Tutorial: Schließen Sie die Konfiguration ab, die für die Verbindung mit Ihrer Instance mithilfe von EC2 Instance Connect erforderlich ist - Amazon Elastic Compute Cloud
Aufgabe 1: Eine IAM-Richtlinie erstellen und anhängen, damit Sie EC2 Instance Connect verwenden könnenAufgabe 2: Erstellen Sie eine Sicherheitsgruppe, um eingehenden Datenverkehr vom EC2 Instance Connect-Dienst zu Ihrer Instance zuzulassenAufgabe 3: Starten Sie Ihre InstanceAufgabe 4: Connect zu Ihrer Instance her

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Schließen Sie die Konfiguration ab, die für die Verbindung mit Ihrer Instance mithilfe von EC2 Instance Connect erforderlich ist

Um über EC2 Instance Connect in der Amazon EC2 EC2-Konsole eine Verbindung zu Ihrer Instance herzustellen, müssen Sie zunächst die erforderliche Konfiguration abschließen, damit Sie erfolgreich eine Verbindung zu Ihrer Instance herstellen können. Der Zweck dieses Tutorials besteht darin, Sie durch die Aufgaben zum Abschließen der erforderlichen Konfiguration zu führen.

Überblick über das Tutorial

In diesem Tutorial werden Sie die folgenden vier Aufgaben erledigen:

Aufgabe 1: Eine IAM-Richtlinie erstellen und anhängen, damit Sie EC2 Instance Connect verwenden können

Wenn Sie über EC2 Instance Connect eine Verbindung mit einer Instance herstellen, überträgt die Instance-Connect-API per Push einen öffentlichen SSH-Schlüssel an die Instance-Metadaten, wo er 60 Sekunden verbleibt. Sie benötigen eine IAM-Richtlinie, die an Ihre IAM-Identität (Benutzer, Benutzergruppe oder Rolle) angehängt ist, um Ihnen die erforderliche Berechtigung zu erteilen, den öffentlichen Schlüssel in die Instance-Metadaten zu übertragen.

Ziel der Aufgabe

In dieser Aufgabe erstellen Sie die IAM-Richtlinie, die die Erlaubnis erteilt, den öffentlichen Schlüssel an die Instance weiterzuleiten. Die spezifische Aktion, die zugelassen werden soll, istec2-instance-connect:SendSSHPublicKey. Sie müssen die ec2:DescribeInstances Aktion auch zulassen, damit Sie Ihre Instance in der Amazon EC2 EC2-Konsole anzeigen und auswählen können.

Sobald Sie die Richtlinie erstellt haben, fügen Sie die Richtlinie Ihrer IAM-Identität (Benutzer, Benutzergruppe oder Rolle) hinzu, sodass Ihre IAM-Identität die entsprechenden Berechtigungen erhält.

Sie erstellen eine Richtlinie, die wie folgt konfiguriert ist:

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
Wichtig

Die in diesem Tutorial erstellte IAM-Richtlinie ist sehr freizügig. Sie ermöglicht es Ihnen, mit einem beliebigen AMI-Benutzernamen eine Verbindung zu jeder Instance herzustellen. Wir verwenden diese sehr freizügige Richtlinie, um das Tutorial einfach zu halten und uns auf die spezifischen Konfigurationen zu konzentrieren, die in diesem Tutorial vermittelt werden. In einer Produktionsumgebung empfehlen wir jedoch, dass Ihre IAM-Richtlinie so konfiguriert ist, dass Berechtigungen mit den geringsten Rechten bereitgestellt werden. Beispiele für IAM-Richtlinien finden Sie unter Erteilen Sie IAM-Berechtigungen für EC2 Instance Connect.

Schritte zum Erstellen und Anhängen der IAM-Richtlinie

Gehen Sie wie folgt vor, um die IAM-Richtlinie zu erstellen und anzuhängen. Eine Animation der Schritte finden Sie unter Eine Animation anzeigen: Erstellen Sie eine IAM-Richtlinie undEine Animation anzeigen: Eine IAM-Richtlinie anhängen.

Um eine IAM-Richtlinie zu erstellen und anzuhängen, die es Ihnen ermöglicht, EC2 Instance Connect zu verwenden, um eine Verbindung zu Ihren Instances herzustellen

  1. Erstellen Sie zunächst die IAM-Richtlinie

    1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

    2. Wählen Sie im Navigationsbereich Policies aus.

    3. Wählen Sie Richtlinie erstellen aus.

    4. Gehen Sie auf der Seite „Berechtigung angeben“ wie folgt vor:

      1. Wählen Sie für Service EC2 Instance Connect aus.

      2. Beginnen Sie unter Zulässige Aktionen im Suchfeld mit der Eingabe, send um die entsprechenden Aktionen anzuzeigen, und wählen Sie dann PublicKeySendSSH aus.

      3. Wählen Sie unter Ressourcen die Option Alle aus. Für eine Produktionsumgebung empfehlen wir, die Instanz anhand ihres ARN anzugeben, aber für dieses Tutorial lassen Sie alle Instanzen zu.

      4. Wählen Sie Add more permissions aus.

      5. Wählen Sie bei -Service EC2 aus.

      6. Beginnen Sie unter Zulässige Aktionen im Suchfeld mit der Eingabedescribein, um die entsprechenden Aktionen anzuzeigen, und wählen Sie dann aus DescribeInstances.

      7. Wählen Sie Weiter aus.

    5. Gehen Sie auf der Seite Überprüfen und erstellen wie folgt vor:

      1. Geben Sie unter Policy Name (Richtlinienname) einen Namen für diese Richtlinie ein.

      2. Wählen Sie Richtlinie erstellen aus.

  2. Fügen Sie dann die Richtlinie Ihrer Identität hinzu

    1. Wählen Sie im Navigationsbereich der IAM-Konsole die Option Policies.

    2. Wählen Sie in der Liste der Richtlinien das Optionsfeld neben dem Namen der Richtlinie aus, die Sie erstellt haben. Sie können über das Suchfeld die Liste der Gruppen filtern.

    3. Wählen Sie Actions (Aktionen) und Attach (Anfügen).

    4. Aktivieren Sie unter IAM-Entitäten das Kontrollkästchen neben Ihrer Identität (Benutzer, Benutzergruppe oder Rolle). Sie können das Suchfeld verwenden, um die Liste der Entitäten zu filtern.

    5. Wählen Sie Richtlinie anfügen aus.

Diese Animation zeigt, wie eine IAM-Richtlinie erstellt wird. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.
Diese Animation zeigt, wie eine IAM-Richtlinie an eine IAM-Identität angehängt wird. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.

Aufgabe 2: Erstellen Sie eine Sicherheitsgruppe, um eingehenden Datenverkehr vom EC2 Instance Connect-Dienst zu Ihrer Instance zuzulassen

Wenn Sie EC2 Instance Connect in der Amazon EC2 EC2-Konsole verwenden, um eine Connect zu einer Instance herzustellen, ist der Datenverkehr, der die Instance erreichen darf, Datenverkehr vom EC2 Instance Connect-Service. Dies unterscheidet sich von der Verbindung von Ihrem lokalen Computer zu einer Instance. In diesem Fall müssen Sie den Datenverkehr von Ihrem lokalen Computer zu Ihrer Instance zulassen. Um Datenverkehr vom EC2 Instance Connect-Dienst zuzulassen, müssen Sie eine Sicherheitsgruppe erstellen, die eingehenden SSH-Verkehr aus dem IP-Adressbereich für den EC2 Instance Connect-Dienst zulässt.

Die IP-Adressbereiche für die AWS Dienste sind unter https://ip-ranges.amazonaws.com/ip-ranges.json verfügbar. Die IP-Adressbereiche von EC2 Instance Connect werden durch "service": "EC2_INSTANCE_CONNECT" identifiziert.

Ziel der Aufgabe

In dieser Aufgabe finden Sie zunächst den IP-Adressbereich für den, EC2_INSTANCE_CONNECT AWS-Region in dem sich Ihre Instance befindet. Anschließend erstellen Sie eine Sicherheitsgruppe, die eingehenden SSH-Verkehr auf Port 22 aus diesem IP-Adressbereich zulässt.

Schritte zum Erstellen der Sicherheitsgruppe

Gehen Sie wie folgt vor, um die Sicherheitsgruppe zu erstellen. Eine Animation der Schritte finden Sie unter Animation anzeigen: Rufen Sie den IP-Adressbereich für EC2 Instance Connect für eine bestimmte Region ab undSehen Sie sich eine Animation an: Konfigurieren Sie eine Sicherheitsgruppe.

Um eine Sicherheitsgruppe zu erstellen, die eingehenden Datenverkehr vom EC2 Instance Connect-Dienst zu Ihrer Instance zulässt

  1. Rufen Sie zunächst den IP-Adressbereich für den EC2 Instance Connect-Dienst ab

    1. Öffnen Sie die JSON-Datei mit den AWS IP-Adressbereichen unter https://ip-ranges.amazonaws.com/ip-ranges.json.

    2. Wählen Sie Raw Data.

    3. Suchen Sie den IP-Adressbereich EC2_INSTANCE_CONNECT für den, AWS-Region in dem sich Ihre Instance befindet. Sie können das Suchfeld des Browsers verwenden, um nach dem Dienst zu suchenEC2_INSTANCE_CONNECT, und die Suche fortsetzen, bis Sie die Region gefunden haben, in der sich Ihre Instance befindet.

      Wenn sich Ihre Instance beispielsweise in der Region USA Ost (Nord-Virginia) (us-east-1) befindet, lautet der IP-Adressbereich für EC2_INSTANCE_CONNECT diese Region18.206.107.24/29.

      Anmerkung

      Die IP-Adressbereiche sind jeweils unterschiedlich AWS-Region.

    4. Kopieren Sie den IP-Adressbereich, der neben angezeigt wirdip_prefix. Sie werden diesen IP-Adressbereich später in diesem Verfahren verwenden.

    Weitere Informationen zum Herunterladen der JSON-Datei für AWS IP-Adressbereiche und zum Filtern nach Service finden Sie unter AWS IP-Adressbereiche im Amazon VPC-Benutzerhandbuch.

  2. Erstellen Sie dann die Sicherheitsgruppe mit einer Regel für eingehenden Datenverkehr, um Datenverkehr aus dem kopierten IP-Adressbereich zuzulassen

    1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

    2. Wählen Sie im Navigationsbereich Security Groups (Sicherheitsgruppen) aus.

    3. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.

    4. Gehen Sie unter Basic details (Grundlegende Angaben) wie folgt vor:

      1. Geben Sie unter Name der Sicherheitsgruppe einen aussagekräftigen Namen für Ihre Sicherheitsgruppe ein.

      2. Geben Sie unter Beschreibung eine aussagekräftige Beschreibung für Ihre Sicherheitsgruppe ein.

    5. Gehen Sie unter Regeln für eingehenden Datenverkehr wie folgt vor:

      1. Wählen Sie Regel hinzufügen aus.

      2. Wählen Sie unter Typ die Option SSH aus.

      3. Lassen Sie für Quelle den Wert Benutzerdefiniert übrig.

      4. Fügen Sie in das Feld neben Quelle den IP-Adressbereich für den EC2 Instance Connect-Dienst ein, den Sie zuvor in diesem Verfahren kopiert haben.

        Wenn sich Ihre Instance beispielsweise in der Region USA Ost (Nord-Virginia) (us-east-1) befindet, fügen Sie den folgenden IP-Adressbereich in das Feld ein: 18.206.107.24/29

    6. Wählen Sie Sicherheitsgruppe erstellen aus.

Diese Animation zeigt, wie der IP-Adressbereich für EC2 Instance Connect für eine bestimmte Region abgerufen wird. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.
Diese Animation zeigt, wie eine Sicherheitsgruppe konfiguriert wird. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.

Aufgabe 3: Starten Sie Ihre Instance

Wenn Sie eine Instance starten, müssen Sie ein AMI angeben, das die Informationen enthält, die zum Starten der Instance erforderlich sind. Sie können wählen, ob Sie eine Instance mit oder ohne vorinstalliertes EC2 Instance Connect starten möchten. In dieser Aufgabe geben wir ein AMI an, auf dem EC2 Instance Connect vorinstalliert ist.

Wenn Sie Ihre Instance starten, ohne dass EC2 Instance Connect vorinstalliert ist, und Sie EC2 Instance Connect verwenden möchten, um eine Verbindung zu Ihrer Instance herzustellen, müssen Sie zusätzliche Konfigurationsschritte ausführen. Diese Schritte würden den Rahmen dieses Tutorials sprengen.

Ziel der Aufgabe

In dieser Aufgabe starten Sie eine Instance mit dem Amazon Linux 2023 AMI, auf dem EC2 Instance Connect vorinstalliert ist. Sie geben auch die Sicherheitsgruppe an, die Sie zuvor erstellt haben, sodass Sie EC2 Instance Connect in der Amazon EC2 EC2-Konsole verwenden können, um eine Verbindung zu Ihrer Instance herzustellen. Da Sie EC2 Instance Connect verwenden, um eine Verbindung zu Ihrer Instance herzustellen, wodurch ein öffentlicher Schlüssel an die Metadaten Ihrer Instance weitergegeben wird, müssen Sie beim Starten Ihrer Instance keinen SSH-Schlüssel angeben. Sie müssen jedoch sicherstellen, dass Ihre Instance über eine öffentliche IPv4-Adresse verfügt, da die Verwendung von EC2 Instance Connect in der Amazon EC2 EC2-Konsole nur Verbindungen zu Instances mit öffentlichen IPv4-Adressen unterstützt.

Schritte zum Starten Ihrer Instance

Gehen Sie wie folgt vor, um Ihre Instance zu starten. Eine Animation der Schritte finden Sie unterAnimation anzeigen: Starten Sie Ihre Instance.

Um eine Instance zu starten, die EC2 Instance Connect in der Amazon EC2 EC2-Konsole für die Verbindung verwenden kann

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. In der Navigationsleiste oben auf dem Bildschirm wird die aktuelle AWS Region angezeigt (z. B. Irland). Wählen Sie eine Region aus, in der Sie Ihre Instance starten möchten. Diese Auswahl ist wichtig, da Sie eine Sicherheitsgruppe erstellt haben, die Traffic für eine bestimmte Region zulässt. Sie müssen also dieselbe Region auswählen, in der Sie Ihre Instance starten möchten.

  3. Wählen Sie im Dashboard der Amazon EC2-Konsole die Option Instance starten aus.

  4. (Optional) Geben Sie unter Name und Tags für Name einen beschreibenden Namen für Ihre Instance ein.

  5. Wählen Sie unter Anwendungs- und Betriebssystem-Images (Amazon Machine Image) die Option Quick Start aus. Amazon Linux ist standardmäßig ausgewählt. Unter Amazon Machine Image (AMI) ist Amazon Linux 2023 AMI standardmäßig ausgewählt. Behalten Sie die Standardauswahl für diese Aufgabe bei.

  6. Behalten Sie unter Instanztyp für Instanztyp die Standardauswahl bei, oder wählen Sie einen anderen Instanztyp.

  7. Wählen Sie unter key pair (Anmeldung) für Name des Schlüsselpaars die Option Ohne Schlüsselpaar fortfahren (nicht empfohlen) aus. Wenn Sie EC2 Instance Connect verwenden, um eine Verbindung zu einer Instance herzustellen, überträgt EC2 Instance Connect ein key pair an die Metadaten der Instance, und dieses key pair wird für die Verbindung verwendet.

  8. Führen Sie unter Network settings (Netzwerkeinstellungen) die folgenden Schritte aus:

    1. Lassen Sie für Automatische Zuweisung von öffentlichen IP-Adressen die Option Enable stehen.

      Anmerkung

      Um EC2 Instance Connect in der Amazon EC2 EC2-Konsole zu verwenden, um eine Verbindung zu einer Instance herzustellen, muss die Instance über eine öffentliche IPv4-Adresse verfügen.

    2. Wählen Sie für Firewall (Sicherheitsgruppen) die Option Bestehende Sicherheitsgruppe auswählen aus.

    3. Wählen Sie unter Allgemeine Sicherheitsgruppen die Sicherheitsgruppe aus, die Sie zuvor erstellt haben.

  9. Wählen Sie in der Übersicht Launch instance (Instance starten) aus.

Diese Animation zeigt, wie Sie eine Instance starten. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.

Aufgabe 4: Connect zu Ihrer Instance her

Wenn Sie über EC2 Instance Connect eine Verbindung mit einer Instance herstellen, überträgt die Instance-Connect-API per Push einen öffentlichen SSH-Schlüssel an die Instance-Metadaten, wo er 60 Sekunden verbleibt. Der SSH-Daemon verwendet AuthorizedKeysCommand undAuthorizedKeysCommandUser, um den öffentlichen Schlüssel aus den Instanz-Metadaten für die Authentifizierung nachzuschlagen, und verbindet Sie mit der Instance.

Ziel der Aufgabe

In dieser Aufgabe stellen Sie mithilfe von EC2 Instance Connect in der Amazon EC2 EC2-Konsole eine Verbindung zu Ihrer Instance her. Wenn Sie die erforderlichen Aufgaben 1, 2 und 3 abgeschlossen haben, sollte die Verbindung erfolgreich sein.

Schritte zum Herstellen einer Verbindung mit Ihrer Instance

Gehen Sie wie folgt vor, um eine Verbindung zu Ihrer Instance herzustellen. Eine Animation der Schritte finden Sie unterEine Animation ansehen: Connect zu Ihrer Instance her.

So verbinden Sie eine Instance mithilfe von EC2 Instance Connect in der Amazon EC2 EC2-Konsole

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. In der Navigationsleiste oben auf dem Bildschirm wird die aktuelle AWS Region angezeigt (z. B. Irland). Wählen Sie die Region aus, in der sich Ihre Instance befindet.

  3. Wählen Sie im Navigationsbereich Instances aus.

  4. Wählen Sie Ihre Instance aus und wählen Sie Connect.

  5. Wählen Sie die Registerkarte EC2 Instance Connect aus.

  6. Wählen Sie als Verbindungstyp die Option Connect using EC2 Instance Connect aus.

  7. Wählen Sie Connect aus.

    Im Browser wird ein Terminalfenster geöffnet, und Sie sind mit Ihrer Instance verbunden.

Diese Animation zeigt, wie eine Instance mithilfe von EC2 Instance Connect verbunden wird. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.