einer Verbindung über Session Manager](connect-with-systems-manager-session-manager.md)
+ [Herstellen einer Verbindung mit einer öffentlichen IP und EC2 Instance Connect](connect-linux-inst-eic.md)
+ [Mit einer privaten IP-Adresse und dem EC2-Instance-Connect-Endpunkt eine Verbindung herstellen](connect-with-ec2-instance-connect-endpoint.md)
# Allgemeine Voraussetzungen für eine Verbindung
Im Folgenden sind die allgemeinen Voraussetzungen aufgeführt, um eine Verbindung zu einer Instance herzustellen. Beachten Sie, dass möglicherweise zusätzliche Voraussetzungen gelten, die für die von Ihnen gewählte Verbindungsoption spezifisch sind.
**Allgemeine Voraussetzungen**
+ Stellen Sie sicher, dass Ihre Instance ihre Statusprüfungen bestanden hat. Es kann ein paar Minuten dauern, bis die Instance für die Verbindung bereitsteht. Weitere Informationen finden Sie unter [Anzeigen der Statusprüfungen](viewing_status.md).
+ [Rufen Sie die erforderlichen Instance-Details ab](#connection-prereqs-get-info-about-instance).
+ [Lokalisieren des privaten Schlüssels und Festlegen von Berechtigungen](#connection-prereqs-private-key).
+ [(Optional) Anfordern des Instance-Fingerabdrucks](#connection-prereqs-fingerprint).
## Rufen Sie die erforderlichen Instance-Details ab
Rufen Sie zur Vorbereitung der Verbindung mit einer Instance die folgenden Informationen über die Amazon-EC2-Konsole ab oder verwenden Sie die Kommandozeile.
![\[Der Instances-Bereich der Amazon-EC2-Konsole.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/connection-prereqs-console2.png)
+ **Rufen Sie den öffentlichen DNS-Namen der Instance ab.**
Sie können das öffentliche DNS für Ihre Instance über die Amazon-EC2-Konsole abrufen. Überprüfen Sie die Spalte **Public IPv4 DNS** im Bereich **Instances**. Wenn diese Spalte ausgeblendet ist, wählen Sie das Einstellungssymbol (![\[The gear icon.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/settings-icon.png)) in der oberen rechten Ecke des Bildschirms und wählen Sie **Public IPv4 DNS** aus. Sie finden das öffentliche DNS auch im Bereich „Instance-Informationen“ des **Instances**-Bereichs. Wenn Sie die Instance im **Instances**-Bereich der Amazon-EC2-Konsole auswählen, werden Informationen zu dieser Instance in der unteren Hälfte der Seite angezeigt. Suchen Sie auf der Registerkarte **Details** nach **Public IPv4 DNS**.
Wenn Sie möchten, können Sie die Befehle [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) (AWS CLI) oder [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)(AWS Tools for Windows PowerShell) verwenden.
Wenn kein **Public IPv4 DNS** angezeigt wird, vergewissern Sie sich, dass der **Instanzstatus** **Running** lautet und dass Sie die Instance nicht in einem privaten Subnetz gestartet haben. Wenn Sie Ihre Instance mit dem [Launch Instance Wizard](ec2-launch-instance-wizard.md) gestartet haben, haben Sie möglicherweise das Feld **Öffentliche IP automatisch zuweisen** unter **Netzwerkeinstellungen** bearbeitet und den Wert in **Deaktivieren** geändert. Wenn Sie die Option **Öffentliche IP automatisch zuweisen** deaktivieren, wird der Instance beim Start keine öffentliche IP-Adresse zugewiesen.
+ **(IPv6 nur Instanzen) Ruft die IPv6 Adresse der Instanz ab.**
Wenn Sie Ihrer Instance eine IPv6-Adresse zugewiesen haben, können Sie optional eine Verbindung zur Instance mithilfe ihrer IPv6-Adresse anstelle einer öffentlichen IPv4-Adresse oder eines öffentlichen IPv4-DNS-Hostnamens herstellen. Ihr lokaler Computer muss über eine IPv6-Adresse verfügen und für die Verwendung von IPv6 konfiguriert sein. Sie können die IPv6-Adresse Ihrer Instance über die Amazon-EC2-Konsole abrufen. Überprüfen Sie die **IPv6 IPs**Spalte im Bereich „**Instanzen**“. Sie können die IPv6 Adresse auch im Abschnitt mit den Instanzinformationen finden. Wenn Sie die Instance im **Instances**-Bereich der Amazon-EC2-Konsole auswählen, werden Informationen zu dieser Instance in der unteren Hälfte der Seite angezeigt. Suchen Sie auf der Registerkarte **Details** nach der **IPv6Adresse**.
Wenn Sie möchten, können Sie die Befehle [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) (AWS CLI) oder [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)(AWS Tools for Windows PowerShell) verwenden. Weitere Informationen zu finden Sie IPv6 unter. [IPv6 Adressen](using-instance-addressing.md#ipv6-addressing)
+ **(Linux-Instances) Rufen Sie den Benutzernamen für Ihre Instance ab.**
Sie können mit dem Benutzernamen für Ihr Benutzerkonto oder dem Standardbenutzernamen für das AMI, das Sie zum Starten Ihrer Instance verwendet haben, eine Verbindung zu Ihrer Instance herstellen.
+ **Abrufen des Benutzernamens für Ihr Benutzerkonto ab.**
Weitere Informationen zum Erstellen eines Benutzerkontos finden Sie unter [Systembenutzer auf Ihrer Amazon EC2 Linux-Instance verwalten](managing-users.md).
+ **Abrufen des Standardbenutzernamens für das AMI, das Sie zum Starten der Instance verwendet haben.**
+ **Amazon Linux** – `ec2-user`
+ **CentOS** – `centos` oder `ec2-user`
+ **Debian** – `admin`
+ **Fedora** – `fedora` oder `ec2-user`
+ **FreeBSD** – `ec2-user`
+ **RHEL** – `ec2-user` oder `root`
+ **SUSE** – `ec2-user` oder `root`
+ **Ubuntu** – `ubuntu`
+ **Oracle** – `ec2-user`
+ **Bitnami** – `bitnami`
+ **Rocky Linux** – `rocky`
+ **Andere** – Wenden Sie sich an den AMI-Anbieter
## Lokalisieren des privaten Schlüssels und Festlegen von Berechtigungen
Sie müssen den Speicherort Ihrer privaten Schlüsseldatei kennen, um die erste Verbindung zu einer Linux-Instance über SSH oder zu einer Windows-Instance über RDP herzustellen. Für SSH-Verbindungen müssen Sie die Berechtigungen so festlegen, dass nur Sie die Datei lesen können.
Informationen zur Funktionsweise von Schlüsselpaaren bei der Verwendung von Amazon EC2 finden Sie unter [Amazon-EC2-Schlüsselpaare und Amazon-EC2-Instances](ec2-key-pairs.md).
+ **Lokalisieren Sie den privaten Schlüssel.**
Rufen Sie den vollständig qualifizierten Pfad des Speicherorts auf Ihrem Computer für die Datei `.pem` für das beim Start der Instance angegebene Schlüsselpaar ab. Weitere Informationen finden Sie unter [Identifizieren des öffentlichen Schlüssels, der beim Start angegeben wurde](describe-keys.md#identify-key-pair-specified-at-launch).
Wenn Sie Ihre private Schlüsseldatei nicht finden können, lesen Sie unter [Ich habe meinen privaten Schlüssel verloren. Wie kann ich eine Verbindung zu meiner Instance herstellen?](TroubleshootingInstancesConnecting.md#replacing-lost-key-pair)
(Linux-Instances) Wenn Sie mit Putty eine Verbindung zu Ihrer Instance herstellen und die `.pem`-Datei in `.ppk` konvertieren müssen, lesen Sie unter [Konvertiere deinen privaten Schlüssel mit Pu TTYgen](connect-linux-inst-from-windows.md#putty-private-key).
+ **(Linux-Instances) Festlegen der Berechtigungen für Ihren privaten Schlüssel, so dass nur Sie diesen lesen können.**
+ **Herstellen einer Verbindung über macOS oder Linux**
Wenn Sie einen SSH-Kunden auf einem macOS- oder Linux-Computer verwenden möchten, um eine Verbindung zu Ihrer Linux Instance herzustellen, legen Sie mit dem folgenden Befehl die Berechtigungen für Ihre private Schlüsseldatei so fest, dass nur Sie sie lesen können.
```
chmod 400 key-pair-name.pem
```
Wenn Sie diese Berechtigungen nicht festlegen, können Sie unter Verwendung dieses Schlüsselpaars keine Verbindung zu Ihrer Instance herstellen. Weitere Informationen finden Sie unter [Fehler: Ungeschützte private Schlüsseldatei](TroubleshootingInstancesConnecting.md#troubleshoot-unprotected-key).
+ **Herstellen einer Verbindung über Windows**
Öffnen Sie den Datei-Explorer und klicken Sie mit der rechten Maustaste auf die `.pem`-Datei. Wählen Sie **Eigenschaften** > **Registerkarte Sicherheit** und dann **Erweitert** aus. Wählen Sie **Vererbung deaktivieren**. Entfernen Sie den Zugriff für alle Benutzer mit Ausnahme des aktuellen Benutzers.
## (Optional) Anfordern des Instance-Fingerabdrucks
Um sich vor man-in-the-middle Angriffen zu schützen, können Sie die Echtheit der Instanz, zu der Sie eine Verbindung herstellen möchten, überprüfen, indem Sie den angezeigten Fingerabdruck verifizieren. Die Überprüfung des Fingerabdrucks ist nützlich, wenn Sie Ihre Instance über ein öffentliches AMI starten, das von einem Drittanbieter bereitgestellt wird.
**Übersicht über die Aufgaben**
Holen Sie sich zunächst den Instance-Fingerabdruck von der Instance. Wenn Sie anschließend eine Verbindung mit der Instance herstellen und zum Überprüfung des Fingerabdrucks aufgefordert werden, vergleichen Sie den Fingerabdruck, den Sie in diesem Verfahren abgerufen haben, mit dem Fingerabdruck, der angezeigt wird. Wenn die Fingerabdrücke nicht übereinstimmen, versucht möglicherweise jemand einen man-in-the-middle Angriff. Wenn sie übereinstimmen, können Sie bedenkenlos eine Verbindung mit der Instance herstellen.
**Voraussetzungen für das Abrufen des Instance-Fingerabdrucks**
+ Die Instance darf sich nicht im Status `pending` befinden. Der Fingerabdruck ist erst verfügbar, nachdem der erste Start der Instance abgeschlossen ist.
+ Sie müssen der Instance-Eigentümer sein, um die Konsolenausgabe zu erhalten.
+ Es gibt verschiedene Methoden, um den Instance-Fingerabdruck zu bekommen. Wenn Sie den AWS CLI verwenden möchten, muss er auf Ihrem lokalen Computer installiert sein. Informationen zur Installation von finden Sie unter [Erste Schritte mit dem AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) im *AWS Command Line Interface Benutzerhandbuch*. AWS CLI
**So fordern Sie den Instance-Fingerabdruck an**
In Schritt 1 erhalten Sie die Konsolenausgabe, die den Instance-Fingerabdruck enthält. In Schritt 2 finden Sie den Fingerabdruck der Instance in der Konsolenausgabe.
1. Verwenden Sie eine der folgenden Methoden, um die Konsolenausgabe zu erhalten.
------
#### [ Console ]
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im linken Navigationsbereich **Instances** aus.
1. Wählen Sie die Instance aus und wählen Sie dann **Aktionen**, **Überwachung und Fehlerbehebung**, **Systemprotokoll abrufen**.
------
#### [ AWS CLI ]
Verwenden Sie auf Ihrem lokalen Computer (nicht auf der Instanz, zu der Sie eine Verbindung herstellen) den [get-console-output](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-console-output.html)Befehl. Wenn die Ausgabe umfangreich ist, [können Sie sie an eine Textdatei weiterleiten](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-output-format.html), wo sie möglicherweise einfacher zu lesen ist.
```
aws ec2 get-console-output \
--instance-id i-1234567890abcdef0 \
--query Output \
--output text > temp.txt
```
------
#### [ PowerShell ]
Verwenden Sie auf Ihrem lokalen Computer das folgende [Get-EC2ConsoleOutput](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ConsoleOutput.html)Cmdlet.
```
$encodedOutput = (Get-EC2ConsoleOutput -InstanceId i-1234567890abcdef0).Output
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedOutput))
```
------
1. Suchen Sie in der Konsolenausgabe den Instance-Fingerabdruck (Host-Fingerabdruck), der sich unter `BEGIN SSH HOST KEY FINGERPRINTS` befindet. Möglicherweise gibt es mehrere Instance-Fingerabdrücke. Wenn Sie eine Verbindung mit Ihrer Instance herstellen, wird nur einer der Fingerabdrücke angezeigt.
Die genaue Ausgabe kann je nach Betriebssystem, AMI-Version und davon, ob AWS die Schlüsselpaare erstellt hat, variieren. Es folgt eine Beispielausgabe.
```
ec2:#############################################################
ec2: -----BEGIN SSH HOST KEY FINGERPRINTS-----
ec2: 256 SHA256:l4UB/neBad9tvkgJf1QZWxheQmR59WgrgzEimCG6kZY no comment (ECDSA)
ec2: 256 SHA256:kpEa+rw/Uq3zxaYZN8KT501iBtJOIdHG52dFi66EEfQ no comment (ED25519)
ec2: 2048 SHA256:L8l6pepcA7iqW/jBecQjVZClUrKY+o2cHLI0iHerbVc no comment (RSA)
ec2: -----END SSH HOST KEY FINGERPRINTS-----
ec2: #############################################################
```
**Anmerkung**
Sie verweisen auf diesen Fingerabdruck, wenn Sie eine Verbindung mit der Instance herstellen.
# Herstellen einer Verbindung zu Ihrer Linux-Instance mit SSH
Es gibt verschiedene Möglichkeiten, eine Verbindung zu Ihrer Linux-Instance mit SSH herzustellen. Einige Wege hängen vom Betriebssystem des lokalen Rechners ab, von dem aus Sie die Verbindung herstellen. Andere Methoden sind browserbasiert, wie EC2 Instance Connect oder AWS Systems Manager Session Manager, und können von jedem Computer aus verwendet werden. Sie können SSH verwenden, um sich mit Ihrer Linux-Instance zu verbinden und Befehle auszuführen, oder SSH verwenden, um Dateien zwischen Ihrem lokalen Computer und Ihrer Instance zu übertragen.
Erfüllen Sie die folgenden Voraussetzungen, bevor Sie eine Verbindung mit Ihrer Linux-Instance mit SSH herstellen:
+ Stellen Sie sicher, dass Ihre Instance ihre Statusprüfungen bestanden hat. Es kann ein paar Minuten dauern, bis die Instance für die Verbindung bereitsteht. Weitere Informationen finden Sie unter [Anzeigen der Statusprüfungen](viewing_status.md).
+ Stellen Sie sicher, dass die mit Ihrer Instance verknüpfte Sicherheitsgruppe eingehenden SSH-Datenverkehr von Ihrer IP-Adresse zulässt. Weitere Informationen finden Sie unter [Regeln für die Verbindung mit Instances von Ihrem Computer aus](security-group-rules-reference.md#sg-rules-local-access).
+ [Rufen Sie die erforderlichen Instance-Details ab](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Lokalisieren des privaten Schlüssels und Festlegen von Berechtigungen](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Optional) Anfordern des Instance-Fingerabdrucks](connection-prereqs-general.md#connection-prereqs-fingerprint).
Wählen Sie dann eine der folgenden Optionen, um eine Verbindung zu Ihrer Linux-Instance mit SSH herzustellen.
+ [Verbindung mit einem SSH-Client herstellen](connect-linux-inst-ssh.md)
+ [Verbindung über PuTTY](connect-linux-inst-from-windows.md)
+ [Übertragen von Dateien mit SCP](linux-file-transfer-scp.md)
Wenn Sie keine Verbindung mit Ihrer Instance herstellen können und Sie Hilfe zur Fehlerbehebung benötigen, siehe [Fehlersuche bei Verbindungsproblemen mit Ihrer Amazon-EC2-Linux-Instance](TroubleshootingInstancesConnecting.md).
# Verbinden mit der Linux-Instance über einen SSH-Client
Sie können Secure Shell (SSH) verwenden, um von Ihrem lokalen Computer aus eine Verbindung zu Ihrer Linux-Instance herzustellen. Weitere Informationen über andere Optionen finden Sie unter [Herstellen einer Verbindung zu Ihrer EC2-Instance](connect.md).
**Anmerkung**
Wenn Sie beim Versuch, eine Verbindung zu Ihrer Instance herzustellen, eine Fehlermeldung erhalten, stellen Sie sicher, dass Ihre Instance alle [Voraussetzungen für eine SSH-Verbindung](#ssh-prereqs-linux-from-linux-macos) erfüllt. Wenn alle Voraussetzungen erfüllt sind und Sie immer noch keine Verbindung zu Ihrer Linux-Instance herstellen können, lesen Sie [Fehlersuche bei Verbindungsproblemen mit Ihrer Amazon-EC2-Linux-Instance](TroubleshootingInstancesConnecting.md).
**Topics**
+ [Voraussetzungen für eine SSH-Verbindung](#ssh-prereqs-linux-from-linux-macos)
+ [Verbinden mit der Linux-Instance über einen SSH-Client](#connect-linux-inst-sshClient)
## Voraussetzungen für eine SSH-Verbindung
Bevor Sie sich über SSH mit Ihrer Linux-Instance verbinden können, müssen Sie die folgenden Aufgaben erledigen.
**Vervollständigen Sie die allgemeinen Voraussetzungen.**
+ Stellen Sie sicher, dass Ihre Instance ihre Statusprüfungen bestanden hat. Es kann ein paar Minuten dauern, bis die Instance für die Verbindung bereitsteht. Weitere Informationen finden Sie unter [Anzeigen der Statusprüfungen](viewing_status.md).
+ [Rufen Sie die erforderlichen Instance-Details ab](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Lokalisieren des privaten Schlüssels und Festlegen von Berechtigungen](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Optional) Anfordern des Instance-Fingerabdrucks](connection-prereqs-general.md#connection-prereqs-fingerprint).
**Lassen Sie eingehenden SSH-Datenverkehr von Ihrer IP-Adresse zu.**
Stellen Sie sicher, dass die mit Ihrer Instance verknüpfte Sicherheitsgruppe eingehenden SSH-Datenverkehr von Ihrer IP-Adresse zulässt. Weitere Informationen finden Sie unter [Regeln für die Verbindung mit Instances von Ihrem Computer aus](security-group-rules-reference.md#sg-rules-local-access).
**Installieren Sie einen SSH-Client auf dem lokalen Computer (falls notwendig).**
Auf Ihrem lokalen Computer ist möglicherweise standardmäßig ein SSH-Client installiert. Sie können dies überprüfen, indem Sie den folgenden Befehl in ein Terminal-Fenster eingeben. Wenn Ihr Computer den Befehl nicht erkennt, müssen Sie einen SSH-Client installieren.
```
ssh
```
Im Folgenden sind einige der möglichen Optionen für Windows aufgeführt. Wenn auf Ihrem Computer ein anderes Betriebssystem ausgeführt wird, finden Sie in der Dokumentation zu diesem Betriebssystem Informationen zu den SSH-Clientoptionen.
## OpenSSH unter Windows installieren
Nachdem Sie OpenSSH unter Windows installiert haben, können Sie von Ihrem Windows-Computer aus eine Verbindung zu Ihrer Linux-Instance über SSH herstellen. Stellen Sie vor Beginn sicher, dass die folgenden Anforderungen erfüllt sind.
**Windows-Version**
Die Version von Windows auf Ihrem Computer muss Windows Server 2019 oder höher sein.
Für frühere Versionen von Windows laden Sie [Win32-OpenSSH](https://github.com/PowerShell/Win32-OpenSSH/wiki) herunter und installieren Sie es.
**PowerShell Anforderungen**
Um OpenSSH auf Ihrem Windows-Betriebssystem zu installieren PowerShell, müssen Sie PowerShell Version 5.1 oder höher ausführen und Ihr Konto muss Mitglied der integrierten Administratorgruppe sein. Führen Sie den `$PSVersionTable.PSVersion` Befehl von aus PowerShell , um Ihre PowerShell Version zu überprüfen.
Führen Sie den folgenden PowerShell Befehl aus, um zu überprüfen, ob Sie Mitglied der integrierten Administratorgruppe sind:
```
(New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)
```
Wenn Sie Mitglied der integrierten Administratorgruppe sind, lautet die Ausgabe `True`.
Führen Sie den folgenden Befehl aus PowerShell, um OpenSSH für Windows mit zu installieren PowerShell .
```
Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
```
Es folgt eine Beispielausgabe.
```
Path :
Online : True
RestartNeeded : False
```
Führen Sie den folgenden PowerShell Befehl aus, um OpenSSH PowerShell unter Windows zu deinstallieren.
```
Remove-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
```
Es folgt eine Beispielausgabe.
```
Path :
Online : True
RestartNeeded : True
```
## Windows-Subsystem für Linux (WSL) installieren
Nach der Installation der WSL unter Windows können Sie von Ihrem Windows-Computer aus eine Verbindung zu Ihrer Linux-Instance herstellen, indem Sie Linux-Befehlszeilen-Tools, wie z. B. einen SSH-Client, verwenden.
Folgen Sie den Anweisungen in [Das Windows-Subsystem für Linux auf Ihrer EC2-Windows-Instance installieren](install-wsl-on-ec2-windows-instance.md). Wenn Sie den Anweisungen in der Installationsanleitung von Microsoft folgen, wird dort die Ubuntu-Distribution von Linux installiert. Sie können eine andere Linux-Distribution installieren, wenn Sie dies wünschen.
Kopieren Sie in einem WSL-Terminal-Fenster die Datei `.pem` (für das Schlüsselpaar, das Sie beim Start der Instance angegeben haben) von Windows zu WSL. Beachten Sie den vollqualifizierten Pfad zur Datei `.pem` in WSL, der zum Herstellen der Verbindung mit Ihrer Instance verwendet wird. Informationen dazu, wie Sie den Pfad zu Ihrem Windows-Laufwerk angeben, finden Sie unter [How do I access my C drive?](https://learn.microsoft.com/en-us/windows/wsl/faq#how-do-i-access-my-c--drive-).
```
cp /mnt//path/my-key-pair.pem ~/WSL-path/my-key-pair.pem
```
Informationen zum Deinstallieren des Windows-Subsystems für Linux finden Sie unter [How do I uninstall a WSL Distribution?](https://learn.microsoft.com/en-us/windows/wsl/faq#how-do-i-uninstall-a-wsl-distribution-).
## Verbinden mit der Linux-Instance über einen SSH-Client
Verwenden Sie die folgende Vorgehensweise, um per SSH-Client eine Verbindung mit Ihrer Linux-Instance herzustellen.
**So stellen Sie mithilfe eines SSH-Clients eine Verbindung zu Ihrer Instance her**
1. Öffnen Sie ein Terminal-Fenster auf Ihrem Computer.
1. Stellen Sie mit dem Befehl **ssh** eine Verbindung zur Instance her. Sie benötigen die Details zu Ihrer Instance, die Sie im Rahmen der Voraussetzungen gesammelt haben. Sie benötigen beispielsweise den Speicherort des privaten Schlüssels (`.pem`Datei), den Benutzernamen und den öffentlichen DNS-Namen oder IPv6 die Adresse. Die Folgenden sind Beispielbefehle.
+ (Öffentliches DNS) Geben Sie den folgenden Befehl ein, um den öffentlichen DNS-Namen zu verwenden.
```
ssh -i /path/key-pair-name.pem instance-user-name@instance-public-dns-name
```
+ (IPv6) Wenn Ihre Instance eine IPv6 Adresse hat, geben Sie alternativ den folgenden Befehl ein, um die IPv6 Adresse zu verwenden.
```
ssh -i /path/key-pair-name.pem instance-user-name@2001:db8::1234:5678:1.2.3.4
```
Nachfolgend finden Sie eine Beispielantwort.
```
The authenticity of host 'ec2-198-51-100-1.compute-1.amazonaws.com (198-51-100-1)' can't be established.
ECDSA key fingerprint is l4UB/neBad9tvkgJf1QZWxheQmR59WgrgzEimCG6kZY.
Are you sure you want to continue connecting (yes/no)?
```
1. (Optional) Vergewissern Sie sich, dass der Fingerabdruck in der Sicherheitswarnung mit dem Fingerabdruck übereinstimmt. Wenn diese Fingerabdrücke nicht übereinstimmen, versucht möglicherweise jemand einen man-in-the-middle Angriff. Falls die Fingerabdrücke übereinstimmen, können Sie mit dem nächsten Schritt fortfahren. Weitere Informationen finden Sie unter [Den Instance-Fingerabdruck erhalten](connection-prereqs-general.md#connection-prereqs-fingerprint).
1. Geben Sie ei **yes**.
Sie erhalten in etwa folgende Antwort:
```
Warning: Permanently added 'ec2-198-51-100-1.compute-1.amazonaws.com' (ECDSA) to the list of known hosts.
```
# Verbindung mit Ihrer Linux-Instance mithilfe von PuTTY
Sie können eine Verbindung zu Ihrer Linux-Instance mit PuTTY, einem kostenlosen SSH-Client für Windows, herstellen.
Wenn Sie Windows Server 2019 oder höher ausführen, empfehlen wir die Verwendung von OpenSSH, einem Open-Source-Verbindungstool für die Fernanmeldung mit dem SSH-Protokoll.
**Anmerkung**
Wenn Sie beim Versuch, eine Verbindung zu Ihrer Instance herzustellen, eine Fehlermeldung erhalten, stellen Sie sicher, dass Ihre Instance alle [Voraussetzungen für eine SSH-Verbindung](connect-linux-inst-ssh.md#ssh-prereqs-linux-from-linux-macos) erfüllt. Wenn alle Voraussetzungen erfüllt sind und Sie immer noch keine Verbindung zu Ihrer Linux-Instance herstellen können, lesen Sie [Fehlersuche bei Verbindungsproblemen mit Ihrer Amazon-EC2-Linux-Instance](TroubleshootingInstancesConnecting.md).
**Topics**
+ [Voraussetzungen](#putty-prereqs)
+ [Konvertiere deinen privaten Schlüssel mit Pu TTYgen](#putty-private-key)
+ [Herstellen einer Verbindung zur Linux-Instance](#putty-ssh)
## Voraussetzungen
Erledigen Sie die folgenden Aufgaben, bevor Sie mit PuTTY eine Verbindung mit Ihrer Linux-Instance herstellen.
**Vervollständigen Sie die allgemeinen Voraussetzungen.**
+ Stellen Sie sicher, dass Ihre Instance ihre Statusprüfungen bestanden hat. Es kann ein paar Minuten dauern, bis die Instance für die Verbindung bereitsteht. Weitere Informationen finden Sie unter [Anzeigen der Statusprüfungen](viewing_status.md).
+ [Rufen Sie die erforderlichen Instance-Details ab](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Lokalisieren des privaten Schlüssels und Festlegen von Berechtigungen](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Optional) Anfordern des Instance-Fingerabdrucks](connection-prereqs-general.md#connection-prereqs-fingerprint).
**Lassen Sie eingehenden SSH-Datenverkehr von Ihrer IP-Adresse zu.**
Stellen Sie sicher, dass die mit Ihrer Instance verknüpfte Sicherheitsgruppe eingehenden SSH-Datenverkehr von Ihrer IP-Adresse zulässt. Weitere Informationen finden Sie unter [Regeln für die Verbindung mit Instances von Ihrem Computer aus](security-group-rules-reference.md#sg-rules-local-access).
**Installieren Sie PuTTY auf Ihrem lokalen Computer (falls erforderlich).**
Laden Sie PuTTY über die [Downloadseite für PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/) herunter und führen Sie die Installation durch. Wenn Sie bereits eine frühere Version von PuTTY installiert haben, wird empfohlen, die neueste Version herunterzuladen. Vergewissern Sie sich, dass Sie die gesamte Suite installieren.
**Konvertieren Sie Ihren privaten Schlüssel mit Pu TTYgen in das PPK-Format.**
Sie müssen den privaten Schlüssel für das Schlüsselpaar angeben, das Sie beim Start der Instance angegeben haben. Wenn Sie den privaten Schlüssel im PEM-Format erstellt haben, müssen Sie ihn ins PPK-Format umwandeln, damit er mit PuTTY genutzt werden kann. Suchen Sie den privaten Schlüssel (PEM-Datei) und folgen Sie dann den Schritten in [Konvertiere deinen privaten Schlüssel mit Pu TTYgen](#putty-private-key).
## (Optional) Konvertiere deinen privaten Schlüssel mit Pu TTYgen
PuTTY unterstützt das PEM-Format für SSH-Schlüssel nicht nativ. PuTTY bietet ein Tool namens PuTTYgen, das PEM-Schlüssel in das für PuTTY erforderliche PPK-Format konvertiert. Wenn Sie den Schlüssel im PEM-Format statt PPK-Format erstellt haben, müssen Sie Ihren privaten Schlüssel (PEM-Datei) ins Format (PPK-Datei) umwandeln, damit er mit PuTTY genutzt werden kann.
**Einen privaten PEM-Schlüssel in das PPK-Format konvertieren**
1. Wählen **Sie im Startmenü** **Alle Programme**, **PuTTY, **Pu TTYgen****.
1. Wählen Sie unter **Type of key to generate** die Option **RSA**. Wenn Ihre Version von Pu diese Option TTYgen nicht enthält, wählen Sie **SSH-2** RSA.
![\[RSA-Schlüssel in Pu. TTYgen\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/puttygen-key-type.png)
1. Wählen Sie **Laden** aus. Standardmäßig TTYgen zeigt Pu nur Dateien mit der Erweiterung `.ppk` an. Damit Sie die `.pem`-Datei finden, wählen Sie die Option zur Anzeige aller Dateitypen aus.
![\[Wählen Sie alle Dateitypen aus.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/puttygen-load-key.png)
1. Wählen Sie Ihre `.pem`-Datei für das Schlüsselpaar aus, das Sie beim Starten Ihrer Instance angegeben haben, und wählen Sie anschließend **Open (Öffnen)**. Pu TTYgen zeigt einen Hinweis an, dass die `.pem` Datei erfolgreich importiert wurde. Klicken Sie auf **OK**.
1. Klicken Sie auf **Save private key**, um den Schlüssel in einem mit PuTTY kompatiblen Format zu speichern. Pu TTYgen zeigt eine Warnung zum Speichern des Schlüssels ohne Passphrase an. Wählen Sie **Yes (Ja)**.
**Anmerkung**
Eine Passphrase stellt bei einem privaten Schlüssel eine zusätzliche Schutzebene dar. Auch wenn Ihr privater Schlüssel erkannt wird, kann er ohne die Passphrase nicht verwendet werden. Der Nachteil einer Passphrase ist, dass sie die Automatisierung erschwert, da für Anmeldungen bei einer Instance oder dem Kopieren von Dateien zu einer Instance menschliche Eingriffe erforderlich sind.
1. Geben Sie den gleichen Namen für den Schlüssel an, den Sie für das Schlüsselpaar verwendet haben (z. B. `key-pair-name`), und wählen Sie **Save** (Speichern) aus. PuTTY fügt automatisch die Dateierweiterung `.ppk` hinzu.
Ihr persönlicher Schlüssel ist nun im korrekten Format zur Verwendung mit PuTTY. Sie können sich nun über den SSH-Client von PuTTY mit Ihrer Instance verbinden.
## Herstellen einer Verbindung zur Linux-Instance
Verwenden Sie die folgende Vorgehensweise, um per PuTTY eine Verbindung mit Ihrer Linux-Instance herzustellen. Sie benötigen die `.ppk`-Datei, die Sie für Ihren privaten Schlüssel erstellt haben. Für weitere Informationen vgl. [(Optional) Konvertiere deinen privaten Schlüssel mit Pu TTYgen](#putty-private-key) im vorherigen Abschnitt. Weitere Informationen zu Problemen, die beim Aufbau einer Verbindung zu Instances auftreten können, finden Sie unter [Fehlersuche bei Verbindungsproblemen mit Ihrer Amazon-EC2-Linux-Instance](TroubleshootingInstancesConnecting.md).
**Letzte getestete Version** – PuTTY .78
**So stellen Sie mithilfe von PuTTY eine Verbindung mit Ihrer Instance her**
1. Starten Sie PuTTY (suchen Sie im **Startmenü** nach **PuTTY** und wählen Sie anschließend **Öffnen** aus).
1. Wählen Sie im Bereich **Category** die Option **Session** und füllen Sie die folgenden Felder aus:
1. Führen Sie im Feld **Host Name (Hostname)** einen der folgenden Schritte aus:
+ (Öffentliches DNS) Zur Herstellung einer Verbindung mit dem öffentlichen DNS-Namen Ihrer Instance geben Sie *instance-user-name*@*instance-public-dns-name* ein.
+ (IPv6) Wenn Ihre Instance eine IPv6 Adresse hat, geben Sie alternativ @ ein, um eine Verbindung über die IPv6 Adresse Ihrer Instanz herzustellen. *instance-user-name* *2001:db8::1234:5678:1.2.3.4*
Informationen darüber, wie Sie den Benutzernamen für Ihre Instance und den öffentlichen DNS-Namen oder die IPv6 Adresse Ihrer Instance abrufen, finden Sie unter[Rufen Sie die erforderlichen Instance-Details ab](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
1. Vergewissern Sie sich, dass der **Port**-Wert 22 ist.
1. Wählen Sie unter **Connection type** die Option **SSH**.
![\[PuTTY-Konfiguration – Sitzung.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/putty-session-config.png)
1. (Optional) Sie können konfigurieren, dass PuTTY in regelmäßigen Zeitabständen automatisch 'keepalive'-Daten sendet, um die Sitzung aktiv zu halten. Auf diese Weise können Sie vermeiden, dass die Verbindung mit Ihrer Instance aufgrund von Sitzungsinaktivität getrennt wird. Wählen Sie im Bereich **Kategorie** die Option **Verbindung** aus und geben Sie dann das erforderliche Intervall in **Sekunden zwischen Keepalives** ein. Wenn Ihre Sitzung z. B. nach 10 Minuten Inaktivität getrennt wird, geben Sie „180“ ein, damit PuTTY so konfiguriert wird, dass alle 3 Minuten keepalive-Daten gesendet werden.
1. Erweitern Sie im Bereich **Kategorie** die Optionen **Verbindung**, **SSH** und **Authentifizierung**. Wählen Sie **Anmeldeinformationen** aus.
1. Wählen Sie neben **Private Schlüsseldatei für Authentifizierung:** die Option **Durchsuchen** aus. Wählen Sie im Dialogfeld **Private Schlüsseldatei auswählen** die `.ppk`-Datei aus, die Sie für Ihr Schlüsselpaar generiert haben. Sie können entweder auf die Datei doppelklicken oder **Öffnen** im Dialogfeld **Private Schlüsseldatei auswählen** wählen.
1. (Optional) Wenn Sie planen, nach dieser Sitzung erneut eine Verbindung zu dieser Instance herzustellen, können Sie die Sitzungsinformationen für die zukünftige Verwendung speichern. Wählen Sie im Bereich **Kategorie** die Option **Sitzung** aus. Geben Sie unter **Gespeicherte Sitzungen** einen Namen für die Sitzung ein und wählen Sie dann **Speichern**.
1. Um eine Verbindung mit der Instance herzustellen, wählen Sie **Öffnen**.
1. Wenn Sie zum ersten Mal eine Verbindung mit dieser Instance hergestellt haben, zeigt PuTTY ein Dialogfeld mit einer Sicherheitswarnung an. Darin werden Sie gefragt, ob Sie dem Host vertrauen, mit dem die Verbindung hergestellt werden soll.
1. (Optional) Vergewissern Sie sich, dass der Fingerabdruck im Dialogfeld der Sicherheitswarnung mit dem Fingerabdruck übereinstimmt, den Sie zuvor unter [(Optional) Anfordern des Instance-Fingerabdrucks](connection-prereqs-general.md#connection-prereqs-fingerprint) abgerufen haben. Wenn diese Fingerabdrücke nicht übereinstimmen, versucht möglicherweise jemand einen "man-in-the-middle" -Angriff. Falls die Fingerabdrücke übereinstimmen, können Sie mit dem nächsten Schritt fortfahren.
1. Wählen Sie **Accept** (Akzeptieren) aus. Ein neues Fenster wird geöffnet, und Sie sind mit Ihrer Instance verbunden.
**Anmerkung**
Falls Sie eine Passphrase angegeben haben, als Sie den persönlichen Schlüssel in das PuTTY-Format konvertiert hatten, müssen Sie diese Passphrase eingeben, wenn Sie sich bei der Instance anmelden.
Weitere Informationen zu Problemen, die beim Aufbau einer Verbindung zu Instances auftreten können, finden Sie unter [Fehlersuche bei Verbindungsproblemen mit Ihrer Amazon-EC2-Linux-Instance](TroubleshootingInstancesConnecting.md).
# Dateien zu einer Linux-Instance mit SCP übertragen
Eine Möglichkeit, Dateien zwischen Ihrem lokalen Computer und einer Linux-Instance zu übertragen, ist die Verwendung von Secure Copy Protocol (SCP). SCP ist eine gute Option für einfache Vorgänge, wie z. B. einmalige Dateikopien. SCP sichert Dateiübertragungen mit derselben PEM-Datei, mit der Sie über SSH eine Verbindung zu einer Instance herstellen. Wenn Sie Dateien synchronisieren müssen oder wenn die Dateien groß sind, ist **rsync** schneller und effizienter als SCP. Verwenden Sie aus Sicherheitsgründen **rsync** über SSH, da **rsync** Daten standardmäßig im Klartext überträgt.
Erfüllen Sie die folgenden Voraussetzungen, bevor Sie eine Verbindung mit Ihrer Linux-Instance mit SCP herstellen:
+ **Die allgemeinen Voraussetzungen erfüllen.**
+ Stellen Sie sicher, dass Ihre Instance ihre Statusprüfungen bestanden hat. Es kann ein paar Minuten dauern, bis die Instance für die Verbindung bereitsteht. Weitere Informationen finden Sie unter [Anzeigen der Statusprüfungen](viewing_status.md).
+ [Rufen Sie die erforderlichen Instance-Details ab](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Lokalisieren des privaten Schlüssels und Festlegen von Berechtigungen](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Optional) Anfordern des Instance-Fingerabdrucks](connection-prereqs-general.md#connection-prereqs-fingerprint).
+ **Lassen Sie eingehenden SSH-Datenverkehr von Ihrer IP-Adresse zu.**
Stellen Sie sicher, dass die mit Ihrer Instance verknüpfte Sicherheitsgruppe eingehenden SSH-Datenverkehr von Ihrer IP-Adresse zulässt. Weitere Informationen finden Sie unter [Regeln für die Verbindung mit Instances von Ihrem Computer aus](security-group-rules-reference.md#sg-rules-local-access).
+ **Installieren eines SCP-Clients**
Die meisten Linux-, Unix- und Apple-Computer enthalten standardmäßig einen SCP-Client. Falls dies bei Ihnen nicht der Fall ist, können Sie über das OpenSSH-Projekt die kostenlose Implementierung der gesamten SSH-Tools nutzen, einschließlich des SCP-Clients. Weitere Informationen finden Sie unter [https://www.openssh.com](https://www.openssh.com).
Das folgende Verfahren führt Sie Schritt für Schritt durch die Verwendung von SCP zur Übertragung einer Datei unter Verwendung des öffentlichen DNS-Namens der Instance oder der IPv6 Adresse, falls Ihre Instance einen hat.
**So verwenden Sie SCP zum Übertragen von Dateien zwischen Ihrem Computer und Ihrer Instance**
1. Bestimmen Sie den Speicherort der Quelldatei auf Ihrem Computer und den Zielpfad auf der Instance. In den folgenden Beispielen lautet der Name der privaten Schlüsseldatei`key-pair-name.pem`, die zu übertragende Datei lautet`my-file.txt`, der Benutzername für die Instanz istec2-user, der öffentliche DNS-Name der Instanz lautet `instance-public-dns-name` und die IPv6 Adresse der Instanz lautet`2001:db8::1234:5678:1.2.3.4`.
+ (Öffentlicher DNS) Um eine Datei an das Ziel der Instance zu übertragen, geben Sie den folgenden Befehl von Ihrem Computer aus ein.
```
scp -i /path/key-pair-name.pem /path/my-file.txt ec2-user@instance-public-dns-name:path/
```
+ (IPv6) Um eine Datei an das Ziel auf der Instance zu übertragen, wenn die Instance eine IPv6 Adresse hat, geben Sie den folgenden Befehl von Ihrem Computer aus ein. Die IPv6 Adresse muss in eckige Klammern (`[ ]`) eingeschlossen werden, die maskiert werden müssen (`\`).
```
scp -i /path/key-pair-name.pem /path/my-file.txt ec2-user@\[2001:db8::1234:5678:1.2.3.4\]:path/
```
1. Wenn Sie noch keine Verbindung mit der Instance über SSH hergestellt haben, wird eine Antwort wie etwa die folgende angezeigt:
```
The authenticity of host 'ec2-198-51-100-1.compute-1.amazonaws.com (10.254.142.33)'
can't be established.
RSA key fingerprint is 1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f.
Are you sure you want to continue connecting (yes/no)?
```
(Optional) Sie können optional überprüfen, ob der Fingerabdruck in der Sicherheitswarnung mit dem Fingerabdruck der Instance übereinstimmt. Weitere Informationen finden Sie unter [(Optional) Anfordern des Instance-Fingerabdrucks](connection-prereqs-general.md#connection-prereqs-fingerprint).
Geben Sie **yes** ein.
1. Wenn die Übertragung erfolgreich ist, ähnelt die Antwort der folgenden:
```
Warning: Permanently added 'ec2-198-51-100-1.compute-1.amazonaws.com' (RSA)
to the list of known hosts.
my-file.txt 100% 480 24.4KB/s 00:00
```
1. Um eine Datei in die andere Richtung (von Ihrer EC2 Amazon-Instance auf Ihren Computer) zu übertragen, kehren Sie die Reihenfolge der Host-Parameter um. Sie können beispielsweise eine Übertragung `my-file.txt` von Ihrer EC2 Instance zu einem Ziel auf Ihrem lokalen Computer durchführen`my-file2.txt`, wie in den folgenden Beispielen gezeigt.
+ (Öffentlicher DNS) Um eine Datei an ein Ziel auf Ihrem Computer zu übertragen, geben Sie den folgenden Befehl von Ihrem Computer aus ein.
```
scp -i /path/key-pair-name.pem ec2-user@instance-public-dns-name:path/my-file.txt path/my-file2.txt
```
+ (IPv6) Um eine Datei an ein Ziel auf Ihrem Computer zu übertragen, wenn die Instanz über eine IPv6 Adresse verfügt, geben Sie den folgenden Befehl von Ihrem Computer aus ein. Die IPv6 Adresse muss in eckige Klammern (`[ ]`) eingeschlossen werden, die maskiert werden müssen (`\`).
```
scp -i /path/key-pair-name.pem ec2-user@\[2001:db8::1234:5678:1.2.3.4\]:path/my-file.txt path/my-file2.txt
```
# Systembenutzer auf Ihrer Amazon EC2 Linux-Instance verwalten
Jede Linux-Instance wird mit einem Standardbenutzer des Linux-Systems gestartet. Sie können Benutzer zu Ihrer Instance hinzufügen und Benutzer löschen.
Für den Standardbenutzer wird der [Standardbenutzername](#ami-default-user-names) durch das AMI bestimmt, das beim Starten der Instance angegeben wurde.
**Anmerkung**
Standardmäßig sind die Passwortauthentifizierung und die Root-Anmeldung deaktiviert und sudo ist aktiviert. Um sich bei Ihrer Instance anzumelden, müssen Sie ein Schlüsselpaar verwenden. Weitere Informationen zum Anmelden finden Sie unter [Herstellen einer Verbindung zu Ihrer Linux-Instance mit SSH](connect-to-linux-instance.md).
Sie können die Passwortauthentifizierung und die Root-Anmeldung für Ihre Instance zulassen. Weitere Informationen finden Sie in der Dokumentation für das Betriebssystem Ihrer Instance.
**Anmerkung**
Linux-Systembenutzer sollten nicht mit IAM-Benutzern verwechselt werden. Weitere Informationen finden Sie unter [IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_iam-users) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Standardbenutzernamen](#ami-default-user-names)
+ [Überlegungen](#add-user-best-practice)
+ [Erstellen eines Benutzers](#create-user-account)
+ [Entfernen eines Benutzers](#delete-user-account)
## Standardbenutzernamen
Der Standardbenutzername für Ihre EC2 Instance wird durch das AMI bestimmt, das beim Start der Instance angegeben wurde.
Die Standardbenutzernamen lauten:
+ Bei einem Amazon-Linux-AMI lautet der Benutzername `ec2-user`.
+ Bei einem CentOS-AMI lautet der Benutzername `centos` oder `ec2-user`.
+ Für ein Debian-AMI lautet der Benutzername `admin`.
+ Bei einem Fedora-AMI lautet der Benutzername `fedora` oder `ec2-user`.
+ Für ein FreeBSD-AMI lautet der Benutzername `ec2-user`.
+ Bei einem RHEL-AMI lautet der Benutzername `ec2-user` oder `root`.
+ Bei einem SUSE-AMI lautet der Benutzername `ec2-user` oder `root`.
+ Für ein Ubuntu-AMI lautet der Benutzername `ubuntu`.
+ Bei einem Oracle-AMI lautet der Benutzername `ec2-user`.
+ Für ein Bitnami-AMI lautet der Benutzername `bitnami`.
**Anmerkung**
Um den Standardbenutzernamen für andere Linux-Distributionen zu finden, wenden Sie sich an den AMI-Anbieter.
## Überlegungen
Die Verwendung des Standardbenutzers ist für viele Anwendungen ausreichend. Sie können jedoch auch Benutzer hinzufügen, damit jeder seine eigenen Dateien und Workspaces haben kann. Darüber hinaus ist das Erstellen von Benutzern für neue Benutzer viel sicherer, als mehreren (möglicherweise unerfahrenen) Benutzern Zugriff auf den Standardbenutzer zu gewähren, da der Standardbenutzer bei unsachgemäßer Verwendung großen Schaden an einem System anrichten kann. Weitere Informationen finden Sie unter [Tipps zur Sicherung Ihrer EC2 Instance](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/).
Um Benutzern mithilfe eines Linux-Systembenutzers den SSH-Zugriff auf Ihre EC2 Instance zu ermöglichen, müssen Sie den SSH-Schlüssel mit dem Benutzer teilen. Alternativ können Sie EC2 Instance Connect verwenden, um Benutzern Zugriff zu gewähren, ohne SSH-Schlüssel teilen und verwalten zu müssen. Weitere Informationen finden Sie unter [Herstellen einer Verbindung zu Ihrer Linux-Instance mit einer öffentlichen IP-Adresse und EC2 Instance Connect](connect-linux-inst-eic.md).
## Erstellen eines Benutzers
Erstellen Sie zuerst den Benutzer und fügen Sie dann den öffentlichen SSH-Schlüssel hinzu, der es dem Benutzer ermöglicht, eine Verbindung mit der Instance herzustellen und sich bei ihr anzumelden.
**Wichtig**
In Schritt 1 dieses Verfahrens erstellen Sie ein neues Schlüsselpaar. Da ein Schlüsselpaar wie ein Passwort funktioniert, ist es wichtig, es sicher zu handhaben. Wenn Sie ein Schlüsselpaar für einen Benutzer erstellen, müssen Sie sicherstellen, dass der private Schlüssel sicher an ihn gesendet wird. Alternativ kann der Benutzer die Schritte 1 und 2 abschließen, indem er sein eigenes Schlüsselpaar erstellt, den privaten Schlüssel sicher auf seinem Computer aufbewahrt und Ihnen dann den öffentlichen Schlüssel sendet, um das Verfahren aus Schritt 3 abzuschließen.
**So erstellen Sie einen Benutzer**
1. [Erstellen Sie ein neues Schlüsselpaar](create-key-pairs.md#having-ec2-create-your-key-pair). Sie müssen die `.pem`-Datei dem Benutzer bereitstellen, für den Sie den Benutzer erstellen. Er muss diese Datei verwenden, um eine Verbindung mit der Instance herzustellen.
1. Rufen Sie den öffentlichen Schlüssel aus dem Schlüsselpaar ab, das Sie im vorherigen Schritt erstellt haben.
```
$ ssh-keygen -y -f /path_to_key_pair/key-pair-name.pem
```
Der Befehl gibt den öffentlichen Schlüssel zurück, wie im folgenden Beispiel gezeigt.
```
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6Vhz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXrlsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZqaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3RbBQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE
```
1. Stellen Sie eine Verbindung zur Instance her.
1. Verwenden Sie den **adduser**-Befehl, um den Benutzer zu erstellen und ihn dem System hinzuzufügen (mit einem Eintrag in der `/etc/passwd`-Datei). Der Befehl erstellt außerdem eine Gruppe und ein Basisverzeichnis für den Benutzer. In diesem Beispiel lautet der Benutzer `newuser`.
+ AL2023 und Amazon Linux 2
Bei AL2 023 und Amazon Linux 2 wird der Benutzer mit standardmäßig deaktivierter Passwortauthentifizierung erstellt.
```
[ec2-user ~]$ sudo adduser newuser
```
+ Ubuntu
Schließen Sie den `--disabled-password`-Parameter ein, um den Benutzer mit deaktivierter Kennwortauthentifizierung zu erstellen.
```
[ubuntu ~]$ sudo adduser newuser --disabled-password
```
1. Wechseln Sie zum neuen Benutzer, damit das Verzeichnis und die Datei, die Sie erstellen, die richtigen Eigentumsrechte erhalten.
```
[ec2-user ~]$ sudo su - newuser
```
Die Eingabeaufforderung wechselt von `ec2-user` zu `newuser`, um anzuzeigen, dass Sie die Shell-Sitzung auf den neuen Benutzer umgestellt haben.
1. Fügen Sie dem Benutzer den öffentlichen SSH-Schlüssel hinzu. Erstellen Sie zuerst im Stammverzeichnis des Benutzers ein Verzeichnis für die SSH-Schlüsseldatei. Erstellen Sie dann die Schlüsseldatei und fügen Sie abschließend den öffentlichen Schlüssel in die Schlüsseldatei ein, wie in den folgenden Unterschritten beschrieben.
1. Erstellen Sie ein Verzeichnis `.ssh` im Stammverzeichnis von `newuser` und ändern Sie seine Dateiberechtigungen in `700` (nur der Eigentümer kann das Verzeichnis öffnen, lesen oder darin schreiben).
```
[newuser ~]$ mkdir .ssh
```
```
[newuser ~]$ chmod 700 .ssh
```
**Wichtig**
Ohne diese Dateiberechtigungen kann sich der Benutzer nicht anmelden.
1. Erstellen Sie eine Datei namens `authorized_keys` im Verzeichnis `.ssh` und ändern Sie seine Dateiberechtigungen in `600` (nur der Eigentümer kann diese Datei lesen oder darin schreiben).
```
[newuser ~]$ touch .ssh/authorized_keys
```
```
[newuser ~]$ chmod 600 .ssh/authorized_keys
```
**Wichtig**
Ohne diese Dateiberechtigungen kann sich der Benutzer nicht anmelden.
1. Öffnen Sie die Datei `authorized_keys` mit einem Texteditor Ihrer Wahl, z. B. **vim** oder **nano**.
```
[newuser ~]$ nano .ssh/authorized_keys
```
Fügen Sie den öffentlichen Schlüssel, den Sie in **Schritt 2** abgerufen haben, in die Datei ein, und speichern Sie die Änderungen.
**Wichtig**
Stellen Sie sicher, dass Sie den öffentlichen Schlüssel in eine durchgehende Zeile einfügen. Der öffentliche Schlüssel darf nicht auf mehrere Zeilen aufgeteilt werden.
Der Benutzer sollte sich nun bei dem `newuser`-Benutzer auf Ihrer Instance mit dem privaten Schlüssel anmelden können, der dem öffentlichen Schlüssel entspricht, den Sie der `authorized_keys`-Datei hinzugefügt haben. Weitere Informationen zu den verschiedenen Methoden zum herstellen einer Verbindung mit einer Linux-Instance finden Sie unter [Herstellen einer Verbindung zu Ihrer Linux-Instance mit SSH](connect-to-linux-instance.md).
## Entfernen eines Benutzers
Wenn ein Benutzer nicht mehr benötigt wird, können Sie ihn entfernen, damit er nicht mehr verwendet werden kann.
Verwenden Sie den **userdel**-Befehl, um den Benutzer aus dem System zu entfernen. Wenn Sie den Parameter `-r` angeben, werden das Stammverzeichnis und die Mail Spool gelöscht. Lassen Sie den Parameter `-r` weg, um das Stammverzeichnis und die Mail Spool nicht zu löschen.
```
[ec2-user ~]$ sudo userdel -r olduser
```
# Herstellen einer Verbindung mit Ihrer Windows-Instance mithilfe von RDP
Sie können mit Remote Desktop eine Verbindung zu Amazon EC2 EC2-Instances herstellen, die mit den meisten Windows Amazon Machine Images (AMIs) erstellt wurden. Das Remote Desktop verwendet das Remote Desktop Protocol (RDP) und bietet Ihnen die Möglichkeit, sich mit Ihrer Instance zu verbinden und sie wie einen normalen (lokalen) Computer zu verwenden. Sie steht für die meisten Windows-Versionen und auch für Mac OS zur Verfügung.
Die Lizenz für das Windows Server-Betriebssystem ermöglicht zwei gleichzeitige Remote-Verbindungen zu Verwaltungszwecken. Die Lizenzkosten für Windows Server sind in den Kosten für Ihre Windows-Instance enthalten. Falls Sie mehr als zwei gleichzeitige Remote-Verbindungen benötigen, ist der Erwerb einer Remote Desktop Services-Lizenz (RDS) erforderlich. Wenn Sie versuchen, eine dritte Verbindung aufzubauen, erhalten Sie eine Fehlermeldung.
**Tipp**
Wenn Sie eine Verbindung zu Ihrer Instance herstellen müssen, um Boot-, Netzwerkkonfigurations- und andere Probleme für Instances, die auf dem [AWS Nitro System](https://aws.amazon.com/ec2/nitro/) aufgebaut sind, zu beheben, können Sie die [Serielle EC2-Konsole für -Instances](ec2-serial-console.md) verwenden.
**Topics**
+ [Verbindung zu Ihrer Windows-Instance mithilfe eines RDP-Clients herstellen](connect-rdp.md)
+ [Herstellen einer Verbindung mit Ihrer Windows-Instance mithilfe von Fleet Manager](connect-rdp-fleet-manager.md)
+ [Dateien mit RDP auf eine Windows-Instance übertragen](connect-to-linux-instanceWindowsFileTransfer.md)
# Verbindung zu Ihrer Windows-Instance mithilfe eines RDP-Clients herstellen
Sie können eine Verbindung zu Ihrer Windows-Instance mit einem RDP-Client wie folgt herstellen.
**Tipp**
Alternativ können Sie mit [Systems Manager Flotten-Manager](connect-rdp-fleet-manager.md) oder [EC2-Instance-Verbindungs-Endpunkt](connect-with-ec2-instance-connect-endpoint.md) eine Verbindung zu Ihrer Windows-Instance herstellen.
## Voraussetzungen
Sie müssen die folgenden Voraussetzungen erfüllen, um eine Verbindung mit Ihrer Windows-Instance mithilfe eines RDP-Clients herzustellen.
+ **Vervollständigen Sie die allgemeinen Voraussetzungen.**
+ Stellen Sie sicher, dass Ihre Instance ihre Statusprüfungen bestanden hat. Es kann ein paar Minuten dauern, bis die Instance für die Verbindung bereitsteht. Weitere Informationen finden Sie unter [Anzeigen der Statusprüfungen](viewing_status.md).
+ [Rufen Sie die erforderlichen Instance-Details ab](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Lokalisieren des privaten Schlüssels und Festlegen von Berechtigungen](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Optional) Anfordern des Instance-Fingerabdrucks](connection-prereqs-general.md#connection-prereqs-fingerprint).
+ **Installieren eines RDP-Clients.**
+ (Windows) Windows enthält standardmäßig einen RDP-Client. Zum Überprüfen geben Sie **mstsc** in ein Eingabeaufforderungfenster ein. Wenn Ihr Computer diesen Befehl nicht erkennt, laden Sie die [Microsoft Remote Desktop App](https://apps.microsoft.com/detail/9wzdncrfj3ps) aus dem Microsoft Store herunter.
+ (macOS X) Laden Sie die [Windows-App für Mac (ehemalig Microsoft Remote Desktop)](https://apps.apple.com/us/app/windows-app/id1295203466?mt=12) vom Mac App Store herunter.
+ (Linux) Verwenden Sie [Remmina](https://remmina.org/).
+ **Lassen Sie eingehenden RDP-Datenverkehr von Ihrer IP-Adresse zu.**
Stellen Sie sicher, dass die mit Ihrer Instance verknüpfte Sicherheitsgruppe eingehenden RDP-Datenverkehr von Ihrer IP-Adresse zulässt. Weitere Informationen finden Sie unter [Regeln für die Verbindung mit Instances von Ihrem Computer aus](security-group-rules-reference.md#sg-rules-local-access).
## Das Administrator-Passwort abrufen
Wenn Sie Ihre Instance mit einer Domain verknüpft haben, können Sie mit den Domain-Anmeldeinformationen von Directory Service eine Verbindung zu Ihrer Instance herstellen. Verwenden Sie auf dem Anmeldebildschirm für Remotedesktop anstelle des lokalen Computernamens und des generierten Kennworts den vollqualifizierten Benutzernamen für den Administrator (z. B. **corp.example.com\$1Admin**) und das Passwort für dieses Konto.
Zur Verbindung mit einer Windows-Instance mit RDP müssen Sie das anfängliche Administratorpasswort abrufen und es angeben, wenn Sie per Remote Desktop eine Verbindung mit Ihrer Instance herstellen. (Nach dem Start der Instance dauert es einige Minuten, bis das Passwort verfügbar ist.) Ihr Konto muss berechtigt sein, die [GetPasswordData](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetPasswordData.html)Aktion aufzurufen. Weitere Informationen finden Sie unter [Beispielrichtlinien zur Steuerung des Zugriffs auf die Amazon-EC2-API](ExamplePolicies_EC2.md).
Der Standardbenutzername für das Administratorkonto hängt von der Sprache des Betriebssystems (OS) ab, das im AMI enthalten ist. Um den richtigen Benutzernamen zu ermitteln, identifizieren Sie die Sprache des Betriebssystems und wählen Sie dann den entsprechenden Benutzernamen. Für ein englisches Betriebssystem lautet der Benutzername beispielsweise `Administrator`, für ein französisches Betriebssystem ist es `Administrateur` und für ein portugiesisches Betriebssystem ist es `Administrador`. Wenn eine Sprachversion des Betriebssystems keinen Benutzernamen in derselben Sprache hat, wählen Sie den Benutzernamen `Administrator (Other)`. Weitere Informationen finden Sie unter [Lokalisierte Namen für Administratorkonto in Windows](https://learn.microsoft.com/en-us/archive/technet-wiki/13813.localized-names-for-administrator-account-in-windows) auf der Microsoft-Website.
**So rufen Sie das Administrator-Passwort ab**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Wählen Sie die Instance aus und klicken Sie auf **Connect** (Verbinden).
1. Auf der Seite **Verbindung mit Instance herstellen** wählen Sie die Registerkarte **RDP-Client** aus.
1. Wählen Sie unter **Benutzername** den Standardbenutzernamen für das Administratorkonto aus. Der von Ihnen gewählte Benutzername muss der Sprache des Betriebssystems (OS) entsprechen, das im AMI enthalten ist, das Sie zum Starten Ihrer Instance verwendet haben. Wenn es keinen Benutzernamen in derselben Sprache wie Ihr Betriebssystem gibt, wählen Sie **Administrator (Andere)**.
1. Wählen Sie **Passwort erhalten**.
1. Gehen Sie auf der Seite **Windows-Passwort erhalten** wie folgt vor:
1. Klicken Sie auf **Private Schlüsseldatei hochladen** und navigieren Sie zu der privaten Schlüsseldatei (`.pem`), die Sie beim Starten der Instance angegeben haben. Wählen Sie die Datei aus und klicken Sie auf **Open** (Öffnen), um den gesamten Inhalt der Datei auf dieses Fenster zu kopieren.
1. Klicken Sie auf **Password entschlüsseln**. Die Seite **Passwort erhalten** wird geschlossen und das Standard-Administrator-Passwort für die Instance wird unter **Passwort** angezeigt. Es ersetzt den zuvor angezeigten Link **Passwort erhalten**.
1. Bewahren Sie das Passwort an einem sicheren Ort auf. Dieses Passwort wird benötigt, um eine Verbindung mit der Instance herzustellen.
## Herstellen einer Verbindung mit Ihrer -Windows-Instance
Das folgende Verfahren verwendet den Remote Desktop Connection Client für Windows (MSTSC). Wenn Sie einen anderen RDP-Client verwenden, laden Sie die RDP-Datei herunter und lesen Sie dann in der Dokumentation für den RDP-Client nach, wie Sie die RDP-Verbindung herstellen.
**So stellen Sie mithilfe eines RDP-Clients eine Verbindung zu einer Windows-Instance her**
1. Wählen Sie auf der Seite **Mit Instance verbinden** die Option **Remote-Desktop-Datei herunterladen** aus. Klicken Sie nach dem Herunterladen der Datei auf **Abbrechen**, um zur Seite **Instances** zurückzukehren. Die RDP-Datei wurde in Ihren `Downloads`-Ordner heruntergeladen.
1. Führen Sie `mstsc.exe` aus, um den RDP-Client zu öffnen.
1. Erweitern Sie **Optionen anzeigen**, wählen Sie **Öffnen** und wählen Sie die RDP-Datei aus Ihrem `Downloads`-Ordner aus.
1. Standardmäßig ist **Computer** der öffentliche IPv4 DNS-Name der Instanz und **Benutzername** ist das Administratorkonto. Um IPv6 stattdessen eine Verbindung mit der Instanz herzustellen, ersetzen Sie den öffentlichen IPv4 DNS-Namen der Instanz durch ihre IPv6 Adresse. Überprüfen und ändern Sie nach Bedarf die folgenden Einstellungen.
1. Wählen Sie **Connect** aus. Wenn Sie eine Warnmeldung erhalten, dass der Publisher der Remote-Verbindung unbekannt ist, klicken Sie auf **Verbinden**, um fortzufahren.
1. Geben Sie das Passwort ein, das Sie zuvor gespeichert haben, und klicken Sie dann auf **OK**.
1. Aufgrund der Art selbst signierter Zertifikate erhalten Sie möglicherweise eine Warnmeldung, dass das Sicherheitszertifikat nicht authentifiziert werden konnte. Führen Sie eine der folgenden Aktionen aus:
+ Wenn Sie dem Zertifikat vertrauen, wählen Sie **Ja**, um eine Verbindung mit Ihrer Instance herzustellen.
+ [Windows] Bevor Sie fortfahren, vergleichen Sie den Fingerabdruck des Zertifikats mit dem Wert im Systemprotokoll, um die Identität des Remotecomputers zu bestätigen. Wählen Sie **Zertifikat anzeigen** und dann auf der Registerkarte **Details** die Option **Fingerabdruck**. Vergleichen Sie diesen Wert mit dem Wert `RDPCERTIFICATE-THUMBPRINT` in **Aktionen**, **Überwachen und Problembehandlung**, **Systemprotokoll abrufen**.
+ [Mac OS X] Bevor Sie fortfahren, vergleichen Sie den Fingerabdruck des Zertifikats mit dem Wert im Systemprotokoll, um die Identität des Remotecomputers zu bestätigen. Wählen Sie **Zertifikat anzeigen**, erweitern Sie **Details** und wählen Sie **SHA1 Fingerabdrücke** aus. Vergleichen Sie diesen Wert mit dem Wert `RDPCERTIFICATE-THUMBPRINT` in **Aktionen**, **Überwachen und Problembehandlung**, **Systemprotokoll abrufen**.
1. Wenn die RDP-Verbindung erfolgreich ist, zeigt der RDP-Client den Windows-Anmeldebildschirm und dann den Windows-Desktop an. Wenn Sie stattdessen eine Fehlermeldung erhalten, finden Sie weitere Informationen unter [Der Remotedesktopdienst kann keine Verbindung zu dem Remotecomputer herstellen](troubleshoot-connect-windows-instance.md#rdp-issues). Wenn Sie mit der RDP-Verbindung fertig sind, können Sie den RDP-Client schließen.
## Benutzerkonten konfigurieren
Nachdem Sie eine Verbindung mit Ihrer Instance über RDP hergestellt haben, empfehlen wir, die folgenden Aufgaben auszuführen:
+ Ändern Sie das Standard-Passwort für den Administrator. Sie [können das Passwort ändern, während Sie in der Instance angemeldet sind](https://support.microsoft.com/en-us/windows/change-or-reset-your-windows-password-8271d17c-9f9e-443f-835a-8318c8f68b9c), genau wie bei jedem Computer, auf dem Windows-Server ausgeführt wird.
+ Erstellen Sie einen anderen Benutzer mit Administratorrechten für die Instance. Dies dient als Sicherheitsmaßnahme, falls Sie das Administratorpasswort vergessen haben oder ein Problem mit dem Administratorkonto besteht. Der neue Benutzer muss über die Berechtigung zum Zugriff auf die Instance aus der Ferne verfügen. Öffnen Sie **Systemeigenschaften** durch einen Rechtsklick auf das Symbol **Dieser Computer** auf dem Windows-Desktop oder wählen Sie im Explorer **Eigenschaften**. Wählen Sie **Remoteeinstellungen** und danach **Benutzer auswählen**, um den Benutzer der Gruppe **Remotedesktopbenutzer** hinzuzufügen.
![\[Fenster „Systemeigenschaften“.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/windows-connect-properties-rdp.png)
# Herstellen einer Verbindung mit Ihrer Windows-Instance mithilfe von Fleet Manager
Sie können Fleet Manager, eine Funktion von AWS Systems Manager, verwenden, um mithilfe des Remote Desktop Protocol (RDP) eine Verbindung zu Windows-Instances herzustellen und bis zu vier Windows-Instanzen auf derselben Seite in der anzuzeigen. AWS-Managementkonsole Sie können eine Verbindung mit der ersten Instance im Fleet Manager Remote Desktop direkt über die Seite **Instances** in der Amazon-EC2-Konsole herstellen. Weitere Informationen zu Fleet Manager finden Sie unter [Mit Remote Desktop eine Verbindung zu einem verwalteten Knoten herstellen](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html) im *Benutzerhandbuch für AWS Systems Manager *.
Sie müssen eingehenden RDP-Datenverkehr von Ihrer IP-Adresse nicht ausdrücklich zulassen, wenn Sie Fleet Manager für die Verbindung verwenden. Fleet Manager erledigt das für Sie.
**Voraussetzungen**
Bevor Sie versuchen, eine Verbindung mit einer Instance mithilfe von Flotten-Manager herzustellen, müssen Sie Ihre Umgebung einrichten. Weitere Informationen finden Sie unter [Umgebung einrichten](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html#rdp-prerequisites) im *AWS Systems Manager -Benutzerhandbuch*.
**So stellen Sie mithilfe von Flotten-Manager eine Verbindung zu einer Windows-Instance her**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Wählen Sie die Instance aus und klicken Sie auf **Connect** (Verbinden).
1. Wählen Sie auf der Registerkarte **RDP-Client** für **Verbindungstyp** die Option **Mit Flotten-Manager verbinden** aus.
1. Wählen Sie **Fleet Manager Remote Destop** aus. Daraufhin wird die Seite **Fleet Manager Remote Desktop** in der AWS Systems Manager -Konsole geöffnet.
1. Geben Sie Ihre Anmeldeinformationen ein und wählen Sie **Verbinden** aus.
1. Wenn die RDP-Verbindung erfolgreich ist, zeigt Flotten-Manager den Windows-Desktop an. Wenn Sie mit der Sitzung fertig sind, wählen Sie **Aktionen**, **Sitzung beenden**.
Weitere Informationen finden Sie im *AWS Systems Manager -Benutzerhandbuch* unter [Herstellen einer Verbindung zu einer Windows-Server-verwalteten Instance mithilfe von Remote Desktop](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html).
# Dateien mit RDP auf eine Windows-Instance übertragen
Sie können mit Ihrer Windows-Instance so wie mit jedem anderen Windows-Server arbeiten. Sie können beispielsweise zwischen einer Windows-Instance und Ihrem lokalen Computer Dateien übertragen, indem Sie das Datenaustausch-Feature der Microsoft Remote Desktop Connection (RDP)-Software verwenden. Sie können auf lokale Dateien auf Festplattenlaufwerken, DVD-Laufwerken, tragbaren Medienlaufwerken und zugeordneten Netzlaufwerken zugreifen.
Um von Ihren Windows-Instances aus auf Ihre lokalen Dateien zugreifen zu können, müssen Sie das Feature zur lokalen Dateifreigabe aktivieren, indem Sie das Laufwerk der Remotesitzung Ihrem lokalen Laufwerk zuordnen. Die Schritte unterscheiden sich geringfügig, je nachdem, ob Ihr lokales Computerbetriebssystem Windows oder macOS X ist.
Weitere Informationen zu den Voraussetzungen für eine Verbindung mit RDP finden Sie unter [Voraussetzungen](connect-rdp.md#rdp-prereqs).
------
#### [ Windows ]
**Laufwerk der Remotesitzung dem lokalen Laufwerk auf Ihrem lokalen Windows-Computer zuordnen**
1. Öffnen Sie den Remote Desktop Connection-Client.
1. Wählen Sie **Show Options** aus.
1. Fügen Sie den Instance-Host-Namen dem Feld **Computer** und den Benutzernamen dem Feld **Benutzername** hinzu, wie nachfolgend gezeigt:
1. Wählen Sie unter **Connection settings** (Verbindungseinstellungen) **Open...** (Öffnen…) aus und navigieren Sie zur RDP-Verknüpfungsdatei, die Sie in der Amazon-EC2-Konsole heruntergeladen haben. Die Datei enthält den öffentlichen IPv4 DNS-Hostnamen, der die Instanz identifiziert, und den Administratorbenutzernamen.
1. Wählen Sie die Datei und dann **Open** (Öffnen) aus. Die Felder **Computer** und **User name** (Benutzername) werden mit den Werten aus der RDP-Verknüpfungsdatei gefüllt.
1. Wählen Sie **Speichern**.
1. Wählen Sie die Registerkarte **Local Resources (Lokale Ressourcen)**.
1. Wählen Sie unter **Local devices and resources** (Lokale Geräte und Ressourcen) die Option **More...** (Mehr...) aus.
![\[Fenster „RDP Local Resources (Lokale RDP-Ressourcen)“.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/windows-connect-rdp-local-resources.png)
1. Öffnen Sie **Drives (Laufwerke)** und wählen Sie das lokale Laufwerk aus, das Sie der Windows-Instance zuordnen möchten.
1. Klicken Sie auf **OK**.
![\[Fenster „Lokale RDP-Geräte und Ressourcen“.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/windows-connect-rdp-drives.png)
1. Wählen Sie **Connect (Verbinden)** aus, um eine Verbindung mit der Windows-Instance herzustellen.
------
#### [ macOS X ]
**Laufwerk der Remotesitzung dem lokalen Verzeichnis auf Ihrem lokalen macOS X-Computer zuordnen**
1. Öffnen Sie den Remote Desktop Connection-Client.
1. Navigieren Sie zu der RDP-Datei, die Sie in der Amazon-EC2-Konsole heruntergeladen haben (als Sie erstmals die Verbindung zur Instance hergestellt haben), und ziehen Sie sie auf den Remotedesktopverbindungs-Client.
1. Klicken Sie mit der rechten Maustaste auf die RDP-Datei und wählen Sie **Edit** (Bearbeiten) aus.
1. Wählen Sie die Registerkarte **Ordner** und dann das Kontrollkästchen **Ordner umleiten** aus.
![\[Microsoft Remotedesktop-PC-Bearbeitungsfenster\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/mac-map-folder-1.png)
1. Wählen Sie das **\$1**-Symbol unten links aus, navigieren Sie zu dem Ordner, den Sie zuordnen möchten, und wählen Sie **Open** (Öffnen) aus. Wiederholen Sie diesen Schritt für jeden Ordner, der zugeordnet werden soll.
1. Wählen Sie **Speichern**.
1. Wählen Sie **Connect (Verbinden)** aus, um eine Verbindung mit der Windows-Instance herzustellen. Sie werden zur Passworteingabe aufgefordert.
1. Erweitern Sie auf der Instance im Datei-Explorer **Dieser PC** und navigieren Sie zu dem freigegebenen Ordner, über den Sie auf Ihre lokalen Dateien zugreifen können. Im folgenden Screenshot wurde der Ordner **Desktop** auf dem lokalen Computer dem Laufwerk der Remotesitzung auf der Instance zugeordnet.
![\[Microsoft Remotedesktop-PC-Bearbeitungsfenster\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/mac-map-folder-2.png)
Weitere Informationen dazu, wie Sie lokale Geräte für eine Remotesitzung auf einem Mac-Computer verfügbar machen, finden Sie unter [Erste Schritte mit dem macOS-Client](https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/remote-desktop-mac).
------
# Stellen Sie mithilfe von Session Manager eine Connect zu Ihrer EC2 Amazon-Instance her
Session Manager ist eine vollständig verwaltete AWS Systems Manager Funktion zur Verwaltung Ihrer EC2 Amazon-Instances über eine interaktive, browserbasierte Shell mit einem Klick oder über die. AWS CLI Sie können Session Manager verwenden, um eine Sitzung mit einer Instance in Ihrem Konto zu starten. Nachdem die Sitzung gestartet wurde, können Sie interaktive Befehle auf der Instance wie bei jedem anderen Verbindungstyp ausführen. Weitere Informationen zum Session Manager finden Sie unter [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) im *AWS Systems Manager -Benutzerhandbuch*.
**Voraussetzungen**
Bevor Sie versuchen, eine Verbindung mit einer Instance mithilfe des Session Managers herzustellen, müssen Sie die erforderlichen Einrichtungsschritte abschließen. Beispielsweise muss die Instance von SSM verwaltet werden und ihr muss eine IAM-Rolle mit der **SSMManagedInstanceCoreAmazon-Richtlinie** zugewiesen sein. Weitere Informationen finden Sie unter [Einrichten von Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started.html).
**So stellen Sie mithilfe des Session Managers auf der EC2 Amazon-Konsole eine Verbindung zu einer EC2 Amazon-Instance her**
1. Öffnen Sie die EC2 Amazon-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Wählen Sie die Instance und **Connect (Verbinden)** aus.
1. Wählen Sie für Verbindungsmethode **Session Manager**.
1. Wählen Sie **Verbinden**, um die Sitzung zu starten.
![\[Die Schaltfläche „Verbinden“ auf der Registerkarte Session Manager.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/connect-method-session-manager.png)
**Fehlerbehebung**
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, eine oder mehrere Systems Manager Manager-Aktionen (`ssm:command-name`) durchzuführen, müssen Sie Ihre Richtlinien aktualisieren, damit Sie Sitzungen von der EC2 Amazon-Konsole aus starten können. Weitere Informationen und Anleitungen finden Sie unter [ Quick-Start Standard-IAM-Richtlinien für Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/getting-started-restrict-access-quickstart.html) im *AWS Systems Manager -Benutzerhandbuch*.
# Herstellen einer Verbindung zu Ihrer Linux-Instance mit einer öffentlichen IP-Adresse und EC2 Instance Connect
Amazon-EC2-Instance-Connect bietet eine sichere Möglichkeit, über Secure Shell (SSH) eine Verbindung zu Ihren Linux-Instances herzustellen. Mit EC2 Instance Connect verwenden Sie AWS Identity and Access Management (IAM) [-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) und [-Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal), um den SSH-Zugriff auf Ihre Instances zu kontrollieren, sodass SSH-Schlüssel nicht mehr gemeinsam genutzt und verwaltet werden müssen. Alle Verbindungsanforderungen über EC2 Instance Connect werden [in AWS CloudTrail protokolliert](monitor-with-cloudtrail.md#ec2-instance-connect-cloudtrail), sodass Sie Verbindungsanforderungen überwachen können.
Sie können EC2 Instance Connect verwenden, um sich über die Amazon-EC2-Konsole oder einen SSH-Client Ihrer Wahl mit Ihren Instances zu verbinden.
Wenn Sie über EC2 Instance Connect eine Verbindung mit einer Instance herstellen, überträgt die Instance-Connect-API per Push einen öffentlichen SSH-Schlüssel an die [Instance-Metadaten](ec2-instance-metadata.md), wo er 60 Sekunden verbleibt. Eine an Ihren Benutzer angefügte IAM-Richtlinie autorisiert Ihren Benutzer, den öffentlichen Schlüssel an die Instance-Metadaten zu übertragen. Der SSH-Daemon verwendet `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser`, die bei der Installation von EC2 Instance Connect konfiguriert werden, um den öffentlichen Schlüssel aus den Metadaten der Instance für die Authentifizierung abzurufen, und verbindet Sie mit der Instance.
**Tipp**
EC2 Instance Connect ist eine der Optionen, mit denen Sie eine Verbindung zu Ihrer Linux-Instance herstellen können. Weitere Optionen finden Sie unter [Herstellen einer Verbindung zu Ihrer Linux-Instance mit SSH](connect-to-linux-instance.md). Um eine Verbindung mit einer Windows-Instance herzustellen, lesen Sie [Herstellen einer Verbindung mit Ihrer Windows-Instance mithilfe von RDP](connecting_to_windows_instance.md).
**Preisgestaltung**
EC2 Instance Connect ist ohne zusätzliche Kosten verfügbar.
**Verfügbarkeit in Regionen**
EC2 Instance Connect ist in allen AWS-Regionen Ländern außer im asiatisch-pazifischen Raum (Taipeh) verfügbar. Es wird in Local Zones nicht unterstützt.
**Topics**
+ [Tutorial](ec2-instance-connect-tutorial.md)
+ [Voraussetzungen](ec2-instance-connect-prerequisites.md)
+ [Berechtigungen](ec2-instance-connect-configure-IAM-role.md)
+ [Installieren Sie EC2 Instance Connect](ec2-instance-connect-set-up.md)
+ [Herstellen einer Verbindung zu einer -Instance](ec2-instance-connect-methods.md)
+ [Deinstallieren von EC2 Instance Connect](ec2-instance-connect-uninstall.md)
Einen Blogbeitrag, der erörtert, wie Sie die Sicherheit Ihrer Bastion-Hosts mithilfe von EC2 Instance Connect verbessern können, finden Sie unter [Sichern Ihrer Bastion-Hosts mit Amazon EC2 Instance Connect](https://aws.amazon.com/blogs/infrastructure-and-automation/securing-your-bastion-hosts-with-amazon-ec2-instance-connect/).
# Tutorial: Die Konfiguration abschließen, die erforderlich ist, um EC2 Instance Connect zum Herstellen einer Verbindung mit Ihrer Instance zu verwenden
Um über EC2 Instance Connect in der Amazon-EC2-Konsole eine Verbindung zu Ihrer Instance herzustellen, müssen Sie zunächst die erforderliche Konfiguration abschließen, damit Sie erfolgreich eine Verbindung zu Ihrer Instance herstellen können. Der Zweck dieses Tutorials besteht darin, Sie durch die Aufgaben zum Abschließen der erforderlichen Konfiguration zu führen.
**Tutorial-Übersicht**
In diesem Tutorial erledigen Sie die vier folgenden Aufgaben:
+ [Aufgabe 1: Berechtigungen gewähren, die für die Nutzung von EC2 Instance Connect erforderlich sind](#eic-tut1-task1)
Zunächst erstellen Sie eine IAM-Richtlinie, welche die IAM-Berechtigungen enthält, mit denen Sie einen öffentlichen Schlüssel für die Instance-Metadaten bereitstellen können. Hängen Sie diese Richtlinie an Ihre IAM-Identität (Benutzer, Gruppe oder Rolle) an, sodass Ihre IAM-Identität diese Berechtigungen erhält.
+ [Aufgabe 2: Lassen Sie eingehenden Datenverkehr vom Service EC2 Instance Connect an Ihre Instance zu](#eic-tut1-task2)
Anschließend erstellen Sie eine Sicherheitsgruppe, die Datenverkehr vom Service EC2 Instance Connect zu Ihrer Instance zulässt. Dies ist erforderlich, wenn Sie EC2 Instance Connect in der Amazon-EC2-Konsole verwenden, um eine Verbindung mit Ihrer Instance herzustellen.
+ [Aufgabe 3: Ihre Instance starten](#eic-tut1-task3)
Anschließend starten Sie eine EC2-Instance mithilfe eines AMI, auf dem EC2 Instance Connect vorinstalliert ist, und fügen die Sicherheitsgruppe hinzu, die Sie im vorherigen Schritt erstellt haben.
+ [Aufgabe 4: Verbindung mit Ihrer Instance herstellen](#eic-tut1-task4)
Schließlich verwenden Sie EC2 Instance Connect in der Amazon-EC2-Konsole, um sich mit Ihrer Instance zu verbinden. Wenn Sie eine Verbindung herstellen können, können Sie sicher sein, dass die erforderliche Konfiguration, die Sie in den Aufgaben 1, 2 und 3 abgeschlossen haben, erfolgreich war.
## Aufgabe 1: Berechtigungen gewähren, die für die Nutzung von EC2 Instance Connect erforderlich sind
Wenn Sie über EC2 Instance Connect eine Verbindung mit einer Instance herstellen, überträgt die Instance-Connect-API per Push einen öffentlichen SSH-Schlüssel an die [Instance-Metadaten](ec2-instance-metadata.md), wo er 60 Sekunden verbleibt. Sie benötigen eine IAM-Richtlinie, die an Ihre IAM-Identität (Benutzer, Gruppe oder Rolle) angefügt ist, damit Sie die erforderliche Berechtigung haben, den öffentlichen Schlüssel an die Instance-Metadaten zu übertragen.
**Aufgabenziel**
Sie werden dann die IAM-Richtlinie erstellen, die die Berechtigung gewähren, den öffentlichen Schlüssel an die Instance zu übertragen. Die spezifische Aktion, die zugelassen werden soll, ist `ec2-instance-connect:SendSSHPublicKey`. Sie müssen auch die `ec2:DescribeInstances`-Aktion zulassen, damit Sie Ihre Instance in der Amazon-EC2-Konsole anzeigen und auswählen können.
Nachdem Sie die Richtlinie erstellt haben, verknüpfen Sie sie mit Ihrer IAM-Identität (Benutzer, Benutzergruppe oder Rolle), damit Ihre IAM-Identität die Berechtigungen erhält.
Sie werden eine Richtlinie erstellen, die wie folgt konfiguriert ist:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeInstances",
"Resource": "*"
}
]
}
```
------
**Wichtig**
Die in diesem Tutorial erstellte IAM-Richtlinie ist sehr freizügig. Sie ermöglicht es Ihnen, mit einem beliebigen AMI-Benutzernamen eine Verbindung zu jeder Instance herzustellen. Wir verwenden diese sehr freizügige Richtlinie, um das Tutorial einfach zu halten und uns auf die spezifischen Konfigurationen zu konzentrieren, die in diesem Tutorial vermittelt werden. In einer Produktionsumgebung empfehlen wir jedoch, dass Ihre IAM-Richtlinie so konfiguriert wird, dass sie [geringste Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) bereitstellt. Beispiele für IAM-Richtlinien finden Sie unter [Erteilen Sie IAM-Berechtigungen für EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).
**Erstellen und Anfügen einer IAM-Richtlinie, mit der Sie EC2 Instance Connect zum Herstellen einer Verbindung mit Ihren Instances verwenden können**
1. **Zuerst erstellen Sie die IAM-Richtlinie**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Führen Sie auf der Seite **Berechtigungen festlegen** Folgendes aus:
1. Wählen Sie als **Service** **EC2 Instance Connect** aus.
1. Beginnen Sie unter **Zulässige Aktionen** im Suchfeld mit der Eingabe, **send** um die entsprechenden Aktionen anzuzeigen, und wählen Sie dann **SSHPublicSchlüssel senden** aus.
1. Wählen Sie unter **Ressourcen** die Option **Alle** aus. Für eine Produktionsumgebung empfehlen wir, die Instance anhand ihres ARN anzugeben, aber für dieses Tutorial lassen Sie alle Instances zu.
1. Wählen Sie **Add more permissions** aus.
1. Wählen Sie für **Service** die Option **EC2** aus.
1. Beginnen Sie unter **Zulässige Aktionen** im Suchfeld mit der Eingabe**describein**, um die entsprechenden Aktionen anzuzeigen, und wählen Sie dann aus **DescribeInstances**.
1. Wählen Sie **Weiter** aus.
1. Gehen Sie auf der Seite **Überprüfen und erstellen** wie folgt vor:
1. Geben Sie unter **Policy Name (Richtlinienname)** einen Namen für diese Richtlinie ein.
1. Wählen Sie **Richtlinie erstellen** aus.
1. **Fügen Sie dann die Richtlinie Ihrer Identität an**
1. Wählen Sie im Navigationsbereich der IAM-Konsole die Option **Policies**.
1. Aktivieren Sie in der Liste der Richtlinien die Optionsschaltfläche neben dem Namen der anzufügenden Richtlinie aus. Sie können über das Suchfeld die Liste der Gruppen filtern.
1. Wählen Sie **Actions (Aktionen)** und **Attach (Anfügen)**.
1. Aktivieren Sie unter **IAM-Entitäten** das Kontrollkästchen neben Ihrer Identität (Benutzer, Benutzergruppe oder Rolle). Sie können über das Suchfeld die Liste der Entitäten filtern.
1. Wählen Sie **Richtlinie anfügen** aus.
### Animation anzeigen: Erstellen einer IAM-Richtlinie
![\[In dieser Animation wird gezeigt, wie Sie eine IAM-Richtlinie erstellen. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/eic-tut1-task1-create-iam-policy.gif)
### Animation anzeigen: Anhängen einer IAM-Richtlinie
![\[Diese Animation zeigt, wie Sie eine IAM-Richtlinie an eine IAM-Identität anhängen. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/eic-tut1-task1-attach-iam-policy.gif)
## Aufgabe 2: Lassen Sie eingehenden Datenverkehr vom Service EC2 Instance Connect an Ihre Instance zu
Wenn Sie EC2 Instance Connect in der Amazon-EC2-Konsole verwenden, um eine Connect mit einer Instance herzustellen, handelt es sich bei dem Datenverkehr, der zur Instance zugelassen werden muss, um Datenverkehr vom Service EC2 Instance Connect. Dies unterscheidet sich von der Verbindung von Ihrem lokalen Computer zu einer Instance. In diesem Fall müssen Sie den Datenverkehr von Ihrem lokalen Computer zu Ihrer Instance zulassen. Um Datenverkehr vom Service EC2 Instance Connect zuzulassen, müssen Sie eine Sicherheitsgruppe erstellen, die eingehenden SSH-Datenverkehr aus dem IP-Adressbereich für den Service EC2 Instance Connect zulässt.
AWS verwendet Präfixlisten zur Verwaltung von IP-Adressbereichen. Die Namen der EC2 Instance Connect-Präfixlisten lauten wie folgt und werden durch den Regionalcode *region* ersetzt:
+ IPv4 Name der Präfixliste: `com.amazonaws.region.ec2-instance-connect`
+ IPv6 Name der Präfixliste: `com.amazonaws.region.ipv6.ec2-instance-connect`
**Aufgabenziel**
Sie erstellen eine Sicherheitsgruppe, die eingehenden SSH-Verkehr auf Port 22 aus der IPv4 Präfixliste in der Region zulässt, in der sich Ihre Instance befindet.
**So erstellen Sie eine Sicherheitsgruppe, die eingehenden Datenverkehr vom EC2-Instance-Connect-Service zu Ihrer Instance zulässt**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Wählen Sie **Create security group** (Sicherheitsgruppe erstellen) aus.
1. Gehen Sie unter **Basic details** (Grundlegende Angaben) wie folgt vor:
1. Geben Sie für **Sicherheitsgruppenname** einen Namen für Ihre Sicherheitsgruppe ein.
1. Geben Sie in das Feld **Beschreibung** eine sinnvolle Beschreibung für Ihre Sicherheitsgruppe ein.
1. Führen Sie unter **Regeln für eingehenden Datenverkehr** die folgenden Schritte aus:
1. Wählen Sie **Regel hinzufügen** aus.
1. Wählen Sie unter **Typ** die Option **SSH** aus.
1. Belassen Sie für **Quelle** die Option **Benutzerdefiniert**.
1. Wählen Sie im Feld neben **Quelle** die Präfixliste für EC2 Instance Connect aus.
**Wenn sich Ihre Instance beispielsweise in der Region USA Ost (Nord-Virginia) (`us-east-1`) befindet und Ihre Benutzer eine Verbindung zu ihrer öffentlichen IPv4 Adresse herstellen, wählen Sie die folgende Präfixliste aus: com.amazonaws.us-east-1.ec2-instance-connect**
1. Wählen Sie **Sicherheitsgruppe erstellen** aus.
### Animation anzeigen: Erstellen der Sicherheitsgruppe
![\[Diese Animation zeigt, wie Sie eine Sicherheitsgruppe konfigurieren. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/tut1-task2-eic-security-group.gif)
## Aufgabe 3: Ihre Instance starten
Beim Starten einer Instance müssen Sie ein AMI angeben, das die zum Starten der Instance erforderlichen Informationen enthält. Sie können wählen, ob Sie eine Instance mit oder ohne vorinstalliertes EC2 Instance Connect starten möchten. In dieser Aufgabe geben wir ein AMI an, auf dem EC2 Instance Connect vorinstalliert ist.
Wenn Sie Ihre Instance starten, ohne dass EC2 Instance Connect vorinstalliert ist, und Sie EC2 Instance Connect verwenden möchten, um eine Verbindung zu Ihrer Instance herzustellen, müssen Sie zusätzliche Konfigurationsschritte ausführen. Diese Schritte werden in dieser Anleitung allerdings nicht behandelt.
**Aufgabenziel**
Sie starten eine Instance mit dem Amazon Linux 2023 AMI, auf dem EC2 Instance Connect vorinstalliert ist. Außerdem geben Sie die Sicherheitsgruppe an, die Sie zuvor erstellt haben, sodass Sie EC2 Instance Connect in der Amazon-EC2-Konsole verwenden können, um eine Verbindung mit Ihrer Instance herzustellen. Da Sie EC2 Instance Connect verwenden werden, um eine Verbindung zu Ihrer Instance herzustellen, wodurch ein öffentlicher Schlüssel an die Metadaten Ihrer Instance weitergegeben wird, müssen Sie beim Starten Ihrer Instance keinen SSH-Schlüssel angeben.
**Starten Sie eine Instance, die EC2 Instance Connect in der Amazon-EC2-Konsole für die Verbindung verwenden kann**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. In der Navigationsleiste oben auf dem Bildschirm wird die aktuelle AWS Region angezeigt (z. B. **Irland**). Wählen Sie eine Region aus, in der die Instance gestartet werden soll. Diese Auswahl ist wichtig, da Sie eine Sicherheitsgruppe erstellt haben, die Traffic für eine bestimmte Region zulässt. Sie müssen also dieselbe Region auswählen, in der Ihre Instance gestartet werden soll.
1. Wählen Sie im Dashboard der Amazon EC2-Konsole die Option **Instance starten** aus.
1. (Optional) Geben Sie unter **Name und Tags** für **Name** einen beschreibenden Namen für Ihre Instance ein.
1. Wählen Sie unter **Anwendungs- und Betriebssystem-Images (Amazon Machine Image)** die Option **Schnellstart** aus. **Amazon Linux** ist standardmäßig ausgewählt. Unter **Amazon Machine Image (AMI)** ist standardmässig **Amazon-Linux-2023-AMI** ausgewählt. Behalten Sie die Standardauswahl für diese Aufgabe bei.
1. Wählen Sie unter **Instance-Typ** einen **Instance-Typ** aus oder behalten Sie die Standardeinstellung bei oder wählen Sie einen anderen Instance-Typ aus.
1. Wählen Sie unter **Schlüsselpaar (Anmeldung)** für **Name des Schlüsselpaars** die Option **Ohne Schlüsselpaar fortfahren (nicht empfohlen)** aus. Wenn Sie EC2 Instance Connect verwenden, um eine Verbindung zu einer Instance herzustellen, überträgt EC2 Instance Connect ein Schlüsselpaar an die Metadaten der Instance, und dieses Schlüsselpaar wird für die Verbindung verwendet.
1. Führen Sie unter **Network settings** (Netzwerkeinstellungen) die folgenden Schritte aus:
1. Lassen Sie für **Öffentliche IP-Adresse automatisch zuweisen** die Option **Aktivieren** ausgewählt.
**Anmerkung**
Um EC2 Instance Connect in der Amazon EC2 EC2-Konsole zu verwenden, um eine Verbindung zu einer Instance herzustellen, muss die Instance eine öffentliche Adresse IPv4 oder IPv6 Adresse haben.
1. Für **Firewall (Sicherheitsgruppen)** wählen Sie **Eine vorhandene Sicherheitsgruppe auswählen** aus.
1. Wählen Sie unter **Allgemeine Sicherheitsgruppen** die Sicherheitsgruppe aus, die Sie zuvor erstellt haben.
1. Wählen Sie in der **Übersicht** **Launch instance (Instance starten)** aus.
### Animation anzeigen: Starten Ihrer Instance
![\[Diese Animation zeigt, wie Sie eine Instance starten. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/tut1-task3-launch-an-instance.gif)
## Aufgabe 4: Verbindung mit Ihrer Instance herstellen
Wenn Sie über EC2 Instance Connect eine Verbindung mit einer Instance herstellen, überträgt die Instance-Connect-API per Push einen öffentlichen SSH-Schlüssel an die [Instance-Metadaten](ec2-instance-metadata.md), wo er 60 Sekunden verbleibt. Der SSH-Daemon verwendet `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser`, um zur Authentifizierung den öffentlichen Schlüssel in der Instance-Metadaten zu suchen, und verbindet Sie mit der Instance.
**Aufgabenziel**
Schließlich verwenden Sie EC2 Instance Connect in der Amazon-EC2-Konsole, um sich mit Ihrer Instance zu verbinden. Wenn Sie die erforderlichen Aufgaben 1, 2 und 3 abgeschlossen haben, sollte die Verbindung erfolgreich sein.
**Schritte zum Herstellen einer Verbindung mit Ihrer Instance**
Führen Sie die folgenden Schritte aus, um sich mit Ihrer Instance zu verbinden. Eine Animation dieser Schritte finden Sie unter [Animation anzeigen: Verbinden zu Ihrer Instance](#eic-tut1-task4-animation).
**So stellen Sie mithilfe von EC2 Instance Connect in der Amazon-EC2-Konsole eine Verbindung her**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. In der Navigationsleiste oben auf dem Bildschirm wird die aktuelle AWS Region angezeigt (z. B. **Irland**). Wählen Sie die Region, in der sich Ihre Instance befindet.
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Wählen Sie Ihre Instance aus und anschließend **Connect**.
1. Wählen Sie die Registerkarte **EC2 Instance Connect** aus.
1. Wählen Sie **Mit einer öffentlichen IP verbinden** aus.
1. Wählen Sie **Connect** aus.
Ein neues Terminal-Fenster wird geöffnet, und Sie sind mit Ihrer Instance verbunden.
### Animation anzeigen: Verbinden zu Ihrer Instance
![\[Diese Animation zeigt, wie Sie eine Instance mithilfe von EC2 Instance Connect verbinden. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/eic-tut1-task4-connect.gif)
# Voraussetzungen für die Installation von EC2 Instance Connect
**Topics**
+ [EC2 Instance Connect installieren](#eic-prereqs-install-eic-on-instance)
+ [Lokale Netzwerkkonnektivität sicherstellen](#eic-prereqs-network-access)
+ [Eingehenden SSH-Verkehr zulassen](#ec2-instance-connect-setup-security-group)
+ [Erteilen Sie Berechtigungen](#eic-prereqs-grant-permissions)
+ [Einen SSH-Client auf Ihrem lokalen Computer installieren](#eic-prereqs-install-ssh-client)
+ [Erfüllung der Anforderungen für den Benutzernamen](#eic-prereqs-username)
## EC2 Instance Connect installieren
Um EC2 Instance Connect zum Herstellen einer Verbindung mit einer Instance zu verwenden, muss EC2 Instance Connect installiert sein. Sie können die Instance entweder mit einem AMI starten, auf dem EC2 Instance Connect vorinstalliert ist, oder Sie können EC2 Instance Connect auf Instances installieren, die mit der unterstützten Version gestartet wurden. AMIs Weitere Informationen finden Sie unter [Installieren Sie EC2 Instance Connect auf Ihren Instances](ec2-instance-connect-set-up.md).
## Lokale Netzwerkkonnektivität sicherstellen
Instances können so konfiguriert werden, dass Benutzer über das Internet oder über die private IP-Adresse der Instance eine Verbindung zu Ihrer Instance herstellen können. Je nachdem, wie sich Ihre Benutzer über EC2 Instance Connect mit Ihrer Instance verbinden werden, müssen Sie den folgenden Netzwerkzugang konfigurieren:
+ Wenn Ihre Benutzer über das Internet eine Verbindung zu Ihrer Instance herstellen, muss Ihre Instance eine öffentliche IPv4 IPv6 Adresse haben und sich in einem öffentlichen Subnetz mit einer Route zum Internet befinden. Wenn Sie Ihr öffentliches Standardsubnetz nicht geändert haben, enthält es IPv4 nur eine Route zum Internet für und nicht für. IPv6 Weitere Informationen finden Sie unter [Aktivieren des VPC-Internetzugangs über Internet-Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#vpc-igw-internet-access) im *Benutzerhandbuch für Amazon-VPC*.
+ Wenn Ihre Benutzer über die private IPv4 Adresse der Instance eine Verbindung zu Ihrer Instance herstellen, müssen Sie eine private Netzwerkkonnektivität zu Ihrer VPC einrichten, z. B. mithilfe von AWS Direct Connect AWS Site-to-Site VPN, oder VPC-Peering, damit Ihre Benutzer die private IP-Adresse der Instance erreichen können.
Wenn Ihre Instance über keine öffentliche IPv4-oder IPv6-Adresse verfügt und Sie den Netzwerkzugriff nicht wie oben beschrieben konfigurieren möchten, können Sie den EC2-Instance-Connect-Endpunkt als Alternative zu EC2 Instance Connect in Betracht ziehen. Mit EC2 Instance Connect Endpoint können Sie über SSH oder RDP eine Verbindung zu einer Instance herstellen, auch wenn die Instance keine öffentliche IPv4 Adresse oder Adresse hat. IPv6 Weitere Informationen finden Sie unter [Verbinden Sie sich mit Ihrer Linux-Instance über die Amazon-EC2-Konsole](connect-using-eice.md#connect-using-the-ec2-console).
## Eingehenden SSH-Verkehr zulassen
**Wenn Sie sich mit Ihrer Instance über die Amazon-EC2-Konsole verbinden**
Wenn Benutzer über die Amazon-EC2-Konsole eine Verbindung zu einer Instance herstellen, muss der Datenverkehr, der die Instance erreichen darf, vom Service EC2 Instance Connect kommen. Der Dienst wird anhand bestimmter IP-Adressbereiche identifiziert, die über Präfixlisten AWS verwaltet werden. Sie müssen eine Sicherheitsgruppe erstellen, die eingehenden SSH-Verkehr vom Service EC2 Instance Connect zulässt. Um dies zu konfigurieren, wählen Sie für die eingehende Regel im Feld neben **Quelle** die Präfixliste von EC2 Instance Connect aus.
AWS stellt für jede Region unterschiedliche verwaltete Präfixlisten für IPv4- und IPv6-Adressen bereit. Die Namen der EC2 Instance Connect-Präfixlisten lauten wie folgt und werden durch den Regionalcode *region* ersetzt:
+ IPv4 Name der Präfixliste: `com.amazonaws.region.ec2-instance-connect`
+ IPv6 Name der Präfixliste: `com.amazonaws.region.ipv6.ec2-instance-connect`
Anweisungen für das Erstellen einer Sicherheitsgruppe finden Sie unter [Aufgabe 2: Lassen Sie eingehenden Datenverkehr vom Service EC2 Instance Connect an Ihre Instance zu](ec2-instance-connect-tutorial.md#eic-tut1-task2). Weitere Informationen finden Sie unter [Verfügbare AWS verwaltete Präfixlisten](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html#available-aws-managed-prefix-lists) im *Amazon VPC-Benutzerhandbuch*.
**Wenn Sie über die CLI oder SSH Verbindungen mit einer Instance herstellen**
Stellen Sie sicher, dass die Ihrer Instance zugeordnete Sicherheitsgruppe [eingehenden SSH-Verkehr](security-group-rules-reference.md#sg-rules-local-access) auf Port 22 von Ihrer IP-Adresse oder Ihres Netzwerks aus zulässt. Die standardmäßige Sicherheitsgruppe für die VPC lässt keinen eingehenden SSH-Datenverkehr zu. Die über den Launch Instance Wizard erstellte Sicherheitsgruppe lässt eingehenden SSH-Datenverkehr standardmäßig zu. Weitere Informationen finden Sie unter [Regeln für die Verbindung mit Instances von Ihrem Computer aus](security-group-rules-reference.md#sg-rules-local-access).
## Erteilen Sie Berechtigungen
Sie müssen jedem IAM-Benutzer, der EC2 Instance Connect verwendet, um eine Verbindung zu einer Instance herzustellen, die erforderlichen Berechtigungen gewähren. Weitere Informationen finden Sie unter [Erteilen Sie IAM-Berechtigungen für EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).
## Einen SSH-Client auf Ihrem lokalen Computer installieren
Wenn Ihre Benutzer eine Verbindung über SSH herstellen, müssen sie sicherstellen, dass ihr lokaler Computer über einen SSH-Client verfügt.
Auf Ihrem lokalen Computer ist höchstwahrscheinlich standardmäßig ein SSH-Client installiert. Sie können nach einem SSH-Client suchen, indem Sie in der Befehlszeile **ssh** eingeben. Wenn ihr lokaler Computer den Befehl nicht erkennt, können sie einen SSH-Client installieren. Weitere Informationen zum Installieren eines SSH-Client unter Linux oder macOS X finden Sie unter [http://www.openssh.com](http://www.openssh.com/). Weitere Informationen zur Installation eines SSH-Clients unter Windows 10 finden Sie unter [OpenSSH unter Windows](https://learn.microsoft.com/en-us/windows-server/administration/OpenSSH/openssh-overview).
Es muss kein SSH-Client auf einem lokalen Computer installiert werden, wenn Benutzer nur die Amazon-EC2-Konsole verwenden, um eine Verbindung zu einer Instance herzustellen.
## Erfüllung der Anforderungen für den Benutzernamen
Wenn Sie EC2 Instance Connect verwenden, um eine Verbindung zu einer Instance herzustellen, muss der Benutzername die folgenden Voraussetzungen erfüllen:
+ Erstes Zeichen: Muss ein Buchstabe (`A-Z`, `a-z`), eine Ziffer (`0-9`) oder ein Unterstrich (`_`) sein
+ Nachfolgende Zeichen: Dabei kann es sich um Buchstaben (`A-Z`, `a-z`), Ziffern (`0-9`) oder die folgenden Zeichen handeln: `@ . _ -`
+ Mindestlänge: 1 Zeichen.
+ Maximale Länge: 31 Zeichen.
# Erteilen Sie IAM-Berechtigungen für EC2 Instance Connect
Um über EC2 Instance Connect eine Verbindung mit einer Instance herzustellen, müssen Sie eine IAM-Richtlinie erstellen, die Ihren Benutzern Berechtigungen für die folgenden Aktionen und Bedingungen erteilt:
+ `ec2-instance-connect:SendSSHPublicKey`-Aktion – Erteilt einem -Benutzer die Berechtigung, den öffentlichen Schlüssel per Push zu einer Instance zu übertragen.
+ `ec2:osuser`-Bedingung – Gibt den Namen des Betriebssystembenutzers an, der den öffentlichen Schlüssel per Push an die Instance übertragen kann. Verwenden Sie den Standardbenutzernamen der AMI, den Sie beim Starten der Instance verwendet haben. Der Standardbenutzername für AL2023 Amazon Linux 2 ist`ec2-user`, und für Ubuntu ist es`ubuntu`.
+ `ec2:DescribeInstances`-Aktion – Erforderlich, wenn die EC2-Konsole verwendet wird, da der Wrapper diese Aktion aufruft. Benutzer besitzen möglicherweise bereits die Berechtigung zum Aufruf dieser Aktion in einer anderen Richtlinie.
+ `ec2:DescribeVpcs`Aktion — Erforderlich, wenn eine Verbindung zu einer IPv6 Adresse hergestellt wird.
Ziehen Sie die Einschränkung des Zugriffs auf bestimmte EC2-Instances in Betracht. Andernfalls können alle IAM-Prinzipale mit der Berechtigung für die `ec2-instance-connect:SendSSHPublicKey`-Aktion Verbindungen zu allen EC2-Instances herstellen. Sie können den Zugriff einschränken, indem Sie eine Ressource angeben ARNs oder Ressourcen-Tags als [Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2instanceconnect.html#amazonec2instanceconnect-policy-keys) verwenden.
Weitere Informationen finden Sie im Abschnitt [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2 Instance Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2instanceconnect.html).
Informationen zum Erstellen und Bearbeiten von IAM-Richtlinien finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
## Erlauben Sie Benutzern die Verbindung zu bestimmten Instances
Die folgende IAM-Richtlinie gewährt die Erlaubnis, eine Verbindung zu bestimmten Instanzen herzustellen, die anhand ihrer Ressource ARNs identifiziert werden.
In der folgenden Beispiel-IAM-Richtlinie werden die folgenden Aktionen und Bedingungen angegeben:
+ Die `ec2-instance-connect:SendSSHPublicKey` Aktion gewährt Benutzern die Erlaubnis, eine Verbindung zu zwei Instances herzustellen, die von der Ressource ARNs angegeben werden. Um Benutzern die Berechtigung zu erteilen, eine Verbindung zu *allen* EC2-Instances herzustellen, ersetzen Sie die Ressource ARNs durch den `*` Platzhalter.
+ Die `ec2:osuser` Bedingung gewährt nur dann die Erlaubnis, eine Verbindung zu den Instances herzustellen, wenn die beim Herstellen der *ami-username* Verbindung angegeben wurde.
+ Die Aktion `ec2:DescribeInstances` wird angegeben, um Benutzern, die sich über die Konsole mit Ihren Instances verbinden wollen, eine Berechtigung zu erteilen. Sie können `ec2:DescribeInstances` auslassen, wenn Ihre Benutzer ausschließlich einen SSH-Client zum Herstellen von Verbindungen mit Ihren Instances verwenden. Beachten Sie, dass die `ec2:Describe*`-API-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der `*`-Platzhalter im `Resource`-Element erforderlich.
+ Die `ec2:DescribeVpcs` Aktion ist so spezifiziert, dass Benutzern, die die Konsole verwenden, um über eine IPv6 Adresse eine Verbindung zu Ihren Instances herzustellen, die Erlaubnis erteilt wird. Wenn Ihre Benutzer nur eine öffentliche IPv4 Adresse verwenden, können Sie sie weglassen`ec2:DescribeVpcs`. Beachten Sie, dass die `ec2:Describe*`-API-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der `*`-Platzhalter im `Resource`-Element erforderlich.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-1234567890abcdef0",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7"
],
"Condition": {
"StringEquals": {
"ec2:osuser": "ami-username"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
## Erlauben Sie Benutzern die Verbindung zu Instances mit bestimmten Tags
Die attributebasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Tags definiert werden, die Benutzern und Ressourcen zugewiesen werden können. AWS Sie können Ressourcen-Tags verwenden, um den Zugriff auf eine Instance zu steuern. *Weitere Informationen zur Verwendung von Tags zur Steuerung des Zugriffs auf Ihre AWS Ressourcen finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources).*
In der folgenden Beispiel-IAM-Richtlinie gewährt die `ec2-instance-connect:SendSSHPublicKey`-Aktion Benutzern die Berechtigung, eine Verbindung zu einer beliebigen Instance herzustellen (gekennzeichnet durch den `*`-Platzhalter im Ressourcen-ARN), sofern die Instance über ein Ressourcen-Tag mit key=`tag-key` und value=`tag-value` verfügt.
Die Aktion `ec2:DescribeInstances` wird angegeben, um Benutzern, die sich über die Konsole mit Ihren Instances verbinden wollen, eine Berechtigung zu erteilen. Sie können `ec2:DescribeInstances` auslassen, wenn Ihre Benutzer ausschließlich einen SSH-Client zum Herstellen von Verbindungen mit Ihren Instances verwenden. Beachten Sie, dass die `ec2:Describe*`-API-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der `*`-Platzhalter im `Resource`-Element erforderlich.
Die `ec2:DescribeVpcs` Aktion ist so spezifiziert, dass Benutzern, die die Konsole verwenden, die Erlaubnis erteilt wird, über eine IPv6 Adresse eine Verbindung zu Ihren Instances herzustellen. Wenn Ihre Benutzer nur eine öffentliche IPv4 Adresse verwenden, können Sie sie weglassen`ec2:DescribeVpcs`. Beachten Sie, dass die `ec2:Describe*`-API-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der `*`-Platzhalter im `Resource`-Element erforderlich.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/tag-key": "tag-value"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
# Installieren Sie EC2 Instance Connect auf Ihren Instances
Um EC2 Instance Connect zum Herstellen einer Verbindung mit einer Instance zu verwenden, muss in der Instance EC2 Instance Connect installiert sein. Durch die Installation von EC2 Instance Connect wird der SSH-Daemon auf der Instance konfiguriert.
Weitere Informationen zum EC2 Instance Connect-Paket finden Sie unter [aws/aws-ec2](https://github.com/aws/aws-ec2-instance-connect-config) - auf der Website. instance-connect-config GitHub
**Anmerkung**
Wenn Sie die Einstellungen `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser` für die SSH-Authentifizierung konfiguriert haben, aktualisiert die EC2 Instance Connect-Installation diese nicht. Daher können Sie EC2 Instance Connect nicht verwenden.
## Voraussetzungen für die Installation
Überprüfen Sie vor der Installation von EC2 Instance Connect, ob die folgenden Voraussetzungen erfüllt sind.
+ **Stellen Sie sicher, dass die Instance eine der folgenden Optionen verwendet:**
+ Amazon Linux 2 vor Version 2.0.20190618 \$1
+ AL2023 minimales AMI oder Amazon ECS-optimiertes AMI
+ CentOS Stream 8 und 9
+ macOS Sonoma vor 14.2.1, Ventura vor 13.6.3 und Monterey vor 12.7.2 \$1
+ Red Hat Enterprise Linux (RHEL) 8 und 9
+ Ubuntu 16.04 und 18.04 \$1
**Tipp**
\$1 Für Amazon Linux 2, macOS und Ubuntu: Wenn Sie Ihre Instance mit einer neueren Version als den oben aufgeführten gestartet haben, ist EC2 Instance Connect vorinstalliert und es ist keine manuelle Installation erforderlich.
+ **Überprüfen Sie die allgemeinen Voraussetzungen für das EC2 Instance Connect.**
Weitere Informationen finden Sie unter [Voraussetzungen für die Installation von EC2 Instance Connect](ec2-instance-connect-prerequisites.md).
+ **Überprüfen Sie die Voraussetzungen für die Verbindung zu Ihrer Instance mithilfe eines SSH-Clients auf Ihrem lokalen Rechner.**
Weitere Informationen finden Sie unter [Herstellen einer Verbindung zu Ihrer Linux-Instance mit SSH](connect-to-linux-instance.md).
+ **Rufen Sie die ID der Instance ab.**
Sie können die ID Ihrer Instance über die Amazon EC2 Konsole (im**Instance-ID**-Spalte). Wenn Sie möchten, können Sie den Befehl [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) (AWS CLI) oder [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)() verwenden.AWS Tools for Windows PowerShell
## EC2 Instance Connect manuell installieren
**Anmerkung**
Wenn Sie Ihre Instance über eines der folgenden AMIs gestartet haben, ist EC2 Instance Connect vorinstalliert und Sie können dieses Verfahren überspringen:
AL2023 Standard-AMI
Amazon Linux 2 2.0.20190618 oder höher
macOS Sonoma 14.2.1 oder höher
macOS Ventura 13.6.3 oder neuer
macOS Monterey 12.7.2 oder höher
Ubuntu 20.04 oder höher
Verwenden Sie je nach Betriebssystem Ihrer Instance eines der folgenden Verfahren zur Installation von EC2 Instance Connect.
------
#### [ Amazon Linux 2 ]
**So installieren Sie EC2 Instance Connect auf einer Instance, die mit Amazon Linux 2 gestartet wurde**
1. Stellen Sie per SSH eine Verbindung zu Ihrer -Instance her.
Ersetzen Sie die Beispielwerte im folgenden Befehl durch Ihre Werte. Nutzen Sie das SSH-Schlüsselpaar, das beim Start Ihrer Instance dieser zugewiesen wurde, und den Standardbenutzernamen des AMI, mit dem Sie Ihre Instance gestartet haben. Bei Amazon Linux 2 ist der Standardbenutzername `ec2-user`.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Weitere Informationen zum Herstellen einer Verbindung mit Ihrer Instance finden Sie unter [Verbinden mit der Linux-Instance über einen SSH-Client](connect-linux-inst-ssh.md).
1. Installieren Sie das EC2 Instance Connect-Paket auf Ihrer Instance.
```
[ec2-user ~]$ sudo yum install ec2-instance-connect
```
Im Ordner `/opt/aws/bin/` sollten drei neue Skripts angezeigt werden:
```
eic_curl_authorized_keys
eic_parse_authorized_keys
eic_run_authorized_keys
```
1. (Optional) Überprüfen Sie, ob EC2 Instance Connect erfolgreich auf Ihrer Instance installiert wurde.
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config
```
EC2 Instance Connect wurde erfolgreich installiert, wenn die Zeilen `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser` die folgenden Werte enthalten:
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` sorgt dafür, dass das Skript `eic_run_authorized_keys` die Schlüssel aus den Instance-Metadaten liest.
+ `AuthorizedKeysCommandUser` legt den Systembenutzer als `ec2-instance-connect` fest.
**Anmerkung**
Wenn Sie zuvor `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser` konfiguriert haben, werden durch die Installation von EC2 Instance Connect die Werte nicht geändert und Sie können EC2 Instance Connect nicht verwenden.
------
#### [ CentOS ]
**So installieren Sie EC2 Instance Connect auf einer Instance, die mit CentOS gestartet wurde**
1. Stellen Sie per SSH eine Verbindung zu Ihrer -Instance her.
Ersetzen Sie die Beispielwerte im folgenden Befehl durch Ihre Werte. Nutzen Sie das SSH-Schlüsselpaar, das beim Start Ihrer Instance dieser zugewiesen wurde, und den Standardbenutzernamen des AMI, mit dem Sie Ihre Instance gestartet haben. Bei CentOS lautet der Standardbenutzername `centos` oder `ec2-user`.
```
$ ssh -i my_ec2_private_key.pem centos@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Weitere Informationen zum Herstellen einer Verbindung mit Ihrer Instance finden Sie unter [Verbinden mit der Linux-Instance über einen SSH-Client](connect-linux-inst-ssh.md).
1. Wenn Sie einen HTTP- oder HTTPS-Proxy verwenden, müssen Sie die `http_proxy` oder `https_proxy`-Umgebungsvariablen in der aktuellen Shell-Sitzung einstellen.
Wenn Sie keinen Proxy verwenden, können Sie diesen Schritt überspringen.
+ Führen Sie für einen HTTP-Proxy-Server die folgenden Befehle aus:
```
$ export http_proxy=http://hostname:port
$ export https_proxy=http://hostname:port
```
+ Führen Sie für einen HTTPS-Proxy-Server die folgenden Befehle aus:
```
$ export http_proxy=https://hostname:port
$ export https_proxy=https://hostname:port
```
1. Installieren Sie das EC2-Instance-Connect-Paket auf Ihrer Instance, indem Sie die folgenden Befehle ausführen.
Die EC2 Instance Connect-Konfigurationsdateien für CentOS werden in einem Red Hat Package Manager (RPM) -Paket mit unterschiedlichen RPM-Paketen für CentOS 8 und CentOS 9 sowie Instance-Typen bereitgestellt, die auf Intel/AMD (x86\$164) oder ARM () laufen. AArch64
Verwenden Sie den Befehlsblock für Ihr Betriebssystem und Ihre CPU-Architektur.
+ CentOS 8
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel8.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
ARM () AArch64
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel8.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
+ CentOS 9
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel9.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
ARM (AArch64)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel9.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
Sie sollten das folgende neue Skript im Ordner `/opt/aws/bin/` sehen:
```
eic_run_authorized_keys
```
1. (Optional) Überprüfen Sie, ob EC2 Instance Connect erfolgreich auf Ihrer Instance installiert wurde.
+ Für CentOS 8:
```
[ec2-user ~]$ sudo less /lib/systemd/system/sshd.service.d/ec2-instance-connect.conf
```
+ Für CentOS 9:
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
```
EC2 Instance Connect wurde erfolgreich installiert, wenn die Zeilen `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser` die folgenden Werte enthalten:
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` sorgt dafür, dass das Skript `eic_run_authorized_keys` die Schlüssel aus den Instance-Metadaten liest.
+ `AuthorizedKeysCommandUser` legt den Systembenutzer als `ec2-instance-connect` fest.
**Anmerkung**
Wenn Sie zuvor `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser` konfiguriert haben, werden durch die Installation von EC2 Instance Connect die Werte nicht geändert und Sie können EC2 Instance Connect nicht verwenden.
------
#### [ macOS ]
**So installieren Sie EC2 Instance Connect auf einer Instance, die mit macOS gestartet wurde**
1. Stellen Sie per SSH eine Verbindung zu Ihrer -Instance her.
Ersetzen Sie die Beispielwerte im folgenden Befehl durch Ihre Werte. Nutzen Sie das SSH-Schlüsselpaar, das beim Start Ihrer Instance dieser zugewiesen wurde, und den Standardbenutzernamen des AMI, mit dem Sie Ihre Instance gestartet haben. Für macOS-Instances lautet der Standardbenutzername `ec2-user`.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Weitere Informationen zum Herstellen einer Verbindung mit Ihrer Instance finden Sie unter [Verbinden mit der Linux-Instance über einen SSH-Client](connect-linux-inst-ssh.md).
1. Aktualisieren Sie Homebrew mit dem folgenden Befehl. Das Update wird die Software auflisten, die Homebrew kennt. Das EC2-Instance-Connect-Paket wird über Homebrew auf macOS-Instances bereitgestellt. Weitere Informationen finden Sie unter [Das Betriebssystem und die Software auf Mac-Instances von Amazon EC2 aktualisieren](mac-instance-updates.md).
```
[ec2-user ~]$ brew update
```
1. Installieren Sie das EC2 Instance Connect-Paket auf Ihrer Instance. Dadurch wird die Software installiert und sshd für die Verwendung konfiguriert.
```
[ec2-user ~]$ brew install ec2-instance-connect
```
Sie sollten das folgende neue Skript im Ordner `/opt/aws/bin/` sehen:
```
eic_run_authorized_keys
```
1. (Optional) Überprüfen Sie, ob EC2 Instance Connect erfolgreich auf Ihrer Instance installiert wurde.
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
```
EC2 Instance Connect wurde erfolgreich installiert, wenn die Zeilen `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser` die folgenden Werte enthalten:
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` sorgt dafür, dass das Skript `eic_run_authorized_keys` die Schlüssel aus den Instance-Metadaten liest.
+ `AuthorizedKeysCommandUser` legt den Systembenutzer als `ec2-instance-connect` fest.
**Anmerkung**
Wenn Sie zuvor `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser` konfiguriert haben, werden durch die Installation von EC2 Instance Connect die Werte nicht geändert und Sie können EC2 Instance Connect nicht verwenden.
------
#### [ RHEL ]
**So installieren Sie EC2 Instance Connect auf einer Instance, die mit Red Hat Enterprise Linux (RHEL) gestartet wurde**
1. Stellen Sie per SSH eine Verbindung zu Ihrer -Instance her.
Ersetzen Sie die Beispielwerte im folgenden Befehl durch Ihre Werte. Nutzen Sie das SSH-Schlüsselpaar, das beim Start Ihrer Instance dieser zugewiesen wurde, und den Standardbenutzernamen des AMI, mit dem Sie Ihre Instance gestartet haben. Bei RHEL ist der Standardbenutzername `ec2-user` oder `root`.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Weitere Informationen zum Herstellen einer Verbindung mit Ihrer Instance finden Sie unter [Verbinden mit der Linux-Instance über einen SSH-Client](connect-linux-inst-ssh.md).
1. Wenn Sie einen HTTP- oder HTTPS-Proxy verwenden, müssen Sie die `http_proxy` oder `https_proxy`-Umgebungsvariablen in der aktuellen Shell-Sitzung einstellen.
Wenn Sie keinen Proxy verwenden, können Sie diesen Schritt überspringen.
+ Führen Sie für einen HTTP-Proxy-Server die folgenden Befehle aus:
```
$ export http_proxy=http://hostname:port
$ export https_proxy=http://hostname:port
```
+ Führen Sie für einen HTTPS-Proxy-Server die folgenden Befehle aus:
```
$ export http_proxy=https://hostname:port
$ export https_proxy=https://hostname:port
```
1. Installieren Sie das EC2-Instance-Connect-Paket auf Ihrer Instance, indem Sie die folgenden Befehle ausführen.
Die EC2 Instance Connect-Konfigurationsdateien für RHEL werden in einem Red Hat Package Manager (RPM) -Paket mit unterschiedlichen RPM-Paketen für RHEL 8 und RHEL 9 sowie Instance-Typen bereitgestellt, die auf Intel/AMD (x86\$164) oder ARM () laufen. AArch64
Verwenden Sie den Befehlsblock für Ihr Betriebssystem und Ihre CPU-Architektur.
+ RHEL 8
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel8.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
ARM () AArch64
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel8.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
+ RHEL 9
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel9.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
ARM (AArch64)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel9.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
Sie sollten das folgende neue Skript im Ordner `/opt/aws/bin/` sehen:
```
eic_run_authorized_keys
```
1. (Optional) Überprüfen Sie, ob EC2 Instance Connect erfolgreich auf Ihrer Instance installiert wurde.
+ Für RHEL 8:
```
[ec2-user ~]$ sudo less /lib/systemd/system/sshd.service.d/ec2-instance-connect.conf
```
+ Für RHEL 9:
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
```
EC2 Instance Connect wurde erfolgreich installiert, wenn die Zeilen `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser` die folgenden Werte enthalten:
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` sorgt dafür, dass das Skript `eic_run_authorized_keys` die Schlüssel aus den Instance-Metadaten liest.
+ `AuthorizedKeysCommandUser` legt den Systembenutzer als `ec2-instance-connect` fest.
**Anmerkung**
Wenn Sie zuvor `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser` konfiguriert haben, werden durch die Installation von EC2 Instance Connect die Werte nicht geändert und Sie können EC2 Instance Connect nicht verwenden.
------
#### [ Ubuntu ]
**So installieren Sie EC2 Instance Connect auf einer Instance, die mit Ubuntu 16.04 oder höher gestartet wurde**
1. Stellen Sie per SSH eine Verbindung zu Ihrer -Instance her.
Ersetzen Sie die Beispielwerte im folgenden Befehl durch Ihre Werte. Nutzen Sie das SSH-Schlüsselpaar, das beim Start Ihrer Instance dieser zugewiesen wurde, und den Standardbenutzernamen des AMI, mit dem Sie Ihre Instance gestartet haben. Für ein Ubuntu-AMI lautet der Benutzername `ubuntu`.
```
$ ssh -i my_ec2_private_key.pem ubuntu@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Weitere Informationen zum Herstellen einer Verbindung mit Ihrer Instance finden Sie unter [Verbinden mit der Linux-Instance über einen SSH-Client](connect-linux-inst-ssh.md).
1. (Optional) Stellen Sie sicher, dass Ihre Instance über das neueste Ubuntu-AMI verfügt.
Führen Sie die folgenden Befehle aus, um alle Pakete auf Ihrer Instance zu aktualisieren.
```
ubuntu:~$ sudo apt-get update
```
```
ubuntu:~$ sudo apt-get upgrade
```
1. Installieren Sie das EC2 Instance Connect-Paket auf Ihrer Instance.
```
ubuntu:~$ sudo apt-get install ec2-instance-connect
```
Im Ordner `/usr/share/ec2-instance-connect/` sollten drei neue Skripts angezeigt werden:
```
eic_curl_authorized_keys
eic_parse_authorized_keys
eic_run_authorized_keys
```
1. (Optional) Überprüfen Sie, ob EC2 Instance Connect erfolgreich auf Ihrer Instance installiert wurde.
```
ubuntu:~$ sudo less /lib/systemd/system/ssh.service.d/ec2-instance-connect.conf
```
EC2 Instance Connect wurde erfolgreich installiert, wenn die Zeilen `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser` die folgenden Werte enthalten:
```
AuthorizedKeysCommand /usr/share/ec2-instance-connect/eic_run_authorized_keys %%u %%f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` sorgt dafür, dass das Skript `eic_run_authorized_keys` die Schlüssel aus den Instance-Metadaten liest.
+ `AuthorizedKeysCommandUser` legt den Systembenutzer als `ec2-instance-connect` fest.
**Anmerkung**
Wenn Sie zuvor `AuthorizedKeysCommand` und `AuthorizedKeysCommandUser` konfiguriert haben, werden durch die Installation von EC2 Instance Connect die Werte nicht geändert und Sie können EC2 Instance Connect nicht verwenden.
------
# Herstellen einer Verbindung zu Ihrer Linux-Instance mit EC2 Instance Connect
In den folgenden Anweisungen wird erklärt, wie Sie mithilfe von EC2 Instance Connect über die Amazon EC2 EC2-Konsole, den oder einen SSH-Client eine Verbindung zu Ihrer Linux-Instance herstellen. AWS CLI
Wenn Sie mit EC2 Instance Connect über die Konsole oder eine Verbindung zu einer Instance herstellen AWS CLI, überträgt die EC2 Instance Connect-API automatisch einen öffentlichen SSH-Schlüssel an die [Instance-Metadaten](ec2-instance-metadata.md), wo er 60 Sekunden lang verbleibt. Die IAM-Richtlinie, die an Ihren Benutzer angefügt ist, autorisiert diese Aktion. Wenn Sie es vorziehen, Ihren eigenen SSH-Schlüssel zu verwenden, können Sie einen SSH-Client verwenden und Ihren SSH-Schlüssel mithilfe von EC2 Instance Connect explizit an die Instance übertragen.
**Überlegungen**
Nachdem EC2 Instance Connect zum Herstellen einer Verbindung mit einer Instance verwendet wurde, bleibt die Verbindung bestehen, bis die SSH-Sitzung beendet wird. Die Dauer der Verbindung wird nicht durch die Dauer Ihrer IAM-Anmeldeinformationen bestimmt. Wenn Ihre IAM-Anmeldeinformationen ablaufen, besteht die Verbindung weiterhin. Wenn Sie das Konsolenerlebnis der EC2-Instance-Connect-Konsole verwenden und Ihre IAM-Anmeldeinformationen ablaufen, beenden Sie die Verbindung, indem Sie die Browserseite schließen. Wenn Sie Ihren eigenen SSH-Client und EC2 Instance Connect verwenden, um Ihren Schlüssel zu übertragen, können Sie einen SSH-Timeout-Wert festlegen, um die SSH-Sitzung automatisch zu beenden.
**Voraussetzungen**
Bevor Sie starten, sollten Sie alle [Voraussetzungen](ec2-instance-connect-prerequisites.md) überprüfen.
**Topics**
+ [Herstellen von Verbindungen über die Amazon-EC2-Konsole](#ec2-instance-connect-connecting-console)
+ [Connect mit dem her AWS CLI](#connect-linux-inst-eic-cli-ssh)
+ [Herstellen von Verbindungen über Ihren eigenen Schlüssel und einen SSH-Client](#ec2-instance-connect-connecting-aws-cli)
+ [Fehlerbehebung](#ic-troubleshoot)
## Herstellen von Verbindungen über die Amazon-EC2-Konsole
Sie können eine Verbindung zu einer Instance mit EC2 Instance Connect über die Amazon-EC2-Konsole herstellen.
**Voraussetzungen**
Um eine Verbindung über die Amazon EC2 EC2-Konsole herzustellen, muss die Instance entweder eine öffentliche IPv6 Adresse IPv4 oder eine Adresse haben. Wenn die Instance nur eine private IPv4 Adresse hat, können Sie die [AWS CLI ec2-instance-connect](#connect-linux-inst-eic-cli-ssh) verwenden, um eine Verbindung herzustellen.
**So stellen Sie mithilfe der Amazon-EC2-Konsole eine Verbindung zu Ihrer Instance her**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Wählen Sie die Instance und **Connect (Verbinden)** aus.
1. Wählen Sie die Registerkarte **EC2 Instance Connect** aus.
1. Wählen Sie **Mit einer öffentlichen IP verbinden** aus.
1. Wenn es eine Auswahl gibt, wählen Sie die IP-Adresse aus, mit der Sie eine Verbindung herstellen möchten. Andernfalls wird die IP-Adresse automatisch ausgewählt.
1. Verifizieren Sie für **Benutzername** den Benutzernamen.
1. Wählen Sie **Verbinden**, um eine Verbindung herzustellen. Ein Terminalfenster im Browser wird geöffnet.
## Connect mit dem her AWS CLI
Sie können den [ec2-instance-connect verwenden, um mit einem AWS CLI SSH-Client](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/index.html) eine Verbindung zu Ihrer Instance herzustellen. EC2 Instance Connect versucht, mithilfe einer verfügbaren IP-Adresse in einer vordefinierten Reihenfolge, basierend auf dem angegebenen Verbindungstyp, eine Verbindung herzustellen. Wenn eine IP-Adresse nicht verfügbar ist, versucht es automatisch, die nächste in der Reihenfolge zu verwenden.Verbindungstypen
`auto` (Standard)
EC2 Instance Connect versucht, mithilfe der IP-Adressen der Instance in der folgenden Reihenfolge und mit dem entsprechenden Verbindungstyp eine Verbindung herzustellen:
1. Öffentlich: IPv4 `direct`
1. Privat IPv4: `eice`
1. IPv6: `direct`
`direct`
EC2 Instance Connect versucht, eine Verbindung über die IP-Adressen der Instance in der folgenden Reihenfolge herzustellen:
1. Öffentlich IPv4
1. IPv6
1. Privates IPv4 (es stellt keine Verbindung über einen EC2-Instance-Connect-Endpunkt her)
`eice`
EC2 Instance Connect versucht, mithilfe der privaten IPv4 Adresse der Instance und eines [EC2 Instance Connect-Endpunkts eine Verbindung herzustellen](connect-with-ec2-instance-connect-endpoint.md).
**Anmerkung**
In der Zukunft könnten wir das Verhalten des `auto`-Verbindungstyps ändern. Um sicherzustellen, dass Ihr gewünschter Verbindungstyp verwendet wird, empfehlen wir, dass Sie den `--connection-type` explizit entweder auf `direct` oder `eice` setzen.
**Voraussetzungen**
Sie müssen AWS CLI Version 2 verwenden. Weitere Informationen finden Sie unter [Die neueste Version der AWS CLI installieren oder aktualisieren](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**So stellen Sie unter Verwendung der Instance-ID eine Verbindung mit einer Instance her**
Wenn Sie nur die Instance-ID kennen und Sie EC2 Instance Connect den Verbindungstyp bestimmen lassen möchten, der für die Verbindung mit Ihrer Instance verwendet werden soll, verwenden Sie den Befehl [ec2-instance-connect ssh](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html) mit der Instance-ID.
```
aws ec2-instance-connect ssh --instance-id i-1234567890example
```
**So stellen Sie eine Verbindung zu einer Instance über die Instance-ID und einen EC2-Instance-Connect-Endpunkt her**
Wenn Sie über einen [EC2-Instance-Connect-Endpunkt](connect-with-ec2-instance-connect-endpoint.md) eine Verbindung zu Ihrer Instance herstellen möchten, verwenden Sie den vorherigen Befehl und geben Sie auch den `--connection-type`-Parameter mit dem `eice`-Wert an.
```
aws ec2-instance-connect ssh --instance-id i-1234567890example --connection-type eice
```
**So stellen Sie mithilfe der Instance-ID und Ihrer eigenen privaten Schlüsseldatei eine Verbindung zu einer Instance her**
Wenn Sie über einen EC2-Instance-Connect-Endpunkt mit Ihrem eigenen privaten Schlüssel eine Verbindung zu Ihrer Instance herstellen möchten, geben Sie die Instance-ID und den Pfad zur privaten Schlüsseldatei an. Nicht *file://* in den Pfad aufnehmen; das folgende Beispiel schlägt fehl:*file:///path/to/key*.
```
aws ec2-instance-connect ssh --instance-id i-1234567890example --private-key-file /path/to/key.pem
```
**Tipp**
Wenn Sie bei der Verwendung dieser Befehle eine Fehlermeldung erhalten, stellen Sie sicher, dass Sie AWS CLI Version 2 verwenden, da der `ssh` Befehl nur in dieser Hauptversion verfügbar ist. Wir empfehlen außerdem, regelmäßig auf die neueste Nebenversion von AWS CLI Version 2 zu aktualisieren, um auf die neuesten Feature zugreifen zu können. Weitere Informationen zu finden Sie unter [Über AWS CLI Version 2](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html#welcome-versions-v2) im *AWS Command Line Interface -Benutzerhandbuch*.
## Herstellen von Verbindungen über Ihren eigenen Schlüssel und einen SSH-Client
Sie können mittels Ihres eigenen SSH-Schlüssels über einen SSH-Client Ihrer Wahl Verbindungen mit Ihrer Instance herstellen, während Sie die EC2 Instance Connect-API verwenden. Auf diese Weise können Sie die EC2-Instance-Connect-Funktion für die Push-Übergabe eines öffentlichen Schlüssels an die Instance nutzen. Diese Verbindungsmethode funktioniert für Instances mit öffentlichen und privaten IP-Adressen.
**Voraussetzungen**
+ Anforderungen für Schlüsselpaare
+ Unterstützte Typen: RSA (OpenSSH und) und SSH2 ED25519
+ Die unterstützten Längen sind 2048 und 4096.
+ Weitere Informationen finden Sie unter [Erstellen Sie ein Schlüsselpaar mit einem Drittanbieter-Tool und importieren Sie den öffentlichen Schlüssel in Amazon EC2](create-key-pairs.md#how-to-generate-your-own-key-and-import-it-to-aws).
+ Wenn Sie eine Verbindung zu einer Instance herstellen, die nur über private IP-Adressen verfügt, muss der lokale Computer, von dem aus Sie die SSH-Sitzung initiieren, Konnektivität zum EC2-Instance-Connect-Service-Endpunkt (um Ihren öffentlichen SSH-Schlüssel auf die Instance zu übertragen) sowie über Netzwerkkonnektivität zur privaten IP-Adresse der Instance verfügen, um eine SSH-Sitzung zu etablieren. Der EC2 Instance Connect-Dienstendpunkt ist über das Internet oder über eine Direct Connect öffentliche virtuelle Schnittstelle erreichbar. Um eine Verbindung mit der privaten IP-Adresse der Instance herzustellen, können Sie Dienste wie [Direct Connect](https://aws.amazon.com/directconnect/), [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/) oder [VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) nutzen.
**So stellen Sie eine Verbindung zu Ihrer Instance mit einem eigenen Schlüssel und einem beliebigen SSH-Client her**
1.
**(Optional) Generieren neuer privater und öffentlicher SSH-Schlüssel.**
Sie können mit dem folgenden Befehl neue private und öffentliche SSH-Schlüssel, `my_key` und `my_key.pub`, erstellen:
```
ssh-keygen -t rsa -f my_key
```
1.
**Übertragen Ihres öffentlichen SSH-Schlüssels per Push an die Instance.**
Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/send-ssh-public-key.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/send-ssh-public-key.html)-Befehl, um Ihren öffentlichen SSH-Schlüssel an die Instance zu übertragen. Wenn Sie Ihre Instance mit AL2023 oder Amazon Linux 2 gestartet haben, lautet der Standardbenutzername für das AMI`ec2-user`. Wenn Sie Ihre Instance mit Ubuntu gestartet haben, lautet der Standardbenutzername für das AMI `ubuntu`.
Im folgenden Beispiel wird der öffentliche Schlüssel per Push an die angegebene Instance in der angegebenen Availability Zone übertragen, um `ec2-user` zu authentifizieren.
```
aws ec2-instance-connect send-ssh-public-key \
--region us-west-2 \
--availability-zone us-west-2b \
--instance-id i-001234a4bf70dec41EXAMPLE \
--instance-os-user ec2-user \
--ssh-public-key file://my_key.pub
```
1.
**Stellen Sie mit Ihrem privaten Schlüssel eine Verbindung zu der Instance her.**
Stellen Sie mit dem Befehl **ssh** eine Verbindung zu Ihrer Instance mit dem privaten Schlüssel her, ehe der öffentliche Schlüssel aus den Instance-Metadaten entfernt wird. Sie haben dafür 60 Sekunden Zeit. Geben Sie den privaten Schlüssel an, der dem öffentlichen entspricht, den Standardbenutzernamen für das AMI, mit dem Sie Ihre Instance gestartet haben, und den öffentlichen DNS-Namen der Instance (wenn Sie eine Verbindung über ein privates Netzwerk herstellen, geben Sie den privaten DNS-Namen oder die IP-Adresse an). Fügen Sie die `IdentitiesOnly=yes`-Option hinzu, um sicherzustellen, dass nur die Dateien in der SSH-Konfiguration und der angegebene Schlüssel für die Verbindung verwendet werden.
```
ssh -o "IdentitiesOnly=yes" -i my_key ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com
```
Im folgenden Beispiel wird `timeout 3600` verwendet, um Ihre SSH-Sitzung nach 1 Stunde zu beenden. Während der Sitzung gestartete Prozesse können auch nach Beendigung der Sitzung auf Ihrer Instance weiter ausgeführt werden.
```
timeout 3600 ssh -o “IdentitiesOnly=yes” -i my_key ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com
```
## Fehlerbehebung
Weitere Informationen zu Problemen, die beim Aufbau einer Verbindung zu Instances auftreten können, finden Sie unter:
+ [Fehlersuche bei Verbindungsproblemen mit Ihrer Amazon-EC2-Linux-Instance](TroubleshootingInstancesConnecting.md)
+ [Wie behebe ich Probleme bei der Verbindung mit meiner EC2-Instance mithilfe von EC2 Instance Connect?](https://repost.aws/knowledge-center/ec2-instance-connect-troubleshooting)
# Deinstallieren von EC2 Instance Connect
Um EC2 Instance Connect zu deaktivieren, stellen Sie eine Verbindung mit der Linux-Instance her und deinstallieren das `ec2-instance-connect`-Paket, das im Betriebssystem installiert ist. Wenn die `sshd`-Konfiguration mit den Werten übereinstimmt, auf die sie bei der Installation von EC2 Instance Connect festgelegt wurde, wird durch die Deinstallation von `ec2-instance-connect` auch die `sshd`-Konfiguration entfernt. Wenn Sie die `sshd`-Konfiguration nach der Installation von EC2 Instance Connect geändert haben, müssen Sie ein manuelles Update ausführen.
------
#### [ Amazon Linux ]
Sie können EC2 Instance Connect auf AL2023 und Amazon Linux 2 2.0.20190618 oder höher, wo EC2 Instance Connect vorkonfiguriert ist, deinstallieren.
**So deinstallieren Sie EC2 Instance Connect auf einer Instance, die mit Amazon Linux gestartet wurde**
1. Stellen Sie per SSH eine Verbindung zu Ihrer -Instance her. Geben Sie das SSH-Schlüsselpaar an, das Sie für Ihre Instance verwendet haben, als Sie sie gestartet haben, und den Standardbenutzernamen für das AL2023 oder das Amazon Linux 2-AMI, nämlich`ec2-user`.
Der folgende **ssh**-Befehl stellt beispielsweise eine Verbindung mit einer Instance mit dem öffentlichen DNS-Namen `ec2-a-b-c-d.us-west-2.compute.amazonaws.com` her. Hierfür wird das Schlüsselpaar `my_ec2_private_key.pem` verwendet.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
1. Deinstallieren Sie das `ec2-instance-connect`-Paket mit dem **yum**-Befehl.
```
[ec2-user ~]$ sudo yum remove ec2-instance-connect
```
------
#### [ Ubuntu ]
**So deinstallieren Sie EC2 Instance Connect in einer Instance, die mit einem Ubuntu-AMI gestartet wurde**
1. Stellen Sie per SSH eine Verbindung zu Ihrer -Instance her. Geben Sie das SSH-Schlüsselpaar an, das Sie beim Starten Ihrer Instance verwendet haben, und den Standardbenutzernamen für den Ubuntu-AMI. Dieser ist `ubuntu`.
Der folgende **ssh**-Befehl stellt beispielsweise eine Verbindung mit einer Instance mit dem öffentlichen DNS-Namen `ec2-a-b-c-d.us-west-2.compute.amazonaws.com` her. Hierfür wird das Schlüsselpaar `my_ec2_private_key.pem` verwendet.
```
$ ssh -i my_ec2_private_key.pem ubuntu@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
1. Deinstallieren Sie das `ec2-instance-connect`-Paket mit dem **apt-get**-Befehl.
```
ubuntu:~$ sudo apt-get remove ec2-instance-connect
```
------
# Mit einer privaten IP-Adresse und dem EC2-Instance-Connect-Endpunkt eine Verbindung zu Ihren Instances herstellen
Mit EC2-Instance-Connect-Endpunkt können Sie eine sichere Verbindung zu einer Instance aus dem Internet herstellen, ohne einen Bastion-Host zu verwenden oder zu benötigen, dass Ihre Virtual Private Cloud (VPC) über eine direkte Internetverbindung verfügt.
**Vorteile**
+ Sie können eine Verbindung zu Ihren Instances herstellen, ohne dass die Instances eine öffentliche IPv6 Adresse IPv4 oder Adresse haben müssen. AWS Gebühren für alle öffentlichen IPv4 Adressen, einschließlich öffentlicher IPv4 Adressen, die mit laufenden Instances verknüpft sind, und Elastic IP-Adressen. Weitere Informationen finden Sie auf der [Amazon VPC-Preisseite](https://aws.amazon.com/vpc/pricing/) auf der Registerkarte **Öffentliche IPv4 Adresse**.
+ Sie können vom Internet aus eine Verbindung zu Ihren Instances herstellen, ohne dass Ihr VPC über ein [Internet-Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) direkt mit dem Internet verbunden sein muss.
+ Sie können den Zugriff auf die Erstellung und Verwendung der EC2-Instance-Connect-Endpunkte steuern, um eine Verbindung zu Instances mit [IAM-Richtlinien und -Berechtigungen](permissions-for-ec2-instance-connect-endpoint.md) herzustellen.
+ Alle erfolgreichen und erfolglosen Versuche, eine Verbindung zu Ihren Instances herzustellen, werden protokolliert. [CloudTrail](log-ec2-instance-connect-endpoint-using-cloudtrail.md)
**Preisgestaltung**
Für die Verwendung von EC2-Instance-Connect-Endpunkten fallen keine zusätzlichen Kosten an. Wenn Sie einen EC2-Instance-Connect-Endpunkt in einem Subnetz verwenden, um eine Verbindung zu einer Instance in einem anderen Subnetz herzustellen, das sich in einer anderen Availability Zone befindet, fällt für die [Datenübertragung zwischen Availability Zones eine zusätzliche Gebühr](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer_within_the_same_AWS_Region) an.
**Topics**
+ [Funktionsweise](#how-eice-works)
+ [Überlegungen](#ec2-instance-connect-endpoint-prerequisites)
+ [Berechtigungen](permissions-for-ec2-instance-connect-endpoint.md)
+ [Sicherheitsgruppen](eice-security-groups.md)
+ [Erstellen Sie einen EC2-Instance-Connect-Endpunkt](create-ec2-instance-connect-endpoints.md)
+ [Einen EC2-Instance-Connect-Endpunkt ändern](modify-ec2-instance-connect-endpoint.md)
+ [Einen EC2-Instance-Connect-Endpunkt löschen](delete-ec2-instance-connect-endpoint.md)
+ [Herstellen einer Verbindung zu einer -Instance](connect-using-eice.md)
+ [Verbindungsprotokolle](log-ec2-instance-connect-endpoint-using-cloudtrail.md)
+ [Servicegebundene Rolle](eice-slr.md)
+ [Kontingente](eice-quotas.md)
## Funktionsweise
Der EC2-Instance-Connect-Endpunkt ist ein identitätsbewusster TCP-Proxy. Der EC2-Instance-Connect-Endpunkt-Service richtet mithilfe der Anmeldeinformationen für Ihre IAM-Entität einen privaten Tunnel von Ihrem Computer zum Endpunkt ein. Der Datenverkehr wird authentifiziert und autorisiert, bevor er Ihre VPC erreicht.
Sie können für Ihre Instances [zusätzliche Sicherheitsgruppenregeln konfigurieren](eice-security-groups.md), um den eingehenden Datenverkehr einzuschränken. Sie können beispielsweise eingehende Regeln für Ihre Instances verwenden, um nur Datenverkehr auf Verwaltungs-Ports vom EC2-Instance-Connect-Endpunkt zuzulassen.
Sie können Routing-Tabellen-Regeln so konfigurieren, dass der Endpunkt eine Verbindung zu einer beliebigen Instance in einem beliebigen Subnetz der VPC herstellen kann.
Das folgende Diagramm zeigt, wie ein Benutzer mithilfe eines EC2-Instance-Connect-Endpunkts über das Internet eine Verbindung zu seinen Instances herstellen kann. Erstellen Sie zunächst einen **EC2-Instance-Connect-Endpunkt** in Subnetz A. Wir erstellen eine Netzwerkschnittstelle für den Endpunkt im Subnetz, die als Einstiegspunkt für den Datenverkehr dient, der für Ihre Instances in der VPC bestimmt ist. Wenn die Routing-Tabelle für Subnetz B Datenverkehr von Subnetz A zulässt, können Sie den Endpunkt verwenden, um Instances in Subnetz B zu erreichen.
![\[Überblick über den Verbindung-Endpunkt-Flow des EC2-Instance-Connect-Endpunkts.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ec2-instance-connect-endpoint.png)
## Überlegungen
Bevor Sie beginnen, überlegen Sie folgendes.
+ EC2-Instance-Connect-Endpunkt ist speziell für Anwendungsfälle zur Verwaltung des Datenverkehrs und nicht für Datenübertragungen mit hohem Datenvolumen vorgesehen. Datenübertragungen mit hohem Datenvolumen werden gedrosselt.
+ Sie können einen EC2 Instance Connect-Endpunkt erstellen, um den Datenverkehr zu einer Instance zu unterstützen, die über eine private IPv4 Adresse oder IPv6 Adresse verfügt. Der IP-Adresstyp des Endpunkts muss mit der IP-Adresse der Instance übereinstimmen. Sie können einen Endpunkt erstellen, der alle IP-Adresstypen unterstützt.
+ (Linux-Instances) Wenn Sie Ihr eigenes Schlüsselpaar verwenden, können Sie jedes Linux-AMI verwenden. Auf der Instance muss EC2 Instance Connect installiert sein. Informationen darüber, welche AMIs EC2 Instance Connect enthalten und wie Sie es auf anderen unterstützten Systemen installieren AMIs, finden Sie unter[Installieren Sie EC2 Instance Connect](ec2-instance-connect-set-up.md).
+ Sie können einem EC2-Instance-Connect-Endpunkt eine Sicherheitsgruppe zuweisen. Andernfalls werden wir die Standard-Sicherheitsgruppe für die VPC verwenden. Die Sicherheitsgruppe für einen EC2-Instance-Connect-Endpunkt muss ausgehenden Datenverkehr zu den Ziel-Instances zulassen. Weitere Informationen finden Sie unter [Sicherheitsgruppen für EC2-Instance-Connect-Endpunkt](eice-security-groups.md).
+ Sie können einen EC2-Instance-Connect-Endpunkt konfigurieren, um die Quell-IP-Adressen der Clients beizubehalten, wenn Anforderungen an die Instances weitergeleitet werden. Andernfalls wird die IP-Adresse der Netzwerkschnittstelle zur Client-IP-Adresse für den gesamten eingehenden Datenverkehr.
+ Wenn Sie die Client-IP-Erhaltung aktivieren, müssen die Sicherheitsgruppen für die Instances den Datenverkehr von den Clients zulassen. Außerdem müssen sich die Instances in derselben VPC befinden wie der EC2-Instance-Connect-Endpunkt.
+ Wenn Sie die Client-IP-Erhaltung deaktivieren, müssen die Sicherheitsgruppen für die Instances den Datenverkehr von der VPC zulassen. Dies ist die Standardeinstellung.
+ Die Client-IP-Erhaltung wird nur auf IPv4-EC2-Instance-Connect-Endpunkten unterstützt. Um die Client-IP-Erhaltung verwenden zu können, muss der IP-Adresstyp des EC2 Instance Connect-Endpunkts sein IPv4. Die Beibehaltung der Client-IP wird nicht unterstützt, wenn der IP-Adresstyp Dual-Stack oder ist. IPv6
+ Die folgenden Instance-Typen unterstützen keine Client-IP-Erhaltung: C1, CG1, CG2, G1, HI1, M1, M2, M3, und T1. Wenn Sie die Client-IP-Erhaltung aktivieren und versuchen, mithilfe von EC2-Instance-Connect-Endpunkt eine Verbindung zu einer Instance mit einem dieser Instance-Typen herzustellen, schlägt die Verbindung fehl.
+ Die Erhaltung der Client-IP wird nicht unterstützt, wenn der Datenverkehr über ein Transit-Gateway geleitet wird.
+ Wenn Sie einen EC2 Instance Connect-Endpunkt erstellen, wird automatisch eine serviceverknüpfte Rolle für den Amazon EC2-Service in AWS Identity and Access Management (IAM) erstellt. Amazon EC2 verwendet die serviceverknüpfte Rolle, um Netzwerkschnittstellen in Ihrem Konto bereitzustellen, die beim Erstellen von EC2-Instance-Connect-Endpunkten erforderlich sind. Weitere Informationen finden Sie unter [Serviceverknüpfte Rolle für EC2-Instance-Connect-Endpunkt](eice-slr.md).
+ Sie können nur einen EC2-Instance-Connect-Endpunkt in einem Subnetz Ihrer VPC erstellen. Weitere Informationen finden Sie unter [Kontingente für EC2-Instance-Connect-Endpunkt](eice-quotas.md). Wenn Sie einen weiteren EC2-Instance-Connect-Endpunkte in einer anderen Availability Zone innerhalb derselben VPC erstellen müssen, müssen Sie zuerst den vorhandenen EC2-Instance-Connect-Endpunkt löschen. Andernfalls erhalten Sie eine Fehlermeldung.
+ Jeder EC2-Instance-Connect-Endpunkt kann bis zu 20 gleichzeitige Verbindungen unterstützen.
+ Die maximale Dauer für eine hergestellte TCP-Verbindung: 1 Stunde (3 600 Sekunden). Sie können die maximal zulässige Dauer in einer IAM-Richtlinie angeben, die 3 600 Sekunden oder weniger betragen kann. Weitere Informationen finden Sie unter [Berechtigungen, EC2-Instance-Connect-Endpunkt zu verwenden, um eine Verbindung zu Instances herzustellen](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).
Die Dauer der Verbindung wird nicht durch die Dauer Ihrer IAM-Anmeldeinformationen bestimmt. Wenn Ihre IAM-Anmeldeinformationen ablaufen, bleibt die Verbindung bestehen, bis die angegebene maximale Dauer erreicht ist. Wenn Sie über das Konsolenerlebnis des EC2-Instance-Connect-Endpunkts eine Verbindung zu einer Instance herstellen, legen Sie die **Maximale Tunneldauer (Sekunden)** auf einen Wert fest, der unter der Dauer Ihrer IAM-Anmeldeinformationen liegt. Wenn Ihre IAM-Anmeldeinformationen vorzeitig ablaufen, beenden Sie die Verbindung zu Ihrer Instance, indem Sie die Browserseite schließen.
# IAM-Berechtigungen für die Verwendung des EC2-Instance-Connect-Endpunkts erteilen
IAM-Entitäten sind standardmäßig nicht berechtigt, EC2-Instance-Connect-Endpunkte zu erstellen, zu beschreiben oder zu ändern. Ein IAM-Administrator kann IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen zum Erstellen und Bearbeiten von IAM-Richtlinien finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Die folgenden Beispielrichtlinien veranschaulichen, wie Sie die Berechtigungen kontrollieren können, die Benutzer für EC2-Instance-Connect-Endpunkte haben.
**Topics**
+ [Berechtigungen zum Erstellen, Beschreiben, Ändern und Löschen von EC2-Instance-Connect-Endpunkten](#iam-CreateInstanceConnectEndpoint)
+ [Berechtigungen, EC2-Instance-Connect-Endpunkt zu verwenden, um eine Verbindung zu Instances herzustellen](#iam-OpenTunnel)
+ [Herstellen von Verbindungen nur von einem bestimmten IP-Adressbereich berechtigen](#iam-sourceip)
## Berechtigungen zum Erstellen, Beschreiben, Ändern und Löschen von EC2-Instance-Connect-Endpunkten
Um einen EC2-Instance-Connect-Endpunkt zu erstellen und zu ändern, benötigen Benutzer Berechtigungen für die folgenden Aktionen:
+ `ec2:CreateInstanceConnectEndpoint`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateTags`
+ `ec2:ModifyInstanceConnectEndpoint`
+ `iam:CreateServiceLinkedRole`
Um einen EC2-Instance-Connect-Endpunkt zu erstellen, benötigen Benutzer Berechtigungen für die folgenden Aktionen:
+ `ec2:DescribeInstanceConnectEndpoints`
+ `ec2:DeleteInstanceConnectEndpoint`
Sie können eine Richtlinie erstellen, die Berechtigungen zum Erstellen, Beschreiben, Ändern und Löschen von EC2-Instance-Connect-Endpunkten in allen Subnetzen erteilt. Alternativ können Sie Aktionen nur für bestimmte Subnetze einschränken, indem Sie das Subnetz ARNs als zulässig angeben `Resource` oder den Bedingungsschlüssel verwenden. `ec2:SubnetID` Sie können den `aws:ResourceTag`-Bedingungsschlüssel auch verwenden, um die Erstellung von Endpunkten mit bestimmten Tags explizit zuzulassen oder zu verweigern. Weitere Informationen finden Sie unter [Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *-IAM-Benutzerhandbuch*.
**Beispiel für eine IAM-Richtlinie**
In der folgenden Beispiel-IAM-Richtlinie erteilt der Abschnitt `Resource` die Berechtigung zum Erstellen, Ändern und Löschen von Endpunkten in allen Subnetzen, die durch das Sternchen (`*`) angegeben sind. `ec2:Describe*`-API-Aktionen unterstützen keine Berechtigungen auf Ressourcenebene. Aus diesem Grund ist in der obigen Anweisung der `*`-Platzhalter im `Resource`-Element erforderlich.
## Berechtigungen, EC2-Instance-Connect-Endpunkt zu verwenden, um eine Verbindung zu Instances herzustellen
Die `ec2-instance-connect:OpenTunnel` Aktion erteilt die Berechtigung, eine TCP-Verbindung zu einer Instance herzustellen, um eine Verbindung über den EC2-Instance-Connect-Endpunkt herzustellen. Sie können den zu verwendenden EC2-Instance-Connect-Endpunkt angeben. Alternativ ermöglicht ein `Resource` mit einem Sternchen (`*`) versehenes Zeichen Benutzern, jeden verfügbaren EC2-Instance-Connect-Endpunkt zu verwenden. Sie können den Zugriff auf Instances auch einschränken, wenn Ressourcen-Tags als Bedingungsschlüssel vorhanden oder nicht vorhanden sind.
**Bedingungen**
+ `ec2-instance-connect:remotePort` – Gibt den Port auf der Instance an, der für den Aufbau einer TCP-Verbindung verwendet werden kann. Wenn dieser Bedingungsschlüssel verwendet wird, führt der Versuch, eine Verbindung zu einer Instance an einem anderen Port als dem in der Richtlinie angegebenen Port herzustellen, zu einem Fehler.
+ `ec2-instance-connect:privateIpAddress` – Gibt die private Ziel-IP-Adresse an, die der Instance zugeordnet ist, mit der Sie eine TCP-Verbindung herstellen möchten. Sie können eine einzelne IP-Adresse angeben, z. B.`10.0.0.1/32`, oder einen IPs Durchgangsbereich CIDRs, z. B. `10.0.1.0/28` Wenn dieser Bedingungsschlüssel verwendet wird, führt der Versuch, eine Verbindung zu einer Instance mit einer anderen privaten IP-Adresse oder außerhalb des CIDR-Bereichs herzustellen, zu einem Fehler.
+ `ec2-instance-connect:maxTunnelDuration` – Gibt die maximale Dauer für eine hergestellte TCP-Verbindung an. Die Einheit ist Sekunden und die Dauer reicht von mindestens 1 Sekunde bis maximal 3 600 Sekunden (1 Stunde). Wenn die Bedingung nicht angegeben ist, ist die Standarddauer auf 3 600 Sekunden (1 Stunde) festgelegt. Der Versuch, länger als die in der IAM-Richtlinie angegebene Dauer oder länger als das Standardmaximum eine Verbindung zu einer Instance herzustellen, führt zu einem Fehler. Die Verbindung wird nach Ablauf der angegebenen Dauer getrennt.
Wenn `maxTunnelDuration` in der IAM-Richtlinie angegeben ist und der angegebene Wert weniger als 3 600 Sekunden beträgt (Standard), müssen Sie `--max-tunnel-duration` im Befehl angeben, wenn Sie eine Verbindung zu einer Instance herstellen. Weitere Information über das Verbinden mit einer Instance finden Sie unter [Verbindung zu einer Amazon-EC2-Instance mit einem EC2-Instance-Connect-Endpunkt](connect-using-eice.md).
Sie können auch einem Benutzer Zugriff gewähren, um Verbindungen zu Instances herzustellen, basierend auf dem Vorhandensein von Ressourcen-Tags auf dem EC2-Instance-Connect-Endpunkt. Weitere Informationen finden Sie unter [Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *-IAM-Benutzerhandbuch*.
Für Linux-Instances gewährt die Aktion `ec2-instance-connect:SendSSHPublicKey` die Erlaubnis, den öffentlichen Schlüssel auf eine Instance zu übertragen. Die `ec2:osuser`-Bedingung gibt den Namen des Betriebssystembenutzers an, der den öffentlichen Schlüssel per Push an die Instance übertragen kann. Verwenden Sie den [Standardbenutzernamen der AMI](connection-prereqs-general.md#connection-prereqs-get-info-about-instance), den Sie beim Starten der Instance verwendet haben. Weitere Informationen finden Sie unter [Erteilen Sie IAM-Berechtigungen für EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).
**Beispiel für eine IAM-Richtlinie**
Die folgende Beispiel-IAM-Richtlinie ermöglicht es einem IAM-Prinzipal, eine Verbindung zu einer Instance herzustellen, indem er nur den angegebenen EC2-Instance-Connect-Endpunkt verwendet, der durch die angegebene Endpunkt-ID `eice-123456789abcdef` identifiziert wird. Die Verbindung wird nur erfolgreich hergestellt, wenn alle Bedingungen erfüllt sind.
**Anmerkung**
`ec2:Describe*`-API-Aktionen unterstützen keine Berechtigungen auf Ressourcenebene. Aus diesem Grund ist in der obigen Anweisung der `*`-Platzhalter im `Resource`-Element erforderlich.
------
#### [ Linux ]
In diesem Beispiel wird ausgewertet, ob die Verbindung zur Instance auf Port 22 (SSH) hergestellt wurde, ob die private IP-Adresse der Instance im Bereich von `10.0.1.0/31` (zwischen `10.0.1.0` und `10.0.1.1`) liegt und die `maxTunnelDuration` weniger als oder gleich `3600` Sekunden ist. Die Verbindung wird nach `3600` Sekunden (1 Stunden) getrennt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "EC2InstanceConnect",
"Action": "ec2-instance-connect:OpenTunnel",
"Effect": "Allow",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"NumericEquals": {
"ec2-instance-connect:remotePort": "22"
},
"IpAddress": {
"ec2-instance-connect:privateIpAddress": "10.0.1.0/31"
},
"NumericLessThanEquals": {
"ec2-instance-connect:maxTunnelDuration": "3600"
}
}
},
{
"Sid": "SSHPublicKey",
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:osuser": "ami-username"
}
}
},
{
"Sid": "Describe",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
------
#### [ Windows ]
In diesem Beispiel wird ausgewertet, ob die Verbindung zur Instance auf Port 3389 (RDP) hergestellt wurde, ob die private IP-Adresse der Instance im Bereich von `10.0.1.0/31` (zwischen `10.0.1.0` und `10.0.1.1`) liegt und die `maxTunnelDuration` weniger als oder gleich `3600` Sekunden ist. Die Verbindung wird nach `3600` Sekunden (1 Stunden) getrennt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "EC2InstanceConnect",
"Action": "ec2-instance-connect:OpenTunnel",
"Effect": "Allow",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"NumericEquals": {
"ec2-instance-connect:remotePort": "3389"
},
"IpAddress": {
"ec2-instance-connect:privateIpAddress": "10.0.1.0/31"
},
"NumericLessThanEquals": {
"ec2-instance-connect:maxTunnelDuration": "3600"
}
}
},
{
"Sid": "Describe",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
------
## Herstellen von Verbindungen nur von einem bestimmten IP-Adressbereich berechtigen
Die folgende Beispiel-IAM-Richtlinie ermöglicht es einem IAM-Prinzipal, eine Verbindung zu einer Instance herzustellen, sofern er von einer IP-Adresse innerhalb des in der Richtlinie angegebenen IP-Adressbereichs aus eine Verbindung herstellt. Wenn der IAM-Prinzipal `OpenTunnel` von einer IP-Adresse aufruft, die nicht innerhalb des Bereichs `192.0.2.0/24` liegt (der Beispiel-IP-Adressbereich in dieser Richtlinie), wird die Antwort `Access Denied` sein. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) im *IAM-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:OpenTunnel",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"IpAddress": {
"aws:SourceIp": "192.0.2.0/24"
},
"NumericEquals": {
"ec2-instance-connect:remotePort": "22"
}
}
},
{
"Sid": "SSHPublicKey",
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:osuser": "ami-username"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Resource": "*"
}
]
}
```
------
# Sicherheitsgruppen für EC2-Instance-Connect-Endpunkt
Eine Sicherheitsgruppe steuert den Datenverkehr, der die Ressourcen erreichen und verlassen darf, mit denen er verknüpft ist. Beispielsweise verweigern wir den Datenverkehr zu und von einer Amazon-EC2-Instance, es sei denn, er wird von den Sicherheitsgruppen, die der Instance zugeordnet sind, ausdrücklich zugelassen.
Die folgenden Beispiele zeigen Ihnen, wie Sie die Sicherheitsgruppenregeln für den EC2-Instance-Connect-Endpunkt und die Ziel-Instances konfigurieren.
**Topics**
+ [Sicherheitsgruppenregeln für EC2-Instance-Connect-Endpunkt](#eice-security-group-rules)
+ [Ziel-Instance-Sicherheitsgruppenregeln](#resource-security-group-rules)
## Sicherheitsgruppenregeln für EC2-Instance-Connect-Endpunkt
Die Sicherheitsgruppe für einen EC2-Instance-Connect-Endpunkt muss ausgehenden Datenverkehr zu den Ziel-Instances zulassen. Sie können entweder die Instanz-Sicherheitsgruppe IPv4 oder den IPv6 Adressbereich der VPC als Ziel angeben.
Der Datenverkehr zum Endpunkt stammt vom Service EC2-Instance-Connect-Endpunkt und ist unabhängig von den Regeln für eingehende Nachrichten für die Endpunkt-Sicherheitsgruppe zulässig. Um zu kontrollieren, wer den EC2-Instance-Connect-Endpoint verwenden kann, um sich mit einer Instance zu verbinden, verwenden Sie eine IAM-Richtlinie. Weitere Informationen finden Sie unter [Berechtigungen, EC2-Instance-Connect-Endpunkt zu verwenden, um eine Verbindung zu Instances herzustellen](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).
**Beispiel für eine Ausgangsregel: Referenzierung von Sicherheitsgruppen**
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass das Ziel eine Sicherheitsgruppe ist, die den Ziel-Instances zugeordnet ist. Diese Regel erlaubt ausgehenden Datenverkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden.
| Protocol (Protokoll) | Ziel | Port-Bereich | Comment |
| --- | --- | --- | --- |
| TCP | ID of instance security group | 22 | Erlaubt ausgehenden SSH-Verkehr zu allen Instances, die der Instance-Sicherheitsgruppe zugeordnet sind |
**Beispiel für eine ausgehende Regel: Adressbereich IPv4**
Das folgende Beispiel erlaubt ausgehenden Verkehr in den angegebenen IPv4 Adressbereich. Die IPv4 Adressen einer Instance werden von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4 Adressbereich der VPC verwenden können.
| Protocol (Protokoll) | Ziel | Port-Bereich | Comment |
| --- | --- | --- | --- |
| TCP | VPC IPv4 CIDR | 22 | Erlaubt ausgehenden SSH-Verkehr zur VPC |
**Beispiel für eine ausgehende Regel: Adressbereich IPv6**
Das folgende Beispiel erlaubt ausgehenden Verkehr in den angegebenen IPv6 Adressbereich. Die IPv6 Adressen einer Instance werden von ihrem Subnetz aus zugewiesen, sodass Sie den IPv6 Adressbereich der VPC verwenden können.
| Protocol (Protokoll) | Ziel | Port-Bereich | Comment |
| --- | --- | --- | --- |
| TCP | VPC IPv6 CIDR | 22 | Erlaubt ausgehenden SSH-Verkehr zur VPC |
## Ziel-Instance-Sicherheitsgruppenregeln
Die Sicherheitsgruppenregeln für Ziel-Instances müssen eingehenden Verkehr vom EC2-Instance-Connect-Endpunkt zulassen. Sie können entweder die Endpunkt-Sicherheitsgruppe IPv4 oder einen IPv6 Oder-Adressbereich als Quelle angeben. Wenn Sie einen IPv4 Adressbereich angeben, hängt die Quelle davon ab, ob die Client-IP-Erhaltung aus- oder aktiviert ist. Weitere Informationen finden Sie unter [Überlegungen](connect-with-ec2-instance-connect-endpoint.md#ec2-instance-connect-endpoint-prerequisites).
Da Sicherheitsgruppen statusbehaftet sind, darf der Antwortdatenverkehr die VPC unabhängig von den ausgehenden Regeln für die Instance-Sicherheitsgruppe verlassen.
**Beispiel für eine Eingangsregel: Referenzierung von Sicherheitsgruppen**
Im folgenden Beispiel wird auf Sicherheitsgruppen verwiesen, was bedeutet, dass das Ziel eine Sicherheitsgruppe ist, die den Ziel-Instances zugeordnet ist. Diese Regel erlaubt eingehenden SSH-Verkehr vom Endpunkt zu allen Instances, die diese Sicherheitsgruppe verwenden, unabhängig davon, ob die Client-IP-Erhaltung aktiviert oder deaktiviert ist. Wenn es keine anderen Regeln für eingehende Sicherheitsgruppen für SSH gibt, akzeptieren die Instances nur SSH-Verkehr vom Endpunkt.
| Protocol (Protokoll) | Quelle | Port-Bereich | Comment |
| --- | --- | --- | --- |
| TCP | ID of endpoint security group | 22 | Lässt eingehenden SSH-Datenverkehr von den Ressourcen zu, die der Endpunkt-Sicherheitsgruppe zugeordnet sind |
**Beispiel für eine Eingangsregel: Client-IP-Erhaltung aus**
Das folgende Beispiel lässt eingehenden SSH-Verkehr aus dem angegebenen IPv4 Adressbereich zu. Da die Client-IP-Erhaltung ausgeschaltet ist, ist die IPv4 Quelladresse die Adresse der Endpunkt-Netzwerkschnittstelle. Die Adresse der Endpunkt-Netzwerkschnittstelle wird von ihrem Subnetz aus zugewiesen, sodass Sie den IPv4 Adressbereich der VPC verwenden können, um Verbindungen zu allen Instances in der VPC zuzulassen.
| Protocol (Protokoll) | Quelle | Port-Bereich | Comment |
| --- | --- | --- | --- |
| TCP | VPC IPv4 CIDR | 22 | Eingehenden SSH-Datenverkehr von der VPC zulassen |
**Beispiel für eine Eingangsregel: Client-IP-Erhaltung an**
Das folgende Beispiel erlaubt eingehenden SSH-Verkehr aus dem angegebenen Adressbereich. IPv4 Da die Client-IP-Erhaltung aktiviert ist, ist die IPv4 Quelladresse die Adresse des Clients.
| Protocol (Protokoll) | Quelle | Port-Bereich | Comment |
| --- | --- | --- | --- |
| TCP | Public IPv4 address range | 22 | Lässt eingehenden Datenverkehr aus dem angegebenen IPv4 Client-Adressbereich zu |
# Erstellen Sie einen EC2-Instance-Connect-Endpunkt
Sie können einen EC2-Instance-Connect-Endpunkt erstellen, um eine sichere Verbindung zu Ihren Instances zu ermöglichen.
**Überlegungen**
+ **Geteilte Subnetze** – Sie können einen EC2-Instance-Connect-Endpunkt in einem Subnetz erstellen, das mit Ihnen geteilt wird. Sie können jedoch keine EC2-Instance-Connect-Endpunkte in einem freigegebenen Subnetz verwenden, die der Eigentümer erstellt hat.
+ **IP-Adresstypen** – EC2-Instance-Connect-Endpunkte unterstützen die folgenden Adresstypen, die mit Ihrem Subnetz kompatibel sein müssen:
+ `ipv4`— Stellen Sie nur eine Verbindung zu EC2-Instances mit privaten IPv4 Adressen her.
+ `dualstack`— Connect zu EC2-Instances mit privaten IPv4 Adressen oder IPv6 Adressen her.
+ `ipv6`— Stellen Sie nur eine Verbindung zu EC2-Instances mit IPv6 Adressen her.
**Voraussetzungen**
Sie müssen über die erforderlichen IAM-Berechtigungen verfügen, um einen EC2-Instance-Connect-Endpunkt zu erstellen. Weitere Informationen finden Sie unter [Berechtigungen zum Erstellen, Beschreiben, Ändern und Löschen von EC2-Instance-Connect-Endpunkten](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).
------
#### [ Console ]
**So erstellen Sie einen Endpunkt für EC2 Instance Connect**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im linken Navigationsbereich die Option **Endpoints** (Endpunkte) aus.
1. Wählen Sie **Endpunkt erstellen** aus und geben Sie dann die Endpunkteinstellungen wie folgt an:
1. (Optional) Geben Sie unter **Namens-Tag** einen Namen für den Endpunkt ein.
1. Wählen Sie für **Typ** die Option **EC2-Instance-Connect-Endpunkt** aus.
1. Wählen Sie unter **Netzwerkeinstellungen** für **VPC** die VPC aus, die die Ziel-Instances enthält.
1. (Optional) Um Client-IP-Adressen beizubehalten, erweitern Sie **Zusätzliche Einstellungen** und aktivieren Sie das Kontrollkästchen **Client-IP beibehalten**. Andernfalls wird standardmäßig die Netzwerkschnittstelle des Endpunkts als Client-IP-Adresse verwendet.
**Anmerkung**
Diese Option ist nur verfügbar, wenn der IP-Adresstyp des Endpunkts als IPv4 konfiguriert ist.
1. (Optional) Wählen Sie für **Sicherheitsgruppen** die VPC-Sicherheitsgruppe aus, die der Option zugeordnet werden soll. Andernfalls wird standardmäßig die Standard-Sicherheitsgruppe für die VPC verwendet. Weitere Informationen finden Sie unter [Sicherheitsgruppen für EC2-Instance-Connect-Endpunkt](eice-security-groups.md).
1. Wählen Sie für **Subnetz** das Subnetz aus, in dem der Endpunkt erstellt werden soll.
1. Wählen Sie als **IP-Adresstyp** den IP-Adresstyp für den Endpunkt aus. Wählen Sie **Dualstack**, wenn Sie sowohl Verbindungen zu Ihren Instances als IPv4 auch IPv6 Verbindungen unterstützen müssen. Wählen Sie aus **IPv4**, ob Sie die Erhaltung der Client-IP unterstützen möchten.
1. (Optional) Sie fügen ein Tag hinzu, indem Sie **neues Tag hinzufügen** auswählen und den Schlüssel und den Wert für das Tag eingeben.
1. Überprüfen Sie die Einstellungen und wählen Sie dann **Endpunkt erstellen**.
Der Anfangsstatus des Endpunkts ist **Ausstehend**. Bevor Sie über diesen Endpunkt eine Verbindung zu einer Instance herstellen können, warten Sie, bis der Status **Verfügbar** lautet. Dies kann einige Minuten dauern.
1. Informationen zum Herstellen einer Verbindung mit einer Instance über Ihren Endpunkt erhalten Sie unter [Herstellen einer Verbindung zu einer -Instance](connect-using-eice.md).
------
#### [ AWS CLI ]
**So erstellen Sie einen Endpunkt für EC2 Instance Connect**
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/create-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-instance-connect-endpoint.html).
```
aws ec2 create-instance-connect-endpoint \
--subnet-id subnet-0123456789example
```
Um den Typ des Datenverkehrs anzugeben, den der Endpunkt unterstützt, geben Sie den Parameter `--ip-address-type` an. Gültige Werte sind `ipv4`, `dualstack` oder `ipv6`. Das Subnetz muss den von Ihnen angegebenen IP-Adresstyp unterstützen. Wenn der Parameter `--ip-address-type` weggelassen wird, wird der Standardwert durch den vom Subnetz unterstützten IP-Adresstyp bestimmt.
```
aws ec2 create-instance-connect-endpoint \
--subnet-id subnet-0123456789example \
--ip-address-type ipv4
```
Es folgt eine Beispielausgabe.
```
{
"OwnerId": "111111111111",
"InstanceConnectEndpointId": "eice-0123456789example",
"InstanceConnectEndpointArn": "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example",
"State": "create-complete",
"StateMessage": "",
"DnsName": "eice-0123456789example.0123abcd.ec2-instance-connect-endpoint.us-east-1.amazonaws.com",
"FipsDnsName": "eice-0123456789example.0123abcd.fips.ec2-instance-connect-endpoint.us-east-1.amazonaws.com",
"NetworkInterfaceIds": [
"eni-0123abcd"
],
"VpcId": "vpc-0123abcd",
"AvailabilityZone": "us-east-1a",
"AvailabilityZoneId": "use1-az4",
"CreatedAt": "2023-04-07T15:43:53.000Z",
"SubnetId": "subnet-0123abcd",
"PreserveClientIp": false,
"SecurityGroupIds": [
"sg-0123abcd"
],
"Tags": [],
"IpAddressType": "ipv4"
}
```
**Den Erstellungsstatus überwachen**
Der Anfangswert für das `State`-Feld ist `create-in-progress`. Bevor Sie über diesen Endpunkt eine Verbindung zu einer Instance herstellen können, warten Sie, bis der Status `create-complete` lautet. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html)-Befehl, um den Status des EC2-Instance-Connect-Endpunkts zu überwachen. Der Parameter `--query` filtert die Ergebnisse in das `State`-Feld.
```
aws ec2 describe-instance-connect-endpoints --instance-connect-endpoint-ids eice-0123456789example --query InstanceConnectEndpoints[*].State --output text
```
Es folgt eine Beispielausgabe.
```
create-complete
```
------
#### [ PowerShell ]
**So erstellen Sie den EC2-Instance-Connect-Endpunkt**
Verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InstanceConnectEndpoint.html).
```
New-EC2InstanceConnectEndpoint -SubnetId subnet-0123456789example
```
Um den Typ des Datenverkehrs anzugeben, den der Endpunkt unterstützt, geben Sie den Parameter `-IpAddressType` an. Gültige Werte sind `ipv4`, `dualstack` oder `ipv6`. Das Subnetz muss den von Ihnen angegebenen IP-Adresstyp unterstützen. Wenn der Parameter `-IpAddressType` weggelassen wird, wird der Standardwert durch den vom Subnetz unterstützten IP-Adresstyp bestimmt.
```
New-EC2InstanceConnectEndpoint -SubnetId subnet-0123456789example -IpAddressType ipv4
```
Es folgt eine Beispielausgabe.
```
OwnerId : 111111111111
InstanceConnectEndpointId : eice-0123456789example
InstanceConnectEndpointArn : arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example
State : create-complete
StateMessage :
DnsName : eice-0123456789example.0123abcd.ec2-instance-connect-endpoint.us-east-1.amazonaws.com
FipsDnsName : eice-0123456789example.0123abcd.fips.ec2-instance-connect-endpoint.us-east-1.amazonaws.com
NetworkInterfaceIds : {eni-0123abcd}
VpcId : vpc-0123abcd
AvailabilityZone : us-east-1a
AvailabilityZoneId : use1-az4
CreatedAt : 4/7/2023 3:43:53 PM
SubnetId : subnet-0123abcd
PreserveClientIp : False
SecurityGroupIds : {sg-0123abcd}
Tags : {}
IpAddressType : ipv4
```
**Den Erstellungsstatus überwachen**
Der Anfangswert für das `State`-Feld ist `create-in-progress`. Bevor Sie über diesen Endpunkt eine Verbindung zu einer Instance herstellen können, warten Sie, bis der Status `create-complete` lautet. Verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html), um den Status des EC2-Instance-Connect-Endpunkts zu überwachen. `.State.Value` filtert die Ergebnisse in das `State`-Feld.
```
(Get-EC2InstanceConnectEndpoint -InstanceConnectEndpointId "eice-0123456789example").State.Value
```
Es folgt eine Beispielausgabe.
```
create-complete
```
------
# Einen EC2-Instance-Connect-Endpunkt ändern
Sie können vorhandene EC2 Instance Connect-Endpoints mithilfe des AWS CLI oder eines SDK ändern. Die Amazon-EC2-Konsole unterstützt keine Endpunkt-Modifikation.
Bevor Sie beginnen, benötigen Sie die erforderlichen IAM-Berechtigungen. Weitere Informationen finden Sie unter [Berechtigungen zum Erstellen, Beschreiben, Ändern und Löschen von EC2-Instance-Connect-Endpunkten](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).
## Parameter, die Sie ändern können
Sie können in EC2 Instance Connect die folgenden Endpunkt-Parameter ändern:
**Sicherheitsgruppen**
Sie können neue Sicherheitsgruppen für den EC2-Instance-Connect-Endpunkt angeben. Die neuen Sicherheitsgruppen ersetzen die aktuellen Sicherheitsgruppen.
Wenn Sie die Sicherheitsgruppen ändern, müssen Sie Folgendes angeben:
+ Mindestens eine Sicherheitsgruppe, auch wenn es sich nur um die Standardsicherheitsgruppe in der VPC handelt.
+ Die IDs der Sicherheitsgruppen, nicht die Namen.
**IP-Adresstyp**
Sie können einen neuen IP-Adresstyp für den EC2-Instance-Connect-Endpunkt angeben.
Zulässige Werte: `ipv4` \$1 `dualstack` \$1 `ipv6`
**Client-IP-Einstellung beibehalten**
Sie können angeben, ob die Client-IP-Adresse als Quelle beibehalten werden soll.
Die Beibehaltung der Client-IP wird nur auf IPv4 EC2 Instance Connect-Endpunkten unterstützt. Bei der Aktivierung von `PreserveClientIp` muss entweder der vorhandene IP-Adresstyp des Endpunkts `ipv4` sein, oder wenn der IP-Adresstyp in derselben Anfrage geändert wird, muss der neue Wert `ipv4` sein.
------
#### [ AWS CLI ]
**So ändern Sie einen EC2-Instance-Connect-Endpunkt**
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-connect-endpoint.html) und geben Sie den EC2-Instance-Connect-Endpunkt und die zu ändernden Parameter an. Im folgenden Beispiel werden alle Parameter in einer einzelnen Anforderung geändert.
```
aws ec2 modify-instance-connect-endpoint \
--instance-connect-endpoint-id eice-0123456789example \
--security-group-ids sg-0123456789example \
--ip-address-type dualstack \
--no-preserve-client-ip
```
Es folgt eine Beispielausgabe.
```
{
"Return": true
}
```
**So überwachen Sie den Status der Aktualisierung**
Während der Änderung ändert sich der Status des EC2-Instance-Connect-Endpunkts zu `update-in-progress`. Der Aktualisierungsvorgang wird asynchron ausgeführt und mit dem Status `update-complete` oder `update-failed` abgeschlossen. Der Endpunkt verwendet seine alte Konfiguration, bis der Status auf `update-complete` geändert wird.
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html), um den Aktualisierungsstatus zu überwachen. Der Parameter `--query` filtert die Ergebnisse in das `State`-Feld.
```
aws ec2 describe-instance-connect-endpoints \
--instance-connect-endpoint-ids eice-0123456789example \
--query InstanceConnectEndpoints[*].State --output text
```
Es folgt eine Beispielausgabe.
```
update-complete
```
------
#### [ PowerShell ]
**So ändern Sie einen EC2-Instance-Connect-Endpunkt**
Verwenden Sie das cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceConnectEndpoint.html) und geben Sie den EC2-Instance-Connect-Endpunkt und die zu ändernden Parameter an. Im folgenden Beispiel werden alle Parameter in einer einzelnen Anforderung geändert.
```
Edit-EC2InstanceConnectEndpoint `
-InstanceConnectEndpointId eice-0123456789example `
-SecurityGroupIds sg-0123456789example `
-IpAddressType dualstack `
-PreserveClientIp $false
```
Es folgt eine Beispielausgabe.
```
True
```
**So überwachen Sie den Status der Aktualisierung**
Während der Änderung ändert sich der Status des EC2-Instance-Connect-Endpunkts zu `update-in-progress`. Der Aktualisierungsvorgang wird asynchron ausgeführt und mit dem Status `update-complete` oder `update-failed` abgeschlossen. Der Endpunkt verwendet seine alte Konfiguration, bis der Status auf `update-complete` geändert wird.
Verwenden Sie den Befehl [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html), um den Aktualisierungsstatus zu überwachen. `.State.Value` filtert die Ergebnisse in das `State`-Feld.
```
(Get-EC2InstanceConnectEndpoint -InstanceConnectEndpointId "eice-0123456789example").State.Value
```
Es folgt eine Beispielausgabe.
```
update-complete
```
------
# Einen EC2-Instance-Connect-Endpunkt löschen
Wenn Sie einen EC2-Instance-Connect-Endpunkt nicht mehr benötigen, können Sie ihn löschen.
Sie müssen über die erforderlichen IAM-Berechtigungen verfügen, um einen EC2-Instance-Connect-Endpunkt zu erstellen. Weitere Informationen finden Sie unter [Berechtigungen zum Erstellen, Beschreiben, Ändern und Löschen von EC2-Instance-Connect-Endpunkten](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).
Wenn Sie einen EC2-Instance-Connect-Endpunkt in der Konsole löschen, wechselt er zuerst in den Status **Lösche**. Wenn der Löschvorgang erfolgreich ist, wird der gelöschte Endpunkt nicht mehr angezeigt. Falls die Löschaktion fehlschlägt, ist der Status **delete-failed** und die **Statusmeldung** gibt die Fehlerursache an.
Wenn Sie einen EC2 Instance Connect-Endpoint mit dem löschen AWS CLI, wechselt er in den `delete-in-progress` Status. Wenn der Löschvorgang erfolgreich ist, wechselt es in den `delete-complete`-Status. Schlägt die Löschaktion fehl, ist der Status `delete-failed` und `StateMessage` gibt die Fehlerursache an.
------
#### [ Console ]
**So löschen Sie einen Endpunkt für EC2-Instance-Verbindungen**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im linken Navigationsbereich die Option **Endpoints** (Endpunkte) aus.
1. Wählen Sie den Endpunkt.
1. Wählen Sie **Actions** (Aktionen), **Delete VPC Endpoint** (VPC-Endpunkte löschen).
1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein.
1. Wählen Sie **Löschen** aus.
------
#### [ AWS CLI ]
**Wie Sie einen EC2-Instance-Connect-Endpunkt löschen**
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html) und geben Sie die ID des zu löschenden EC2-Instance-Connect-Endpunkts an.
```
aws ec2 delete-instance-connect-endpoint --instance-connect-endpoint-id eice-03f5e49b83924bbc7
```
Es folgt eine Beispielausgabe.
```
{
"InstanceConnectEndpoint": {
"OwnerId": "111111111111",
"InstanceConnectEndpointId": "eice-0123456789example",
"InstanceConnectEndpointArn": "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example",
"State": "delete-in-progress",
"StateMessage": "",
"NetworkInterfaceIds": [],
"VpcId": "vpc-0123abcd",
"AvailabilityZone": "us-east-1d",
"AvailabilityZoneId": "use1-az2",
"CreatedAt": "2023-02-07T12:05:37+00:00",
"SubnetId": "subnet-0123abcd"
}
}
```
------
#### [ PowerShell ]
**So löschen Sie einen Endpunkt für EC2-Instance-Verbindungen**
Verwenden Sie das cmdlet [https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html) und geben Sie die ID des zu löschenden EC2-Instance-Connect-Endpunkts an.
```
Remove-EC2InstanceConnectEndpoint -InstanceConnectEndpointId eice-03f5e49b83924bbc7
```
Es folgt eine Beispielausgabe.
```
@{
InstanceConnectEndpoint = @{
OwnerId = "111111111111"
InstanceConnectEndpointId = "eice-0123456789example"
InstanceConnectEndpointArn = "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example"
State = "delete-in-progress"
StateMessage = ""
NetworkInterfaceIds = @()
VpcId = "vpc-0123abcd"
AvailabilityZone = "us-east-1d"
AvailabilityZoneId = "use1-az2"
CreatedAt = "2023-02-07T12:05:37+00:00"
SubnetId = "subnet-0123abcd"
}
}
```
------
# Verbindung zu einer Amazon-EC2-Instance mit einem EC2-Instance-Connect-Endpunkt
Sie können EC2-Instance-Connect-Endpunkt verwenden, um eine Verbindung zu einer Amazon-EC2-Instance herzustellen, die SSH oder RDP unterstützt.
**Voraussetzungen**
+ Sie müssen über die erforderlichen IAM-Berechtigungen verfügen, um einen EC2-Instance-Connect-Endpunkt zu erstellen. Weitere Informationen finden Sie unter [Berechtigungen, EC2-Instance-Connect-Endpunkt zu verwenden, um eine Verbindung zu Instances herzustellen](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).
+ Der EC2-Instance-Connect-Endpunkt muss in einem der folgenden Status sein:
+ **create-complete** für einen neuen Endpunkt
+ **update-in-progress**, **Aktualisierung abgeschlossen oder** **Aktualisierung fehlgeschlagen für einen vorhandenen Endpunkt**, der geändert wird. Wenn ein Endpunkt geändert wird, verwendet er weiterhin seine ursprüngliche Konfiguration, bis sich der Status in **update-complete** ändert.
Wenn Ihre VPC nicht über einen EC2-Instance-Connect-Endpunkt verfügt, können Sie einen erstellen. Weitere Informationen finden Sie unter [Erstellen Sie einen EC2-Instance-Connect-Endpunkt](create-ec2-instance-connect-endpoints.md).
+ Der IP-Adresstyp des EC2-Instance-Connect-Endpunkts muss mit dem IP-Adresstyp der Instance kompatibel sein. Wenn Ihr Endpunkt-IP-Adresstyp Dual-Stack ist, kann er für beide Adressen funktionieren. IPv4 IPv6
+ (Linux-Instances) Um die Amazon-EC2-Konsole zum Herstellen einer Verbindung mit Ihrer Instance zu verwenden oder die CLI zum Herstellen einer Verbindung zu verwenden und EC2 Instance Connect den temporären Schlüssel verarbeiten zu lassen, muss EC2 Instance Connect installiert sein. Weitere Informationen finden Sie unter [Installieren Sie EC2 Instance Connect](ec2-instance-connect-set-up.md).
+ Stellen Sie sicher, dass die Sicherheitsgruppe der Instance eingehenden SSH-Datenverkehr vom EC2-Instance-Connect-Endpunkt zulässt. Weitere Informationen finden Sie unter [Ziel-Instance-Sicherheitsgruppenregeln](eice-security-groups.md#resource-security-group-rules).
**Topics**
+ [Verbinden Sie sich mit Ihrer Linux-Instance über die Amazon-EC2-Konsole](#connect-using-the-ec2-console)
+ [Herstellen einer Verbindung zu Ihrer Linux-Instance mit SSH](#eic-connect-using-ssh)
+ [Stellen Sie mit der Instanz-ID eine Connect zu Ihrer Linux-Instance her, indem Sie AWS CLI](#eic-connect-using-cli)
+ [Herstellen einer Verbindung mit Ihrer Windows-Instance mithilfe von RDP](#eic-connect-using-rdp)
+ [Fehlerbehebung](#troubleshoot-eice)
## Verbinden Sie sich mit Ihrer Linux-Instance über die Amazon-EC2-Konsole
Sie können über die Amazon-EC2-Konsole (einen browserbasierten Client) wie folgt Verbindungen mit einer Instance herstellen.
**Mit Ihrer Instance über die Amazon-EC2-Konsole verbinden**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** aus.
1. Wählen Sie die Instance aus und klicken Sie auf **Verbinden**.
1. Wählen Sie die Registerkarte **EC2 Instance Connect** aus.
1. Wählen Sie für **Verbindungstyp** die Option **Mit einer privaten IP verbinden** aus.
1. Wählen Sie entweder ** IPv4 Privatadresse** oder **IPv6Adresse**. Die Optionen sind auf der Grundlage der IP-Adressen verfügbar, die Ihrer Instance zugewiesen wurden. Wenn eine Option nicht verfügbar ist, ist Ihrer Instance keine IP-Adresse dieses Typs zugewiesen.
1. Wählen Sie für **EC2-Instance-Connect-Endpunkt** die ID des EC2-Instance-Connect-Endpunkts.
**Anmerkung**
Der EC2-Instance-Connect-Endpunkt muss mit der IP-Adresse kompatibel sein, die Sie im vorherigen Schritt ausgewählt haben. Wenn es sich bei Ihrem Endpunkt-IP-Adresstyp um einen Dual-Stack-Adresstyp handelt, kann er IPv4 sowohl für als auch für IPv6 Adressen funktionieren. Weitere Informationen finden Sie unter [Erstellen Sie einen EC2-Instance-Connect-Endpunkt](create-ec2-instance-connect-endpoints.md).
1. Wenn das AMI, das Sie zum Starten der Instance verwendet haben, einen anderen **Benutzernamen** als `ec2-user` verwendet, geben Sie unter Benutzername den richtigen Benutzernamen ein.
1. Geben Sie für **Max. Tunneldauer (Sekunden)** die maximal zulässige Dauer für die SSH-Verbindung ein.
Die Dauer muss den in der IAM-Richtlinie festgelegten `maxTunnelDuration`-Bedingungen entsprechen. Wenn Sie keinen Zugriff zur IAM-Richtlinie haben, wenden Sie sich an Ihren Administrator.
1. Wählen Sie **Connect** aus. Dadurch wird ein Terminalfenster für Ihre Instance geöffnet.
## Herstellen einer Verbindung zu Ihrer Linux-Instance mit SSH
Sie können SSH verwenden, um eine Verbindung zu Ihrer Linux-Instance herzustellen, und den `open-tunnel`-Befehl verwenden, um einen privaten Tunnel einzurichten. Sie können `open-tunnel` im Einzelverbindungsmodus oder im Mehrfachverbindungsmodus verwenden. Sie können Ihre Instance-ID, eine private IPv4 Adresse oder eine IPv6 Adresse angeben.
Informationen zur Verwendung von AWS CLI , um über SSH eine Verbindung zu Ihrer Instance herzustellen, finden Sie unter[Connect mit dem her AWS CLI](ec2-instance-connect-methods.md#connect-linux-inst-eic-cli-ssh).
Im folgenden Beispiel wird [OpenSSH](https://www.openssh.com/) verwendet. Sie können jeden anderen SSH-Client verwenden, der einen Proxy-Modus unterstützt.
### Einzelne -Verbindung
**So erlauben Sie nur eine einzige Verbindung zu einer Instance über SSH und den Befehl `open-tunnel`**
Verwenden Sie `ssh` und den [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) AWS CLI Befehl wie folgt. Der `-o`-Proxy-Befehl umfasst den `open-tunnel`-Befehl, der den privaten Tunnel zur Instance erstellt.
```
ssh -i my-key-pair.pem ec2-user@i-1234567890abcdef0 \
-o ProxyCommand='aws ec2-instance-connect open-tunnel --instance-id i-1234567890abcdef0'
```
Für:
+ `-i` – Geben Sie das Schlüsselpaar an, das zum Starten der Instance verwendet wurde.
+ `ec2-user@i-1234567890abcdef0` – Geben Sie den Benutzernamen des AMI an, das zum Starten der Instance verwendet wurde, und die Instance-ID. Bei Instances mit einer IPv6 Adresse müssen Sie die IPv6 Adresse anstelle der Instanz-ID angeben.
+ `--instance-id` – Geben Sie die ID der Instance, zu der eine Verbindung hergestellt werden soll, an. Alternativ können Sie auch `%h` angeben, wodurch die Instance-ID des Benutzers extrahiert wird. Ersetzen `--instance-id i-1234567890abcdef0` Sie bei Instanzen mit einer IPv6 Adresse durch`--private-ip-address 2001:db8::1234:5678:1.2.3.4`.
### Mehrfachverbindung
Um mehrere Verbindungen zu einer Instance zuzulassen, führen Sie zuerst den [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) AWS CLI Befehl aus, um auf neue TCP-Verbindungen zu warten, und verwenden Sie ihn dann, `ssh` um eine neue TCP-Verbindung und einen privaten Tunnel zu Ihrer Instance zu erstellen.
**So erlauben Sie mehrere Verbindungen zu Ihrer Instance mit SSH und dem Befehl `open-tunnel`**
1. Führen Sie den folgenden Befehl aus, um auf Ihrem lokalen Computer auf neue TCP-Verbindungen am angegebenen Port zu horchen.
```
aws ec2-instance-connect open-tunnel \
--instance-id i-1234567890abcdef0 \
--local-port 8888
```
Erwartete Ausgabe:
```
Listening for connections on port 8888.
```
1. Führen Sie in einem *neuen Terminalfenster* den folgenden `ssh`-Befehl aus, um eine neue TCP-Verbindung und einen privaten Tunnel zu Ihrer Instance zu erstellen.
```
ssh -i my-key-pair.pem ec2-user@localhost -p 8888
```
Erwartete Ausgabe – Im *ersten* Terminalfenster sehen Sie Folgendes:
```
[1] Accepted new tcp connection, opening websocket tunnel.
```
Möglicherweise wird auch Folgendes angezeigt:
```
[1] Closing tcp connection.
```
## Stellen Sie mit der Instanz-ID eine Connect zu Ihrer Linux-Instance her, indem Sie AWS CLI
Wenn Sie nur Ihre Instance-ID kennen, können Sie den AWS CLI Befehl [ec2-instance-connect ssh verwenden, um über einen SSH-Client](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html) eine Verbindung zu Ihrer Instance herzustellen. Weitere Informationen finden Sie unter [Connect mit dem her AWS CLI](ec2-instance-connect-methods.md#connect-linux-inst-eic-cli-ssh).
**Voraussetzungen**
+ Installieren Sie AWS CLI Version 2 und konfigurieren Sie sie mit Ihren Anmeldeinformationen. Weitere Informationen finden Sie unter [Installieren oder Aktualisieren auf die neueste Version von AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) und [Konfiguration der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) im *AWS Command Line Interface -Benutzerhandbuch*.
+ Alternativ können Sie AWS CLI Befehle in der vorauthentifizierten Shell öffnen AWS CloudShell und ausführen.
**So stellen Sie eine Verbindung zu einer Instance über die Instance-ID und einen EC2-Instance-Connect-Endpunkt her**
Wenn Sie nur die Instance-ID kennen, verwenden Sie den CLI-Befehl [ec2-instance-connect ssh](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html) und geben Sie den `ssh`-Befehl, die Instance-ID und den `--connection-type`-Parameter mit dem Wert `eice` an, um einen EC2-Instance-Connect-Endpunkt zu verwenden. Wenn die Instanz nur eine IPv6 Adresse hat, müssen Sie den `--instance-ip` Parameter auch mit der IPv6 Adresse angeben.
+ Wenn die Instanz eine private IPv4 Adresse hat (sie kann auch eine IPv6 Adresse haben), verwenden Sie den folgenden Befehl und die folgenden Parameter:
```
aws ec2-instance-connect ssh \
--instance-id i-1234567890example \
--os-user ec2-user \
--connection-type eice
```
+ Wenn die Instanz nur eine IPv6 Adresse hat, fügen Sie den `--instance-ip` Parameter der IPv6 Adresse hinzu:
```
aws ec2-instance-connect ssh \
--instance-id i-1234567890example \
--instance-ip 2001:db8::1234:5678:1.2.3.4 \
--os-user ec2-user \
--connection-type eice
```
**Tipp**
Wenn Sie eine Fehlermeldung erhalten, stellen Sie sicher, dass Sie AWS CLI Version 2 verwenden. Der `ssh` Parameter ist nur in AWS CLI Version 2 verfügbar. Weitere Informationen zu finden Sie unter [Über AWS CLI Version 2](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html#welcome-versions-v2) im *AWS Command Line Interface -Benutzerhandbuch*.
## Herstellen einer Verbindung mit Ihrer Windows-Instance mithilfe von RDP
Sie können das Remote Desktop Protocol (RDP) über den EC2 Instance Connect Endpoint verwenden, um eine Verbindung zu einer Windows-Instance ohne öffentliche IPv4 Adresse oder öffentlichen DNS-Namen herzustellen.
**Verwenden Sie einen RDP Client, um sich mit Ihrer Windows-Instance zu verbinden.**
1. Führen Sie die Schritte 1 – 8 unter [Herstellen einer Verbindung mit Ihrer Windows-Instance über RDP](connect-rdp.md) aus. Nachdem Sie die RDP-Desktop-Datei in Schritt 8 heruntergeladen haben, erhalten Sie die Meldung **Verbindung nicht möglich**. Dies ist zu erwarten, da Ihre Instance keine öffentliche IP-Adresse hat.
1. Führen Sie den folgenden Befehl aus, um einen privaten Tunnel zu der VPC einzurichten, in der sich die Instance befindet. `--remote-port` muss `3389` sein, weil RDP standardmäßig Port 3389 verwendet.
```
aws ec2-instance-connect open-tunnel \
--instance-id i-1234567890abcdef0 \
--remote-port 3389 \
--local-port any-port
```
1. Suchen Sie in Ihrem **Downloads**-Ordner nach der RDP-Desktop-Datei, die Sie heruntergeladen haben, und ziehen Sie sie in das RDP-Clientfenster.
1. Klicken Sie mit der rechten Maustaste auf die RDP-Datei und wählen Sie **Bearbeiten** aus.
1. Geben Sie im Fenster **PC bearbeiten** als **PC-Name** (die Instance, zu der eine Verbindung hergestellt werden soll) `localhost:local-port` ein, wobei `local-port` den gleichen Wert wie in Schritt 2 verwendet, und wählen Sie dann **Speichern** aus.
Beachten Sie, dass der folgende Screenshot des Fensters **PC bearbeiten** von Microsoft Remote Desktop auf einem Mac stammt. Wenn Sie einen Windows-Client verwenden, sieht das Fenster eventuell anders aus.
![\[Der RDP-Client mit dem Beispiel „localhost:5555" im Feld „PC-Name“.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/ec2-instance-connect-endpoint-rdp.png)
1. Klicken Sie im RDP-Client mit der rechten Maustaste auf den PC (den Sie gerade konfiguriert haben) und wählen Sie **Verbinden**, um eine Verbindung zu Ihrer Instance herzustellen.
1. Geben Sie an der Eingabeaufforderung das unverschlüsselte Passwort für das Administratorkonto ein.
## Fehlerbehebung
Nutzen Sie die folgenden Informationen, um Probleme zu diagnostizieren und zu beheben, die auftreten können, wenn EC2-Instance-Connect-Endpunkt zum Herstellen von Verbindungen mit einer Instance verwendet wird.
### Kann nicht zu Ihrer Instance verbinden
Nachfolgend finden Sie die häufigsten Gründe, warum Sie möglicherweise keine Verbindung zu Ihrer Instance herstellen können.
+ Sicherheitsgruppen – Überprüfen Sie die Sicherheitsgruppen, die dem EC2-Instance-Connect-Endpunkt und Ihrer Instance zugewiesen sind. Weitere Informationen zu Sicherheitsgruppenregeln finden Sie unter [Sicherheitsgruppen für EC2-Instance-Connect-Endpunkt](eice-security-groups.md).
+ Instance-Status – Stellen Sie sicher, dass sich Ihre Instance im `running`-Status befindet.
+ Schlüsselpaar – Wenn der Befehl, den Sie zum Herstellen einer Verbindung verwenden, einen privaten Schlüssel erfordert, stellen Sie sicher, dass Ihre Instance über einen öffentlichen Schlüssel verfügt und dass Sie über den entsprechenden privaten Schlüssel verfügen.
+ IAM-Berechtigungen – Stellen Sie sicher, dass Sie über die erforderlichen IAM-Berechtigungen verfügen. Weitere Informationen finden Sie unter [IAM-Berechtigungen für die Verwendung des EC2-Instance-Connect-Endpunkts erteilen](permissions-for-ec2-instance-connect-endpoint.md).
Weitere Tipps zur Fehlerbehebung für Linux-Instances finden Sie unter [Fehlersuche bei Verbindungsproblemen mit Ihrer Amazon-EC2-Linux-Instance](TroubleshootingInstancesConnecting.md). Weitere Tipps zur Fehlerbehebung für Windows-Instances finden Sie unter [Verbindungsprobleme mit Ihrer Amazon-EC2-Windows-Instance beheben](troubleshoot-connect-windows-instance.md).
### ErrorCode: AccessDeniedException
Wenn Sie einen `AccessDeniedException`-Fehler erhalten und die `maxTunnelDuration`-Bedingung in der IAM-Richtlinie angegeben ist, geben Sie den `--max-tunnel-duration`-Parameter unbedingt an, wenn Sie eine Verbindung zu einer Instance herstellen. Weitere Informationen zu Parametern finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) in der *AWS CLI - Befehlsreferenz*.
# Protokollverbindungen, die über EC2-Instance-Connect-Endpunkt hergestellt wurden
Sie können Ressourcenoperationen protokollieren und Verbindungen, die über den EC2 Instance Connect-Endpunkt hergestellt wurden, mit AWS CloudTrail Protokollen überprüfen.
Weitere Informationen zur Verwendung AWS CloudTrail mit Amazon EC2 finden Sie unter[EC2 Amazon-API-Aufrufe protokollieren mit AWS CloudTrail](monitor-with-cloudtrail.md).
## EC2 Instance Connect Endpoint API-Aufrufe protokollieren mit AWS CloudTrail
EC2 Instance Connect Endpoint-Ressourcenoperationen werden CloudTrail als Verwaltungsereignisse protokolliert. Wenn die folgenden API-Aufrufe getätigt werden, wird die Aktivität als CloudTrail Ereignis im **Ereignisverlauf** aufgezeichnet:
+ `CreateInstanceConnectEndpoint`
+ `DescribeInstanceConnectEndpoints`
+ `DeleteInstanceConnectEndpoint`
Sie können aktuelle Ereignisse in Ihrem anzeigen, suchen und herunterladen AWS-Konto. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
## Wird verwendet AWS CloudTrail , um Benutzer zu überprüfen, die über EC2 Instance Connect Endpoint eine Verbindung zu einer Instance herstellen
Verbindungsversuche zu Instances über den EC2 Instance Connect Endpoint werden CloudTrail im **Ereignisverlauf** protokolliert. Wenn eine Verbindung zu einer Instance über einen EC2 Instance Connect-Endpunkt initiiert wird, wird die Verbindung als CloudTrail Verwaltungsereignis mit dem Wert `eventName` of `OpenTunnel` protokolliert.
Sie können EventBridge Amazon-Regeln erstellen, die das CloudTrail Ereignis an ein Ziel weiterleiten. Weitere Informationen finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
Im Folgenden finden Sie ein Beispiel für ein `OpenTunnel` Verwaltungsereignis, das angemeldet wurde CloudTrail.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "ABCDEFGONGNOMOOCB6XYTQEXAMPLE",
"arn": "arn:aws:iam::1234567890120:user/IAM-friendly-name",
"accountId": "123456789012",
"accessKeyId": "ABCDEFGUKZHNAW4OSN2AEXAMPLE",
"userName": "IAM-friendly-name"
},
"eventTime": "2023-04-11T23:50:40Z",
"eventSource": "ec2-instance-connect.amazonaws.com",
"eventName": "OpenTunnel",
"awsRegion": "us-east-1",
"sourceIPAddress": "1.2.3.4",
"userAgent": "aws-cli/1.15.61 Python/2.7.10 Darwin/16.7.0 botocore/1.10.60",
"requestParameters": {
"instanceConnectEndpointId": "eici-0123456789EXAMPLE",
"maxTunnelDuration": "3600",
"remotePort": "22",
"privateIpAddress": "10.0.1.1"
},
"responseElements": null,
"requestID": "98deb2c6-3b3a-437c-a680-03c4207b6650",
"eventID": "bbba272c-8777-43ad-91f6-c4ab1c7f96fd",
"readOnly": false,
"resources": [{
"accountId": "123456789012",
"type": "AWS::EC2::InstanceConnectEndpoint",
"ARN": "arn:aws:ec2:us-east-1:123456789012:instance-connect-endpoint/eici-0123456789EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
# Serviceverknüpfte Rolle für EC2-Instance-Connect-Endpunkt
Amazon EC2 verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon EC2 verknüpft ist. Servicebezogene Rollen sind von Amazon EC2 vordefiniert und beinhalten alle Berechtigungen, die Amazon EC2 benötigt, um andere AWS-Services in Ihrem Namen anzurufen. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) im *IAM-Benutzerhandbuch*.
## Serviceverknüpfte Rollengenehmigungen für EC2-Instance-Connect-Endpunkt
Amazon EC2 verwendet **AWSServiceRoleForEC2InstanceConnect**, um Netzwerkschnittstellen in Ihrem Konto zu erstellen und zu verwalten, die für EC2 Instance Connect Endpoint erforderlich sind.
Die serviceverknüpfte Rolle **AWSServiceRoleForEC2InstanceConnect** vertraut darauf, dass der folgende Service die Rolle annimmt:
+ `ec2-instance-connect.amazonaws.com`
Die **AWSServiceRoleForEC2InstanceConnect**serviceverknüpfte Rolle verwendet die folgende verwaltete Richtlinie:
+ **Ec2 InstanceConnectEndpoint**
Die Berechtigungen für die verwaltete Richtlinie finden Sie unter [Ec2 InstanceConnectEndpoint](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2InstanceConnectEndpoint.html) in der Referenz für *AWS verwaltete Richtlinien*.
## Eine serviceverknüpfte Rolle für EC2-Instance-Connect-Endpunkt erstellen
Sie müssen diese serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen EC2-Instance-Connect-Endpunkt erstellen, wird Amazon EC2 die serviceverknüpfte Rolle für Sie neu erstellen.
## Eine serviceverknüpfte Rolle für EC2-Instance-Connect-Endpunkt bearbeiten
Mit EC2 Instance Connect Endpoint können Sie die **AWSServiceRoleForEC2InstanceConnect**serviceverknüpfte Rolle nicht bearbeiten.
## Eine serviceverknüpfte Rolle für EC2-Instance-Connect-Endpunkt löschen
Wenn Sie EC2 Instance Connect Endpoint nicht mehr verwenden müssen, empfehlen wir Ihnen, die **AWSServiceRoleForEC2InstanceConnect**serviceverknüpfte Rolle zu löschen.
Sie können die serviceverknüpfte Rolle erst löschen, nachdem Sie alle EC2-Instance-Connect-Endpunkt-Ressourcen gelöscht haben.
Informationen zum Löschen der serviceverknüpften Rolle finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete-slr) im *IAM-Benutzerhandbuch*.
Sie müssen Berechtigungen konfigurieren, um einer IAM-Entität (z. B. Benutzer, Gruppe oder Rolle) zu erlauben, eine serviceverknüpfte Rolle zu erstellen, zu bearbeiten oder zu löschen. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
# Kontingente für EC2-Instance-Connect-Endpunkt
Ihr AWS-Konto hat Standardkontingente, früher als Limits bezeichnet, für jeden AWS Service. Sofern nicht anders angegeben, gilt jedes Kontingent spezifisch für eine Region.
Ihr AWS-Konto hat die folgenden Kontingente in Bezug auf den EC2 Instance Connect Endpoint.
| Name | Standard | Anpassbar |
| --- | --- | --- |
| Maximale Anzahl von EC2 Instance Connect-Endpunkten pro AWS-Konto AWS-Region | 5 | Nein |
| Maximale Anzahl von EC2 Instance Connect Endpoints pro VPC | 1 | Nein |
| Maximale Anzahl von EC2 Instance Connect Endpoints pro Subnetz | 1 | Nein |
| Maximale Anzahl gleichzeitiger Verbindungen pro EC2-Instance-Connect-Endpunkt | 20 | Nein |