Niveaux d'accès Gérer l'accès du compte à la console EC2 série Configuration IAM des politiques d'accès à la console EC2 série Définir un mot de passe utilisateur du système d'exploitation sur une instance Linux

Configuration de l'accès à la console EC2 série

Pour configurer l'accès à la console série, vous devez accorder l'accès à la console série au niveau du compte, puis configurer des IAM politiques pour accorder l'accès à vos utilisateurs. Pour les instances Linux, vous devez également configurer un utilisateur basé sur un mot de passe pour chaque instance afin que vos utilisateurs puissent utiliser la console série pour le dépannage.

Avant de commencer, assurez-vous de vérifier les conditions préalables.

Rubriques

Niveaux d'accès à la console EC2 série
Gérer l'accès du compte à la console EC2 série
Configuration IAM des politiques d'accès à la console EC2 série
Définir un mot de passe utilisateur du système d'exploitation sur une instance Linux

Niveaux d'accès à la console EC2 série

Par défaut, il n'est pas possible d'accéder à la console série au niveau du compte. Vous devez accorder explicitement l'accès à la console série au niveau du compte. Pour de plus amples informations, veuillez consulter Gérer l'accès du compte à la console EC2 série.

Vous pouvez utiliser une politique de contrôle des services (SCP) pour autoriser l'accès à la console série au sein de votre organisation. Vous pouvez ensuite avoir un contrôle d'accès granulaire au niveau de l'utilisateur en utilisant une IAM politique de contrôle d'accès. En utilisant une combinaison de IAM politiques SCP et, vous disposez de différents niveaux de contrôle d'accès à la console série.

Niveau de l'organisation: Vous pouvez utiliser une politique de contrôle des services (SCP) pour autoriser l'accès à la console série aux comptes des membres de votre organisation. Pour plus d'informationsSCPs, consultez la section Politiques de contrôle des services dans le Guide de AWS Organizations l'utilisateur.
Niveau de l'instance: Vous pouvez configurer les politiques d'accès à la console série en utilisant IAM PrincipalTag des ResourceTag constructions et en spécifiant les instances par leur identifiant. Pour de plus amples informations, veuillez consulter Configuration IAM des politiques d'accès à la console EC2 série.
Niveau utilisateur: Vous pouvez configurer l'accès au niveau de l'utilisateur en configurant une IAM politique permettant d'autoriser ou de refuser à un utilisateur spécifié l'autorisation d'envoyer la clé SSH publique au service de console série d'une instance donnée. Pour de plus amples informations, veuillez consulter Configuration IAM des politiques d'accès à la console EC2 série.
Niveau du système d'exploitation (instances Linux uniquement): Vous pouvez définir un mot de passe utilisateur au niveau du système d'exploitation invité. Cela permet d'accéder à la console série pour certains cas d'utilisation. Toutefois, pour surveiller les journaux, vous n'avez pas besoin d'un utilisateur avec un mot de passe. Pour de plus amples informations, veuillez consulter Définir un mot de passe utilisateur du système d'exploitation sur une instance Linux.

Gérer l'accès du compte à la console EC2 série

Par défaut, il n'est pas possible d'accéder à la console série au niveau du compte. Vous devez accorder explicitement l'accès à la console série au niveau du compte.

Rubriques

Autoriser les utilisateurs à gérer l'accès du compte
Afficher l'état de l'accès du compte à la console série
Autoriser le compte à accéder à la console série
Interdire au compte l'accès à la console série

Autoriser les utilisateurs à gérer l'accès du compte

Pour permettre à vos utilisateurs de gérer l'accès de leur compte à la console EC2 série, vous devez leur accorder les IAM autorisations requises.

La politique suivante accorde des autorisations pour consulter l'état du compte, ainsi que pour autoriser ou empêcher l'accès du compte à la console EC2 série.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetSerialConsoleAccessStatus",
                "ec2:EnableSerialConsoleAccess",
                "ec2:DisableSerialConsoleAccess"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations, consultez la section Création IAM de politiques dans le guide de IAM l'utilisateur.

Afficher l'état de l'accès du compte à la console série

Pour afficher l'état de l'accès du compte à la console série (console)

Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
Dans le volet de navigation de gauche, choisissez EC2Dashboard.
Dans Attributs du compte, sélectionnez EC2Serial Console.

Le champ Accès à la console EC2 série indique si l'accès au compte est autorisé ou interdit.

La capture d'écran suivante montre que le compte ne peut pas utiliser la console EC2 série.

Pour afficher l'état d'accès du compte à la console série (AWS CLI)

Utilisez la commande get-serial-console-access-status pour afficher l'état d'accès du compte à la console série.


aws ec2 get-serial-console-access-status --region us-east-1

Dans le résultat suivant, true indique que le compte est autorisé à accéder à la console série.


{
    "SerialConsoleAccessEnabled": true
}

Autoriser le compte à accéder à la console série

Pour autoriser le compte à accéder à la console série (console)

Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
Dans le volet de navigation de gauche, choisissez EC2Dashboard.
Dans Attributs du compte, sélectionnez EC2Serial Console.
Choisissez Gérer.
Pour autoriser l'accès à la console EC2 série de toutes les instances du compte, cochez la case Autoriser.
Sélectionnez Mise à jour.

Pour autoriser le compte à accéder à la console série (AWS CLI)

Utilisez la enable-serial-console-accesscommande pour autoriser l'accès du compte à la console série.


aws ec2 enable-serial-console-access --region us-east-1

Dans le résultat suivant, true indique que le compte est autorisé à accéder à la console série.


{
    "SerialConsoleAccessEnabled": true
}

Interdire au compte l'accès à la console série

Pour interdire au compte l'accès à la console série (console)

Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
Dans le volet de navigation de gauche, choisissez EC2Dashboard.
Dans Attributs du compte, sélectionnez EC2Serial Console.
Choisissez Gérer.
Pour empêcher l'accès à la console EC2 série de toutes les instances du compte, décochez la case Autoriser.
Sélectionnez Mise à jour.

Pour interdire au compte l'accès à la console série (AWS CLI)

Utilisez la disable-serial-console-accesscommande pour empêcher l'accès du compte à la console série.


aws ec2 disable-serial-console-access --region us-east-1

Dans le résultat suivant, false indique que le compte n'est pas autorisé à accéder à la console série.


{
    "SerialConsoleAccessEnabled": false
}

Configuration IAM des politiques d'accès à la console EC2 série

Par défaut, vos utilisateurs n'ont pas accès à la console série. Votre organisation doit configurer IAM des politiques pour accorder à vos utilisateurs l'accès requis. Pour plus d'informations, consultez la section Création IAM de politiques dans le guide de IAM l'utilisateur.

Pour accéder à la console série, créez un document de JSON politique qui inclut l'ec2-instance-connect:SendSerialConsoleSSHPublicKeyaction. Cette action accorde à un utilisateur l'autorisation d'envoyer la clé publique en mode push au service de console série, qui démarre une session de console série. Nous recommandons de restreindre l'accès à des EC2 instances spécifiques. Sinon, tous les utilisateurs disposant de cette autorisation peuvent se connecter à la console série de toutes les EC2 instances.

Exemples de IAM politiques

Autoriser explicitement l'accès à la console série
Refuser explicitement l'accès à la console série
Utiliser des balises de ressources pour contrôler l'accès à la console série

Autoriser explicitement l'accès à la console série

Par défaut, personne n'a accès à la console série. Pour accorder l'accès à la console série, vous devez configurer une politique pour autoriser explicitement cet accès. Nous vous recommandons de configurer une politique qui restreint l'accès à des instances spécifiques.

La politique suivante permet d'accéder à la console série d'une instance spécifique, identifiée par son ID d'instance.

Notez que les actions DescribeInstances, DescribeInstanceTypes et GetSerialConsoleAccessStatus ne prennent pas en charge les autorisations au niveau des ressources. Par conséquent, toutes les ressources, indiquées par un astérisque *, doivent être spécifiées pour ces actions.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeInstances",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
             "Resource": "*"
        },
        {
            "Sid": "AllowinstanceBasedSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7"
        }
    ]
}

Refuser explicitement l'accès à la console série

La IAM politique suivante autorise l'accès à la console série de toutes les instances, désignée par un * (astérisque), et refuse explicitement l'accès à la console série d'une instance spécifique, identifiée par son identifiant.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DenySerialConsoleAccess",
            "Effect": "Deny",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7"
        }
    ]
}

Utiliser des balises de ressources pour contrôler l'accès à la console série

Vous pouvez utiliser des balises de ressource pour contrôler l'accès à la console série d'une instance.

Le contrôle d'accès basé sur les attributs est une stratégie d'autorisation qui définit les autorisations en fonction de balises pouvant être associées aux utilisateurs et AWS aux ressources. Par exemple, la politique suivante permet à un utilisateur d'initier une connexion à la console série pour une seule instance si la balise de ressource de cette instance et la balise du principal possèdent la même valeur SerialConsole en clé de balise.

Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès à vos AWS ressources, consultez la section Contrôle de l'accès aux AWS ressources dans le Guide de IAM l'utilisateur.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeInstances",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowTagBasedSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/SerialConsole": "${aws:PrincipalTag/SerialConsole}"
                }
            }
        }
    ]
}

Définir un mot de passe utilisateur du système d'exploitation sur une instance Linux

Note

Cette section s'applique uniquement aux instances Linux.

Vous pouvez vous connecter à la console série sans mot de passe. Toutefois, pour utiliser la console série pour le dépannage d'une instance Linux, celle-ci doit disposer d'un utilisateur du système d'exploitation basé sur un mot de passe.

Vous pouvez définir le mot de passe pour n'importe quel utilisateur du système d'exploitation, y compris l'utilisateur racine. Notez que l'utilisateur racine peut modifier tous les fichiers, tandis que chaque utilisateur du système d'exploitation peut avoir des autorisations limitées.

Vous devez définir un mot de passe utilisateur pour chaque instance pour laquelle vous utilisez la console série. Vous n'aurez besoin d'effectuer cette opération qu'une seule fois pour chaque instance.

Note

Les instructions suivantes ne s'appliquent que si vous avez lancé votre instance à l'aide d'un système Linux AMI fourni par AWS car, par défaut, le système AMIs fourni par AWS n'est pas configuré avec un utilisateur basé sur un mot de passe. Si vous avez lancé votre instance à l'aide d'une instance AMI dont le mot de passe utilisateur root est déjà configuré, vous pouvez ignorer ces instructions.

Pour définir un mot de passe utilisateur du système d'exploitation sur une instance Linux

Connectez-vous à votre instance. Vous pouvez utiliser n'importe quelle méthode pour vous connecter à votre instance, à l'exception de la méthode de connexion par console EC2 série.
Pour définir le mot de passe d'un utilisateur, utilisez la commande passwd. Dans l'exemple suivant, l'utilisateur est root.
```
[ec2-user ~]$ sudo passwd root
```
Voici un exemple de sortie.
```
Changing password for user root.
New password:
```
À l'invite New password, entrez le nouveau mot de passe.
À l'invite, saisissez à nouveau le mot de passe.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Prérequis

Connect à la console EC2 série