Tutorial: Cómo completar la configuración necesaria para conectarse a la instancia mediante EC2 Instance Connect
Para conectarse a la instancia mediante EC2 Instance Connect en la consola de Amazon EC2, debe completar la configuración previa que le permitirá conectarse correctamente a la instancia. El objetivo de este tutorial es guiarlo a través de las tareas necesarias para completar la configuración previa.
Información general del tutorial
En este tutorial, deberá completar las cuatro tareas detalladas a continuación:
-
Tarea 1: conceder los permisos necesarios para utilizar EC2 Instance Connect
En primer lugar, debe crear una política de IAM que contenga los permisos de IAM que le permitirán introducir una clave pública en los metadatos de la instancia. Deberá asociar esta política a su identidad de IAM (usuario, grupo de usuarios o rol) para que su identidad de IAM obtenga estos permisos.
-
Tarea 2: permitir el tráfico entrante desde el servicio EC2 Instance Connect a la instancia
A continuación, deberá crear un grupo de seguridad que permita el tráfico desde el servicio EC2 Instance Connect a la instancia. Esto es necesario cuando utiliza EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia.
-
A continuación, deberá lanzar una instancia de EC2 con una AMI preinstalada en EC2 Instance Connect y agregar el grupo de seguridad que creó en el paso anterior.
-
Tarea 4: Conectarse a la instancia
Por último, deberá utilizar EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia. Si puede conectarse, esto significa que la configuración previa que completó en las tareas 1, 2 y 3 se realizó correctamente.
Tarea 1: conceder los permisos necesarios para utilizar EC2 Instance Connect
Cuando se conecta a una instancia con EC2 Instance Connect, la API de EC2 Instance Connect inserta una clave pública SSH en los metadatos de la instancia, donde permanece por 60 segundos. Necesita una política de IAM asociada a su identidad de IAM (usuario, grupo de usuarios o rol) a fin de obtener el permiso necesario para insertar la clave pública en los metadatos de la instancia.
Objetivo de la tarea
Creará la política de IAM que concede el permiso para insertar la clave pública en la instancia. La acción específica que debe permitir es ec2-instance-connect:SendSSHPublicKey
. También debe permitir la acción ec2:DescribeInstances
para poder ver y seleccionar la instancia en la consola de Amazon EC2.
Después de haber creado la política, deberá asociar esta política a su identidad de IAM (usuario, grupo de usuarios o rol) para que esta obtenga los permisos.
Deberá crear una política con la siguiente configuración:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2-instance-connect:SendSSHPublicKey", "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DescribeInstances", "Resource": "*" } ] }
importante
La política de IAM creada en este tutorial es muy permisiva; le permite conectarse a cualquier instancia mediante cualquier nombre de usuario de AMI. Utilizamos esta política altamente permisiva para que el tutorial sea sencillo y se enfoque en las configuraciones específicas que se enseñan en él. Sin embargo, en un entorno de producción, le recomendamos que la política de IAM esté configurada para proporcionar permisos con privilegios mínimos. Para ver ejemplos de políticas de IAM, consulte Concesión de permisos de IAM para EC2 Instance Connect.
Cómo crear y asociar una política de IAM que le permita usar EC2 Instance Connect para conectarse a las instancias
-
Primero: crear la política de IAM
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, seleccione Políticas.
-
Elija Create Policy (Crear política).
-
En la página Especificar permiso, haga lo siguiente:
-
En Servicio, elija EC2 Instance Connect.
-
En Acciones permitidas, en el campo de búsqueda, comience a escribir
send
para ver las acciones relevantes y, a continuación, seleccione SendSSHPublicKey. -
En Recursos, elija Todos. Para un entorno de producción, se recomienda especificar la instancia por su ARN, pero, en este tutorial, se permiten todas las instancias.
-
Elija Add more permissions.
-
En Servicio, elija EC2.
-
En Acciones permitidas, en el campo de búsqueda, comience a escribir
describein
para ver las acciones relevantes y, a continuación, seleccione DescribeInstances. -
Elija Siguiente.
-
-
En la página Revisar y crear, haga lo siguiente:
-
En Nombre de política, escriba un nombre para la política.
-
Seleccione Crear política.
-
-
A continuación, asocie la política a su identidad
-
En la consola de IAM, en el panel de navegación, elija Políticas.
-
En la lista de políticas, seleccione el botón de opción situado junto al nombre de la política que creó. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.
-
Elija Acciones, Asociar.
-
En Entidades de IAM, seleccione la casilla de verificación junto a la identidad (usuario, grupo de usuarios o rol). Puede utilizar el cuadro de búsqueda para filtrar la lista de entidades.
-
Elija Asociar política.
-
Tarea 2: permitir el tráfico entrante desde el servicio EC2 Instance Connect a la instancia
Cuando utiliza EC2 Instance Connect en la consola de Amazon EC2 para conectarse a una instancia, el tráfico que debe permitir que llegue a la instancia es el tráfico desde el servicio EC2 Instance Connect. Esto es diferente a conectarse desde el equipo local a una instancia; en ese caso, debe permitir el tráfico desde el equipo local a la instancia. Para permitir el tráfico desde el servicio EC2 Instance Connect, debe crear un grupo de seguridad que permita el tráfico SSH entrante desde el rango de direcciones IP para el servicio EC2 Instance Connect.
AWS utiliza listas de prefijos para administrar los rangos de direcciones IP. Los nombres de las listas de prefijos de EC2 Instance Connect son de la siguiente manera, donde region
se reemplaza por el código Región:
-
Nombre de la lista de prefijos de IPv4:
com.amazonaws.
region
.ec2-instance-connect -
Nombre de la lista de prefijos de IPv6:
com.amazonaws.
region
.ipv6.ec2-instance-connect
Objetivo de la tarea
Deberá crear un grupo de seguridad que permita el tráfico SSH entrante en el puerto 22 de la lista de prefijos IPv4 de la región en la que está ubicada la instancia.
Crear un grupo de seguridad que permita el tráfico entrante desde el servicio EC2 Instance Connect a la instancia
Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/
. -
En el panel de navegación, elija Grupos de seguridad.
-
Elija Create Security Group (Creación de grupo de seguridad).
-
En Basic details (Detalles básicos), haga lo siguiente:
-
En Nombre del grupo de seguridad, ingrese un nombre significativo para el grupo de seguridad.
-
En Descripción, escriba una descripción significativa para el grupo de seguridad.
-
-
En Reglas de entrada, haga lo siguiente:
-
Seleccione Agregar regla.
-
En Tipo, seleccione SSH.
-
En Fuente, deje Personalizado.
-
En el campo situado junto a Origen, seleccione la lista de prefijos para EC2 Instance Connect.
Por ejemplo, si la instancia está ubicada en la región Este de EE. UU. (Norte de Virginia) (
us-east-1
) y los usuarios van a conectarse a su dirección IPv4 pública, elija la siguiente lista de prefijos: com.amazonaws.us-east-1.ec2-instance-connect.
-
-
Elija Creación de grupo de seguridad.
Tarea 3: Iniciar la instancia
Cuando se inicia una instancia, debe especificar una AMI que contenga la información necesaria para lanzar la instancia. Puede elegir iniciar una instancia con o sin EC2 Instance Connect preinstalado. En esta tarea, especificamos una AMI que viene preinstalada con EC2 Instance Connect.
Si inicia la instancia sin EC2 Instance Connect preinstalado y desea usar EC2 Instance Connect para conectarse a la instancia, tendrá que completar pasos de configuración adicionales. Esos pasos están fuera del alcance de este tutorial.
Objetivo de la tarea
Iniciará una instancia con la AMI de Amazon Linux 2023, que viene preinstalada con EC2 Instance Connect. Además, especificará el grupo de seguridad que creó anteriormente para poder usar EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia. Como utilizará EC2 Instance Connect para conectarse a la instancia y, por lo tanto, se introducirá una clave pública en los metadatos de esta, no necesitará especificar una clave SSH cuando inicie dicha instancia.
Cómo iniciar una instancia que pueda usar EC2 Instance Connect en la consola de Amazon EC2 para conectarse
Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/
. -
En la barra de navegación en la parte superior de la pantalla, se muestra la región actual de AWS (por ejemplo, Irlanda). Seleccione una región en la que se va a iniciar la instancia. Esta elección es importante porque creó un grupo de seguridad que permite el tráfico en una región específica, por lo que debe seleccionar la misma región en la que desea iniciar la instancia.
-
En el panel de la consola de Amazon EC2, elija Iniciar instancia.
-
(Opcional) En Name and tags (Nombre y etiquetas), escriba un nombre descriptivo para la instancia en Name (Nombre).
-
En Imágenes de aplicaciones y SO (Imagen de máquina de Amazon), elija Inicio rápido. Amazon Linux está seleccionado de forma predeterminada. En Imagen de máquina de Amazon (AMI), AMI de Amazon Linux 2023 está seleccionado de forma predeterminada. Mantenga la selección predeterminada para esta tarea.
-
En Tipo de instancia, para Tipo de instancia, mantenga la selección predeterminada o seleccione un tipo de instancia diferente.
-
En Par de claves (inicio de sesión), para Nombre del par de claves, elija Continuar sin un par de claves (no se recomienda). Cuando utiliza EC2 Instance Connect para conectarse a una instancia, EC2 Instance Connect envía un par de claves a los metadatos de la instancia y es este par de claves el que se utiliza para la conexión.
-
En Network settings (Configuración de red), haga lo siguiente:
-
En Autoasignar IP pública, seleccione Habilitar.
nota
Para utilizar EC2 Instance Connect en la consola de Amazon EC2 y conectarse a una instancia, esta debe tener una dirección IPv4 pública o una dirección IPv6 pública.
-
En Firewall (grupos de seguridad), elija Seleccionar un grupo de seguridad existente.
-
En Grupos de seguridad habituales, elija el grupo de seguridad que creó anteriormente.
-
-
En el panel Resumen, elija Iniciar instancia.
Tarea 4: Conectarse a la instancia
Cuando se conecta a una instancia con EC2 Instance Connect, la API de EC2 Instance Connect inserta una clave pública SSH en los metadatos de la instancia, donde permanece por 60 segundos. El daemon SSH utiliza AuthorizedKeysCommand
y AuthorizedKeysCommandUser
para buscar la clave pública en los metadatos de la instancia para su autenticación y la conecta a la instancia.
Objetivo de la tarea
En esta tarea, se conectará a la instancia mediante EC2 Instance Connect en la consola de Amazon EC2. Si completó las tareas 1, 2 y 3 la conexión debería realizarse correctamente.
Pasos para conectarse a la instancia
Los pasos siguientes le permiten conectarse a la instancia. Para ver una animación de los pasos, consulte Ver animación: Conectarse a la instancia.
Conectarse a una instancia mediante EC2 Instance Connect en la consola de Amazon EC2
Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/
. -
En la barra de navegación en la parte superior de la pantalla, se muestra la región actual de AWS (por ejemplo, Irlanda). Seleccione la región en la que se encuentra la instancia.
-
En el panel de navegación, seleccione Instances (Instancia[s]).
-
Seleccione la instancia y elija Connect.
-
Elija la pestaña EC2 Instance Connect.
-
En Tipo de conexión, elija Conectarse a una instancia mediante EC2 Instance Connect.
-
Elija Conectar.
Se abre una ventana terminal en el navegador y está conectado a la instancia.