Niveaux d'accès Gérer l'accès du compte à l'EC2 Serial Console Configurer les politiques IAM pour l'accès à l'EC2 Serial Console Définir un mot de passe utilisateur du système d'exploitation sur une instance Linux

Configurer l'accès à l'EC2 Serial Console

Pour configurer l'accès à la console série, vous devez accorder l'accès à la console série au niveau du compte, puis configurer des politiques IAM pour accorder l'accès à vos utilisateurs. Pour les instances Linux, vous devez également configurer un utilisateur basé sur un mot de passe pour chaque instance afin que vos utilisateurs puissent utiliser la console série pour le dépannage.

Avant de commencer, assurez-vous de vérifier les conditions préalables.

Rubriques

Niveaux d'accès à l'EC2 Serial Console
Gérer l'accès du compte à l'EC2 Serial Console
Configurer les politiques IAM pour l'accès à l'EC2 Serial Console
Définir un mot de passe utilisateur du système d'exploitation sur une instance Linux

Niveaux d'accès à l'EC2 Serial Console

Par défaut, il n'est pas possible d'accéder à la console série au niveau du compte. Vous devez accorder explicitement l'accès à la console série au niveau du compte. Pour plus d'informations, veuillez consulter Gérer l'accès du compte à l'EC2 Serial Console .

Vous pouvez utiliser une politique de contrôle de service (SCP) pour autoriser l'accès à la console série au sein de votre organisation. Vous pouvez ensuite disposer d'un contrôle d'accès granulaire au niveau de l'utilisateur à l'aide d'une politique IAM pour contrôler l'accès. En combinant des politiques SCP et IAM, vous disposez de différents niveaux de contrôle d'accès à la console série.

Niveau de l'organisation: Vous pouvez utiliser une politique de contrôle de service (SCP) pour autoriser l'accès à la console série aux comptes membre au sein de votre organisation. Pour plus d'informations sur les SCP, veuillez consulter Politiques de contrôle des services dans le Guide de l'utilisateur AWS Organizations .
Niveau de l'instance: Vous pouvez configurer les politiques d'accès à la console série en utilisant IAM PrincipalTag et les ResourceTag constructions et en spécifiant les instances par leur ID. Pour plus d’informations, consultez Configurer les politiques IAM pour l'accès à l'EC2 Serial Console .
Niveau utilisateur: Vous pouvez configurer l'accès au niveau de l'utilisateur en configurant une politique IAM pour autoriser ou interdire à un utilisateur spécifié d'envoyer la clé publique SSH en mode push au service de console série d'une instance particulière. Pour plus d’informations, consultez Configurer les politiques IAM pour l'accès à l'EC2 Serial Console .
Niveau du système d'exploitation (instances Linux uniquement): Vous pouvez définir un mot de passe utilisateur au niveau du système d'exploitation invité. Cela permet d'accéder à la console série pour certains cas d'utilisation. Toutefois, pour surveiller les journaux, vous n'avez pas besoin d'un utilisateur avec un mot de passe. Pour plus d'informations, veuillez consulter Définir un mot de passe utilisateur du système d'exploitation sur une instance Linux.

Gérer l'accès du compte à l'EC2 Serial Console

Par défaut, il n'est pas possible d'accéder à la console série au niveau du compte. Vous devez accorder explicitement l'accès à la console série au niveau du compte.

Rubriques

Autoriser les utilisateurs à gérer l'accès du compte
Afficher l'état de l'accès du compte à la console série
Autoriser le compte à accéder à la console série
Interdire au compte l'accès à la console série

Autoriser les utilisateurs à gérer l'accès du compte

Pour permettre à vos utilisateurs de gérer l'accès du compte à l'EC2 Serial Console, vous devez leur octroyer les autorisations IAM requises.

La politique suivante accorde des autorisations pour afficher l'état du compte, et autoriser et interdire le compte à accéder à l'EC2 Serial Console .


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetSerialConsoleAccessStatus",
                "ec2:EnableSerialConsoleAccess",
                "ec2:DisableSerialConsoleAccess"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations, consultez Création de politiques IAM dans le IAM Guide de l'utilisateur.

Afficher l'état de l'accès du compte à la console série

Pour afficher l'état de l'accès du compte à la console série (console)

Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.
Dans le panneau de navigation de gauche, sélectionnez EC2 Dashboard (Tableau de bord EC2).
Dans Attributs du compte, choisissez EC2 Serial Console .

Le champ EC2 Serial Console access (Accès à l'EC2 Serial Console ) indique si l'accès du compte est Allowed (Autorisé) ou Prevented (Bloqué).

La capture d'écran suivante montre que le compte n'est pas autorisé à utiliser l'EC2 Serial Console .

Pour afficher l'état d'accès du compte à la console série (AWS CLI)

Utilisez la commande get-serial-console-access-status pour afficher l'état d'accès du compte à la console série.


aws ec2 get-serial-console-access-status --region us-east-1

Dans le résultat suivant, true indique que le compte est autorisé à accéder à la console série.


{
    "SerialConsoleAccessEnabled": true
}

Autoriser le compte à accéder à la console série

Pour autoriser le compte à accéder à la console série (console)

Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.
Dans le panneau de navigation de gauche, sélectionnez EC2 Dashboard (Tableau de bord EC2).
Dans Attributs du compte, choisissez EC2 Serial Console .
Choisissez Gérer.
Pour autoriser toutes les instances du compte à accéder à l'EC2 Serial Console , cochez la case Autoriser.
Sélectionnez Mise à jour.

Pour autoriser le compte à accéder à la console série (AWS CLI)

Utilisez la enable-serial-console-accesscommande pour autoriser l'accès du compte à la console série.


aws ec2 enable-serial-console-access --region us-east-1

Dans le résultat suivant, true indique que le compte est autorisé à accéder à la console série.


{
    "SerialConsoleAccessEnabled": true
}

Interdire au compte l'accès à la console série

Pour interdire au compte l'accès à la console série (console)

Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.
Dans le panneau de navigation de gauche, sélectionnez EC2 Dashboard (Tableau de bord EC2).
Dans Attributs du compte, choisissez EC2 Serial Console .
Choisissez Gérer.
Pour interdire l'accès à l'EC2 Serial Console à toutes les instances du compte, décochez Autoriser.
Sélectionnez Mise à jour.

Pour interdire au compte l'accès à la console série (AWS CLI)

Utilisez la disable-serial-console-accesscommande pour empêcher l'accès du compte à la console série.


aws ec2 disable-serial-console-access --region us-east-1

Dans le résultat suivant, false indique que le compte n'est pas autorisé à accéder à la console série.


{
    "SerialConsoleAccessEnabled": false
}

Configurer les politiques IAM pour l'accès à l'EC2 Serial Console

Par défaut, vos utilisateurs n'ont pas accès à la console série. Votre organisation doit configurer des politiques IAM pour accorder à vos utilisateurs l'accès requis. Pour plus d'informations, consultez Création de politiques IAM dans le IAM Guide de l'utilisateur.

Pour accéder à la console série, créez un document de politique JSON qui inclut l'action ec2-instance-connect:SendSerialConsoleSSHPublicKey. Cette action accorde à un utilisateur l'autorisation d'envoyer la clé publique en mode push au service de console série, qui démarre une session de console série. Nous vous recommandons de limiter l'accès à des instances EC2 spécifiques. Sinon, tous les utilisateurs disposant de cette autorisation peuvent se connecter à la console série de toutes les instances EC2.

Exemple de politiques IAM

Autoriser explicitement l'accès à la console série
Refuser explicitement l'accès à la console série
Utiliser des balises de ressources pour contrôler l'accès à la console série

Autoriser explicitement l'accès à la console série

Par défaut, personne n'a accès à la console série. Pour accorder l'accès à la console série, vous devez configurer une politique pour autoriser explicitement cet accès. Nous vous recommandons de configurer une politique qui restreint l'accès à des instances spécifiques.

La politique suivante permet d'accéder à la console série d'une instance spécifique, identifiée par son ID d'instance.

Notez que les actions DescribeInstances, DescribeInstanceTypes et GetSerialConsoleAccessStatus ne prennent pas en charge les autorisations au niveau des ressources. Par conséquent, toutes les ressources, indiquées par un astérisque *, doivent être spécifiées pour ces actions.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeInstances",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
             "Resource": "*"
        },
        {
            "Sid": "AllowinstanceBasedSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7"
        }
    ]
}

Refuser explicitement l'accès à la console série

La politique IAM suivante autorise l'accès à la console série de toutes les instances, désignées par * (astérisque), et refuse explicitement l'accès à la console série d'une instance spécifique, identifiée par son ID.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DenySerialConsoleAccess",
            "Effect": "Deny",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7"
        }
    ]
}

Utiliser des balises de ressources pour contrôler l'accès à la console série

Vous pouvez utiliser des balises de ressource pour contrôler l'accès à la console série d'une instance.

Le contrôle d'accès basé sur les attributs est une stratégie d'autorisation qui définit les autorisations en fonction de balises pouvant être associées aux utilisateurs et AWS aux ressources. Par exemple, la politique suivante permet à un utilisateur d'initier une connexion à la console série pour une seule instance si la balise de ressource de cette instance et la balise du principal possèdent la même valeur SerialConsole en clé de balise.

Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès à vos AWS ressources, consultez la section Contrôle de l'accès aux AWS ressources dans le guide de l'utilisateur IAM.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeInstances",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowTagBasedSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/SerialConsole": "${aws:PrincipalTag/SerialConsole}"
                }
            }
        }
    ]
}

Définir un mot de passe utilisateur du système d'exploitation sur une instance Linux

Note

Cette section s'applique uniquement aux instances Linux.

Vous pouvez vous connecter à la console série sans mot de passe. Toutefois, pour utiliser la console série pour le dépannage d'une instance Linux, celle-ci doit disposer d'un utilisateur du système d'exploitation basé sur un mot de passe.

Vous pouvez définir le mot de passe pour n'importe quel utilisateur du système d'exploitation, y compris l'utilisateur racine. Notez que l'utilisateur racine peut modifier tous les fichiers, tandis que chaque utilisateur du système d'exploitation peut avoir des autorisations limitées.

Vous devez définir un mot de passe utilisateur pour chaque instance pour laquelle vous utilisez la console série. Vous n'aurez besoin d'effectuer cette opération qu'une seule fois pour chaque instance.

Note

Les instructions suivantes ne s'appliquent que si vous avez lancé votre instance à l'aide d'une AMI Linux fournie par AWS car, par défaut, les AMI fournies par ne AWS sont pas configurées avec un utilisateur basé sur un mot de passe. Si vous avez lancé votre instance à l'aide d'une AMI sur laquelle le mot de passe utilisateur racine est déjà configuré, vous pouvez ignorer ces instructions.

Pour définir un mot de passe utilisateur du système d'exploitation sur une instance Linux

Connectez-vous à votre instance. Vous pouvez utiliser n'importe quelle méthode de connexion à votre instance, à l'exception de la méthode de connexion à l'EC2 Serial Console .
Pour définir le mot de passe d'un utilisateur, utilisez la commande passwd. Dans l'exemple suivant, l'utilisateur est root.
```
[ec2-user ~]$ sudo passwd root
```
Voici un exemple de sortie.
```
Changing password for user root.
New password:
```
À l'invite New password, entrez le nouveau mot de passe.
À l'invite, saisissez à nouveau le mot de passe.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Prérequis

Connexion à l'EC2 Serial Console