# Tutorial: Cómo completar la configuración necesaria para conectarse a la instancia mediante EC2 Instance Connect
<a name="ec2-instance-connect-tutorial"></a>

Para conectarse a la instancia mediante EC2 Instance Connect en la consola de Amazon EC2, debe completar la configuración previa que le permitirá conectarse correctamente a la instancia. El objetivo de este tutorial es guiarlo a través de las tareas necesarias para completar la configuración previa.

**Información general del tutorial**

En este tutorial, deberá completar las cuatro tareas detalladas a continuación:
+ [Tarea 1: conceder los permisos necesarios para utilizar EC2 Instance Connect](#eic-tut1-task1)

  En primer lugar, debe crear una política de IAM que contenga los permisos de IAM que le permitirán introducir una clave pública en los metadatos de la instancia. Deberá asociar esta política a su identidad de IAM (usuario, grupo de usuarios o rol) para que su identidad de IAM obtenga estos permisos.
+ [Tarea 2: permitir el tráfico entrante desde el servicio EC2 Instance Connect a la instancia](#eic-tut1-task2)

  A continuación, deberá crear un grupo de seguridad que permita el tráfico desde el servicio EC2 Instance Connect a la instancia. Esto es necesario cuando utiliza EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia.
+ [Tarea 3: Iniciar la instancia](#eic-tut1-task3)

  A continuación, deberá lanzar una instancia de EC2 con una AMI preinstalada en EC2 Instance Connect y agregar el grupo de seguridad que creó en el paso anterior.
+ [Tarea 4: Conectarse a la instancia](#eic-tut1-task4)

  Por último, deberá utilizar EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia. Si puede conectarse, esto significa que la configuración previa que completó en las tareas 1, 2 y 3 se realizó correctamente.

## Tarea 1: conceder los permisos necesarios para utilizar EC2 Instance Connect
<a name="eic-tut1-task1"></a>

Cuando se conecta a una instancia con EC2 Instance Connect, la API de EC2 Instance Connect inserta una clave pública SSH en los [metadatos de la instancia](ec2-instance-metadata.md), donde permanece por 60 segundos. Necesita una política de IAM asociada a su identidad de IAM (usuario, grupo de usuarios o rol) a fin de obtener el permiso necesario para insertar la clave pública en los metadatos de la instancia.

**Objetivo de la tarea**

Creará la política de IAM que concede el permiso para insertar la clave pública en la instancia. La acción específica que debe permitir es `ec2-instance-connect:SendSSHPublicKey`. También debe permitir la acción `ec2:DescribeInstances` para poder ver y seleccionar la instancia en la consola de Amazon EC2.

Después de haber creado la política, deberá asociar esta política a su identidad de IAM (usuario, grupo de usuarios o rol) para que esta obtenga los permisos.

Deberá crear una política con la siguiente configuración:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

**importante**  
La política de IAM creada en este tutorial es muy permisiva; le permite conectarse a cualquier instancia mediante cualquier nombre de usuario de AMI. Utilizamos esta política altamente permisiva para que el tutorial sea sencillo y se enfoque en las configuraciones específicas que se enseñan en él. Sin embargo, en un entorno de producción, le recomendamos que la política de IAM esté configurada para proporcionar [permisos con privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Para ver ejemplos de políticas de IAM, consulte [Concesión de permisos de IAM para EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).

**Cómo crear y asociar una política de IAM que le permita usar EC2 Instance Connect para conectarse a las instancias**

1. **Primero: crear la política de IAM**

   1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. En el panel de navegación, seleccione **Políticas**.

   1. Elija **Crear política**.

   1. En la página **Especificar permiso**, haga lo siguiente:

      1. En **Servicio**, elija **EC2 Instance Connect**.

      1. En **Acciones permitidas**, en el campo de búsqueda, comience a escribir **send** para ver las acciones relevantes y, a continuación, seleccione **SendSSHPublicKey**.

      1. En **Recursos**, elija **Todos**. Para un entorno de producción, se recomienda especificar la instancia por su ARN, pero, en este tutorial, se permiten todas las instancias.

      1. Elija **Add more permissions**.

      1. En **Servicio**, elija **EC2**.

      1. En **Acciones permitidas**, en el campo de búsqueda, comience a escribir **describein** para ver las acciones relevantes y, a continuación, seleccione **DescribeInstances**.

      1. Elija **Siguiente**.

   1. En la página **Revisar y crear**, haga lo siguiente:

      1. En **Nombre de política**, escriba un nombre para la política.

      1. Elija **Crear política**.

1. **A continuación, asocie la política a su identidad**

   1. En la consola de IAM, en el panel de navegación, elija **Políticas**.

   1. En la lista de políticas, seleccione el botón de opción situado junto al nombre de la política que creó. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

   1. Elija **Acciones**, **Asociar**.

   1. En **Entidades de IAM**, seleccione la casilla de verificación junto a la identidad (usuario, grupo de usuarios o rol). Puede utilizar el cuadro de búsqueda para filtrar la lista de entidades.

   1. Elija **Asociar política**.

### Ver una animación: crear una política de IAM
<a name="eic-tut1-task1-animation1"></a>

![\[En esta animación, se muestra cómo crear una política de IAM. Para obtener la versión en texto de esta animación, consulte los pasos del procedimiento anterior.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/eic-tut1-task1-create-iam-policy.gif)


### Ver animación: Asociar una política de IAM
<a name="eic-tut1-task1-animation2"></a>

![\[En esta animación, se muestra cómo asociar una política de IAM a una identidad de IAM. Para obtener la versión en texto de esta animación, consulte los pasos del procedimiento anterior.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/eic-tut1-task1-attach-iam-policy.gif)


## Tarea 2: permitir el tráfico entrante desde el servicio EC2 Instance Connect a la instancia
<a name="eic-tut1-task2"></a>

Cuando utiliza EC2 Instance Connect en la consola de Amazon EC2 para conectarse a una instancia, el tráfico que debe permitir que llegue a la instancia es el tráfico desde el servicio EC2 Instance Connect. Esto es diferente a conectarse desde el equipo local a una instancia; en ese caso, debe permitir el tráfico desde el equipo local a la instancia. Para permitir el tráfico desde el servicio EC2 Instance Connect, debe crear un grupo de seguridad que permita el tráfico SSH entrante desde el rango de direcciones IP para el servicio EC2 Instance Connect.

AWS utiliza listas de prefijos para administrar los rangos de direcciones IP. Los nombres de las listas de prefijos de EC2 Instance Connect son de la siguiente manera, donde *region* se reemplaza por el código Región:
+ Nombre de la lista de prefijos de IPv4: `com.amazonaws.region.ec2-instance-connect`
+ Nombre de la lista de prefijos de IPv6: `com.amazonaws.region.ipv6.ec2-instance-connect`

**Objetivo de la tarea**

Deberá crear un grupo de seguridad que permita el tráfico SSH entrante en el puerto 22 de la lista de prefijos IPv4 de la región en la que está ubicada la instancia.

**Crear un grupo de seguridad que permita el tráfico entrante desde el servicio EC2 Instance Connect a la instancia**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, elija **Grupos de seguridad**.

1. Elija **Create Security Group (Creación de grupo de seguridad)**.

1. En **Basic details (Detalles básicos)**, haga lo siguiente:

   1. En **Nombre del grupo de seguridad**, ingrese un nombre significativo para el grupo de seguridad.

   1. En **Descripción**, escriba una descripción significativa para el grupo de seguridad.

1. En **Reglas de entrada**, haga lo siguiente:

   1. Seleccione **Agregar regla**.

   1. En **Tipo**, seleccione **SSH**.

   1. En **Fuente**, deje **Personalizado**.

   1. En el campo situado junto a **Origen**, seleccione la lista de prefijos para EC2 Instance Connect.

      Por ejemplo, si la instancia está ubicada en la región Este de EE. UU. (Norte de Virginia) (`us-east-1`) y los usuarios van a conectarse a su dirección IPv4 pública, elija la siguiente lista de prefijos: **com.amazonaws.us-east-1.ec2-instance-connect**.

1. Elija **Creación de grupo de seguridad**.

### Vista de una animación: crear el grupo de seguridad
<a name="eic-tut1-task2-animation"></a>

![\[En esta animación, se muestra cómo configurar un grupo de seguridad. Para obtener la versión en texto de esta animación, consulte los pasos del procedimiento anterior.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/tut1-task2-eic-security-group.gif)


## Tarea 3: Iniciar la instancia
<a name="eic-tut1-task3"></a>

Cuando se inicia una instancia, debe especificar una AMI que contenga la información necesaria para lanzar la instancia. Puede elegir iniciar una instancia con o sin EC2 Instance Connect preinstalado. En esta tarea, especificamos una AMI que viene preinstalada con EC2 Instance Connect.

Si inicia la instancia sin EC2 Instance Connect preinstalado y desea usar EC2 Instance Connect para conectarse a la instancia, tendrá que completar pasos de configuración adicionales. Esos pasos están fuera del alcance de este tutorial.

**Objetivo de la tarea**

Iniciará una instancia con la AMI de Amazon Linux 2023, que viene preinstalada con EC2 Instance Connect. Además, especificará el grupo de seguridad que creó anteriormente para poder usar EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia. Como utilizará EC2 Instance Connect para conectarse a la instancia y, por lo tanto, se introducirá una clave pública en los metadatos de esta, no necesitará especificar una clave SSH cuando inicie dicha instancia.

**Cómo iniciar una instancia que pueda usar EC2 Instance Connect en la consola de Amazon EC2 para conectarse**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En la barra de navegación en la parte superior de la pantalla, se muestra la región actual de AWS (por ejemplo, **Irlanda**). Seleccione una región en la que se va a iniciar la instancia. Esta elección es importante porque creó un grupo de seguridad que permite el tráfico en una región específica, por lo que debe seleccionar la misma región en la que desea iniciar la instancia.

1. En el panel de la consola de Amazon EC2, elija **Iniciar instancia**. 

1. (Opcional) En **Name and tags** (Nombre y etiquetas), escriba un nombre descriptivo para la instancia en **Name** (Nombre).

1. En **Imágenes de aplicaciones y SO (Imagen de máquina de Amazon)**, elija **Inicio rápido**. **Amazon Linux** está seleccionado de forma predeterminada. En **Imagen de máquina de Amazon (AMI)**, **AMI de Amazon Linux 2023** está seleccionado de forma predeterminada. Mantenga la selección predeterminada para esta tarea.

1. En **Tipo de instancia**, para **Tipo de instancia**, mantenga la selección predeterminada o seleccione un tipo de instancia diferente.

1. En **Par de claves (inicio de sesión)**, para **Nombre del par de claves**, elija **Continuar sin un par de claves (no se recomienda)**. Cuando utiliza EC2 Instance Connect para conectarse a una instancia, EC2 Instance Connect envía un par de claves a los metadatos de la instancia y es este par de claves el que se utiliza para la conexión.

1. En **Network settings** (Configuración de red), haga lo siguiente:

   1. En **Autoasignar IP pública**, seleccione **Habilitar**.
**nota**  
Para usar EC2 Instance Connect en la consola de Amazon EC2 para conectarse a una instancia, la instancia debe tener una dirección IPv4 o IPv6 pública.

   1. En **Firewall (grupos de seguridad)**, elija **Seleccionar un grupo de seguridad existente**.

   1. En **Grupos de seguridad habituales**, elija el grupo de seguridad que creó anteriormente.

1. En el panel **Resumen**, elija **Iniciar instancia**.

### Ver animación: Iniciar la instancia
<a name="eic-tut1-task3-animation"></a>

![\[En esta animación, se muestra cómo iniciar una instancia. Para obtener la versión en texto de esta animación, consulte los pasos del procedimiento anterior.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/tut1-task3-launch-an-instance.gif)


## Tarea 4: Conectarse a la instancia
<a name="eic-tut1-task4"></a>

Cuando se conecta a una instancia con EC2 Instance Connect, la API de EC2 Instance Connect inserta una clave pública SSH en los [metadatos de la instancia](ec2-instance-metadata.md), donde permanece por 60 segundos. El daemon SSH utiliza `AuthorizedKeysCommand` y `AuthorizedKeysCommandUser` para buscar la clave pública en los metadatos de la instancia para su autenticación y la conecta a la instancia.

**Objetivo de la tarea**

En esta tarea, se conectará a la instancia mediante EC2 Instance Connect en la consola de Amazon EC2. Si completó las tareas 1, 2 y 3 la conexión debería realizarse correctamente. 

**Pasos para conectarse a la instancia**

Los pasos siguientes le permiten conectarse a la instancia. Para ver una animación de los pasos, consulte [Ver animación: Conectarse a la instancia](#eic-tut1-task4-animation).

**Conectarse a una instancia mediante EC2 Instance Connect en la consola de Amazon EC2**

1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En la barra de navegación en la parte superior de la pantalla, se muestra la región actual de AWS (por ejemplo, **Irlanda**). Seleccione la región en la que se encuentra la instancia.

1. En el panel de navegación, seleccione **Instances (Instancias)**. 

1. Seleccione la instancia y elija **Connect**.

1. Elija la pestaña **EC2 Instance Connect**.

1. Elija **Conéctese a través de una IP pública**. 

1. Elija **Conectar**.

   Se abre una ventana terminal en el navegador y está conectado a la instancia.

### Ver animación: Conectarse a la instancia
<a name="eic-tut1-task4-animation"></a>

![\[En esta animación, se muestra cómo conectar una instancia con EC2 Instance Connect. Para obtener la versión en texto de esta animación, consulte los pasos del procedimiento anterior.\]](http://docs.aws.amazon.com/es_es/AWSEC2/latest/UserGuide/images/eic-tut1-task4-connect.gif)