Tutorial: Die Konfiguration abschließen, die erforderlich ist, um EC2 Instance Connect zum Herstellen einer Verbindung mit Ihrer Instance zu verwenden - Amazon Elastic Compute Cloud
Aufgabe 1: Berechtigungen gewähren, die für die Nutzung von EC2 Instance Connect erforderlich sindAufgabe 2: Lassen Sie eingehenden Datenverkehr vom Service EC2 Instance Connect an Ihre Instance zuAufgabe 3: Ihre Instance startenAufgabe 4: Verbindung mit Ihrer Instance herstellen

Tutorial: Die Konfiguration abschließen, die erforderlich ist, um EC2 Instance Connect zum Herstellen einer Verbindung mit Ihrer Instance zu verwenden

Um über EC2 Instance Connect in der Amazon-EC2-Konsole eine Verbindung zu Ihrer Instance herzustellen, müssen Sie zunächst die erforderliche Konfiguration abschließen, damit Sie erfolgreich eine Verbindung zu Ihrer Instance herstellen können. Der Zweck dieses Tutorials besteht darin, Sie durch die Aufgaben zum Abschließen der erforderlichen Konfiguration zu führen.

Tutorial-Übersicht

In diesem Tutorial erledigen Sie die vier folgenden Aufgaben:

Aufgabe 1: Berechtigungen gewähren, die für die Nutzung von EC2 Instance Connect erforderlich sind

Wenn Sie über EC2 Instance Connect eine Verbindung mit einer Instance herstellen, überträgt die Instance-Connect-API per Push einen öffentlichen SSH-Schlüssel an die Instance-Metadaten, wo er 60 Sekunden verbleibt. Sie benötigen eine IAM-Richtlinie, die an Ihre IAM-Identität (Benutzer, Gruppe oder Rolle) angefügt ist, damit Sie die erforderliche Berechtigung haben, den öffentlichen Schlüssel an die Instance-Metadaten zu übertragen.

Aufgabenziel

Sie werden dann die IAM-Richtlinie erstellen, die die Berechtigung gewähren, den öffentlichen Schlüssel an die Instance zu übertragen. Die spezifische Aktion, die zugelassen werden soll, ist ec2-instance-connect:SendSSHPublicKey. Sie müssen auch die ec2:DescribeInstances-Aktion zulassen, damit Sie Ihre Instance in der Amazon-EC2-Konsole anzeigen und auswählen können.

Nachdem Sie die Richtlinie erstellt haben, verknüpfen Sie sie mit Ihrer IAM-Identität (Benutzer, Benutzergruppe oder Rolle), damit Ihre IAM-Identität die Berechtigungen erhält.

Sie werden eine Richtlinie erstellen, die wie folgt konfiguriert ist:

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
Wichtig

Die in diesem Tutorial erstellte IAM-Richtlinie ist sehr freizügig. Sie ermöglicht es Ihnen, mit einem beliebigen AMI-Benutzernamen eine Verbindung zu jeder Instance herzustellen. Wir verwenden diese sehr freizügige Richtlinie, um das Tutorial einfach zu halten und uns auf die spezifischen Konfigurationen zu konzentrieren, die in diesem Tutorial vermittelt werden. In einer Produktionsumgebung empfehlen wir jedoch, dass Ihre IAM-Richtlinie so konfiguriert wird, dass sie geringste Berechtigungen bereitstellt. Beispiele für IAM-Richtlinien finden Sie unter Erteilen Sie IAM-Berechtigungen für EC2 Instance Connect.

Erstellen und Anfügen einer IAM-Richtlinie, mit der Sie EC2 Instance Connect zum Herstellen einer Verbindung mit Ihren Instances verwenden können

  1. Zuerst erstellen Sie die IAM-Richtlinie

    1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

    2. Wählen Sie im Navigationsbereich Policies aus.

    3. Wählen Sie Richtlinie erstellen aus.

    4. Führen Sie auf der Seite Berechtigungen festlegen Folgendes aus:

      1. Wählen Sie als Service EC2 Instance Connect aus.

      2. Beginnen Sie unter Zulässige Aktionen im Suchfeld mit der Eingabe send, um die entsprechenden Aktionen anzuzeigen, und wählen Sie dann SendSSHPublicKey aus.

      3. Wählen Sie unter Ressourcen die Option Alle aus. Für eine Produktionsumgebung empfehlen wir, die Instance anhand ihres ARN anzugeben, aber für dieses Tutorial lassen Sie alle Instances zu.

      4. Wählen Sie Add more permissions aus.

      5. Wählen Sie bei -Service EC2 aus.

      6. Beginnen Sie unter Zulässige Aktionen im Suchfeld mit der Eingabe describein, um die entsprechenden Aktionen anzuzeigen, und wählen Sie dann DescribeInstances aus.

      7. Wählen Sie Weiter.

    5. Gehen Sie auf der Seite Überprüfen und erstellen wie folgt vor:

      1. Geben Sie unter Policy Name (Richtlinienname) einen Namen für diese Richtlinie ein.

      2. Wählen Sie Richtlinie erstellen aus.

  2. Fügen Sie dann die Richtlinie Ihrer Identität an

    1. Wählen Sie im Navigationsbereich der IAM-Konsole die Option Policies.

    2. Aktivieren Sie in der Liste der Richtlinien die Optionsschaltfläche neben dem Namen der anzufügenden Richtlinie aus. Sie können über das Suchfeld die Liste der Gruppen filtern.

    3. Wählen Sie Actions (Aktionen) und Attach (Anfügen).

    4. Aktivieren Sie unter IAM-Entitäten das Kontrollkästchen neben Ihrer Identität (Benutzer, Benutzergruppe oder Rolle). Sie können über das Suchfeld die Liste der Entitäten filtern.

    5. Wählen Sie Richtlinie anfügen aus.

In dieser Animation wird gezeigt, wie Sie eine IAM-Richtlinie erstellen. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.
Diese Animation zeigt, wie Sie eine IAM-Richtlinie an eine IAM-Identität anhängen. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.

Aufgabe 2: Lassen Sie eingehenden Datenverkehr vom Service EC2 Instance Connect an Ihre Instance zu

Wenn Sie EC2 Instance Connect in der Amazon-EC2-Konsole verwenden, um eine Connect mit einer Instance herzustellen, handelt es sich bei dem Datenverkehr, der zur Instance zugelassen werden muss, um Datenverkehr vom Service EC2 Instance Connect. Dies unterscheidet sich von der Verbindung von Ihrem lokalen Computer zu einer Instance. In diesem Fall müssen Sie den Datenverkehr von Ihrem lokalen Computer zu Ihrer Instance zulassen. Um Datenverkehr vom Service EC2 Instance Connect zuzulassen, müssen Sie eine Sicherheitsgruppe erstellen, die eingehenden SSH-Datenverkehr aus dem IP-Adressbereich für den Service EC2 Instance Connect zulässt.

AWS verwendet Präfixlisten zur Verwaltung von IP-Adressbereichen. Die Namen der EC2-Instance-Connect-Präfixlisten lauten wie folgt, wobei Region durch den Regionalcode ersetzt wird:

  • Name der IPv4-Präfixliste: com.amazonaws.region.ec2-instance-connect

  • Name der IPv6-Präfixliste: com.amazonaws.region.ipv6.ec2-instance-connect

Aufgabenziel

Sie erstellen eine Sicherheitsgruppe, die eingehenden SSH-Verkehr auf Port 22 aus der IPv4-Präfixliste in der Region zulässt, in der sich Ihre Instance befindet.

So erstellen Sie eine Sicherheitsgruppe, die eingehenden Datenverkehr vom EC2-Instance-Connect-Service zu Ihrer Instance zulässt

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Security Groups (Sicherheitsgruppen) aus.

  3. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.

  4. Gehen Sie unter Basic details (Grundlegende Angaben) wie folgt vor:

    1. Geben Sie für Sicherheitsgruppenname einen Namen für Ihre Sicherheitsgruppe ein.

    2. Geben Sie in das Feld Beschreibung eine sinnvolle Beschreibung für Ihre Sicherheitsgruppe ein.

  5. Führen Sie unter Regeln für eingehenden Datenverkehr die folgenden Schritte aus:

    1. Wählen Sie Regel hinzufügen aus.

    2. Wählen Sie unter Typ die Option SSH aus.

    3. Belassen Sie für Quelle die Option Benutzerdefiniert.

    4. Wählen Sie im Feld neben Quelle die Präfixliste für EC2 Instance Connect aus.

      Wenn sich Ihre Instance beispielsweise in der Region USA Ost (Nord-Virginia) (us-east-1) befindet und Ihre Benutzer eine Verbindung zu ihrer öffentlichen IPv4-Adresse herstellen, wählen Sie die folgende Präfixliste aus: com.amazonaws.us-east-1.ec2-instance-connect

  6. Wählen Sie Sicherheitsgruppe erstellen aus.

Diese Animation zeigt, wie Sie eine Sicherheitsgruppe konfigurieren. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.

Aufgabe 3: Ihre Instance starten

Beim Starten einer Instance müssen Sie ein AMI angeben, das die zum Starten der Instance erforderlichen Informationen enthält. Sie können wählen, ob Sie eine Instance mit oder ohne vorinstalliertes EC2 Instance Connect starten möchten. In dieser Aufgabe geben wir ein AMI an, auf dem EC2 Instance Connect vorinstalliert ist.

Wenn Sie Ihre Instance starten, ohne dass EC2 Instance Connect vorinstalliert ist, und Sie EC2 Instance Connect verwenden möchten, um eine Verbindung zu Ihrer Instance herzustellen, müssen Sie zusätzliche Konfigurationsschritte ausführen. Diese Schritte werden in dieser Anleitung allerdings nicht behandelt.

Aufgabenziel

Sie starten eine Instance mit dem Amazon Linux 2023 AMI, auf dem EC2 Instance Connect vorinstalliert ist. Außerdem geben Sie die Sicherheitsgruppe an, die Sie zuvor erstellt haben, sodass Sie EC2 Instance Connect in der Amazon-EC2-Konsole verwenden können, um eine Verbindung mit Ihrer Instance herzustellen. Da Sie EC2 Instance Connect verwenden werden, um eine Verbindung zu Ihrer Instance herzustellen, wodurch ein öffentlicher Schlüssel an die Metadaten Ihrer Instance weitergegeben wird, müssen Sie beim Starten Ihrer Instance keinen SSH-Schlüssel angeben.

Starten Sie eine Instance, die EC2 Instance Connect in der Amazon-EC2-Konsole für die Verbindung verwenden kann

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Auf der Navigationsleiste oben im Bildschirm wird die aktuelle AWS Region angezeigt (beispielsweise Irland). Wählen Sie eine Region aus, in der die Instance gestartet werden soll. Diese Auswahl ist wichtig, da Sie eine Sicherheitsgruppe erstellt haben, die Traffic für eine bestimmte Region zulässt. Sie müssen also dieselbe Region auswählen, in der Ihre Instance gestartet werden soll.

  3. Wählen Sie im Dashboard der Amazon EC2-Konsole die Option Instance starten aus.

  4. (Optional) Geben Sie unter Name und Tags für Name einen beschreibenden Namen für Ihre Instance ein.

  5. Wählen Sie unter Anwendungs- und Betriebssystem-Images (Amazon Machine Image) die Option Schnellstart aus. Amazon Linux ist standardmäßig ausgewählt. Unter Amazon Machine Image (AMI) ist standardmässig Amazon-Linux-2023-AMI ausgewählt. Behalten Sie die Standardauswahl für diese Aufgabe bei.

  6. Wählen Sie unter Instance-Typ einen Instance-Typ aus oder behalten Sie die Standardeinstellung bei oder wählen Sie einen anderen Instance-Typ aus.

  7. Wählen Sie unter Schlüsselpaar (Anmeldung) für Name des Schlüsselpaars die Option Ohne Schlüsselpaar fortfahren (nicht empfohlen) aus. Wenn Sie EC2 Instance Connect verwenden, um eine Verbindung zu einer Instance herzustellen, überträgt EC2 Instance Connect ein Schlüsselpaar an die Metadaten der Instance, und dieses Schlüsselpaar wird für die Verbindung verwendet.

  8. Führen Sie unter Network settings (Netzwerkeinstellungen) die folgenden Schritte aus:

    1. Lassen Sie für Öffentliche IP-Adresse automatisch zuweisen die Option Aktivieren ausgewählt.

      Anmerkung

      Um EC2 Instance Connect in der Amazon-EC2-Konsole zum Herstellen einer Verbindung mit einer Instance zu verwenden, muss die Instance über eine öffentliche IPv4- oder IPv6-Adresse verfügen.

    2. Für Firewall (Sicherheitsgruppen) wählen Sie Eine vorhandene Sicherheitsgruppe auswählen aus.

    3. Wählen Sie unter Allgemeine Sicherheitsgruppen die Sicherheitsgruppe aus, die Sie zuvor erstellt haben.

  9. Wählen Sie in der Übersicht Launch instance (Instance starten) aus.

Diese Animation zeigt, wie Sie eine Instance starten. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.

Aufgabe 4: Verbindung mit Ihrer Instance herstellen

Wenn Sie über EC2 Instance Connect eine Verbindung mit einer Instance herstellen, überträgt die Instance-Connect-API per Push einen öffentlichen SSH-Schlüssel an die Instance-Metadaten, wo er 60 Sekunden verbleibt. Der SSH-Daemon verwendet AuthorizedKeysCommand und AuthorizedKeysCommandUser, um zur Authentifizierung den öffentlichen Schlüssel in der Instance-Metadaten zu suchen, und verbindet Sie mit der Instance.

Aufgabenziel

Schließlich verwenden Sie EC2 Instance Connect in der Amazon-EC2-Konsole, um sich mit Ihrer Instance zu verbinden. Wenn Sie die erforderlichen Aufgaben 1, 2 und 3 abgeschlossen haben, sollte die Verbindung erfolgreich sein.

Schritte zum Herstellen einer Verbindung mit Ihrer Instance

Führen Sie die folgenden Schritte aus, um sich mit Ihrer Instance zu verbinden. Eine Animation dieser Schritte finden Sie unter Animation anzeigen: Verbinden zu Ihrer Instance.

So stellen Sie mithilfe von EC2 Instance Connect in der Amazon-EC2-Konsole eine Verbindung her

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Auf der Navigationsleiste oben im Bildschirm wird die aktuelle AWS Region angezeigt (beispielsweise Irland). Wählen Sie die Region, in der sich Ihre Instance befindet.

  3. Wählen Sie im Navigationsbereich Instances aus.

  4. Wählen Sie Ihre Instance aus und anschließend Connect.

  5. Wählen Sie die Registerkarte EC2 Instance Connect aus.

  6. Wählen Sie als Verbindungstyp Verbinden mit EC2 Instance Connect aus.

  7. Wählen Sie Connect aus.

    Ein neues Terminal-Fenster wird geöffnet, und Sie sind mit Ihrer Instance verbunden.

Diese Animation zeigt, wie Sie eine Instance mithilfe von EC2 Instance Connect verbinden. Die Textversion dieser Animation finden Sie in den Schritten im vorherigen Verfahren.