Connectez-vous à vos instances à l'aide d'EC2Instance Connect Endpoint - Amazon Elastic Compute Cloud
Comment ça marcheConsidérations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez-vous à vos instances à l'aide d'EC2Instance Connect Endpoint

EC2Instance Connect Endpoint vous permet de vous connecter en toute sécurité à une instance depuis Internet, sans utiliser d'hôte bastion ni exiger que votre cloud privé virtuel (VPC) dispose d'une connexion Internet directe.

Avantages

  • Vous pouvez vous connecter à vos instances sans que celles-ci aient besoin d'une IPv4 adresse publique. AWS frais pour toutes les IPv4 adresses publiques, y compris les IPv4 adresses publiques associées aux instances en cours d'exécution et les adresses IP Elastic. Pour plus d'informations, consultez l'onglet IPv4Adresse publique sur la page de VPC tarification d'Amazon.

  • Vous pouvez vous connecter à vos instances depuis Internet sans avoir besoin d'une connexion Internet directe via une passerelle Internet. VPC

  • Vous pouvez contrôler l'accès à la création et à l'utilisation des points de terminaison EC2 Instance Connect pour vous connecter aux instances à l'aide de IAMpolitiques et d'autorisations.

  • Toutes les tentatives de connexion à vos instances, qu'elles soient réussies ou non, sont enregistrées CloudTrail.

Tarification

L'utilisation des points de terminaison EC2 Instance Connect n'entraîne aucun coût supplémentaire. Si vous utilisez un point de terminaison EC2 Instance Connect pour vous connecter à une instance située dans une autre zone de disponibilité, des frais supplémentaires sont facturés pour le transfert de données entre les zones de disponibilité.

Table des matières

Comment ça marche

EC2Instance Connect Endpoint est un proxy sensible à l'identitéTCP. Le service EC2 Instance Connect Endpoint établit un tunnel privé entre votre ordinateur et le point de terminaison à l'aide des informations d'identification de votre IAM entité. Le trafic est authentifié et autorisé avant qu'il n'atteigne votreVPC.

Vous pouvez configurer des règles de groupe de sécurité supplémentaires pour limiter le trafic entrant vers vos instances. Par exemple, vous pouvez utiliser des règles entrantes pour autoriser le trafic sur les ports de gestion uniquement à partir du point de terminaison EC2 Instance Connect.

Vous pouvez configurer les règles de table de routage pour permettre au point de terminaison de se connecter à n'importe quelle instance de n'importe quel sous-réseau duVPC.

Le schéma suivant montre comment un utilisateur peut se connecter à ses instances depuis Internet à l'aide d'un point de terminaison EC2 Instance Connect. Créez d'abord un point de terminaison EC2 Instance Connect dans le sous-réseau A. Nous créons une interface réseau pour le point de terminaison du sous-réseau, qui sert de point d'entrée pour le trafic destiné à vos instances dans le. VPC Si la table de routage du sous-réseau B autorise le trafic en provenance du sous-réseau A, vous pouvez utiliser le point de terminaison pour atteindre les instances du sous-réseau B.

Présentation du flux EC2 Instance Connect Endpoint.

Considérations

Avant de commencer, considérez les points suivants.

  • EC2Instance Connect Endpoint est spécifiquement conçu pour les cas d'utilisation du trafic de gestion, et non pour les transferts de données à volume élevé. Les transferts de données à haut volume sont limités.

  • Votre instance doit avoir une IPv4 adresse (privée ou publique). EC2Instance Connect Endpoint ne prend pas en charge la connexion aux instances à l'aide d'IPv6adresses.

  • (Instances Linux) Si vous utilisez votre propre paire de clés, vous pouvez utiliser n'importe quel système LinuxAMI. Dans le cas contraire, Instance Connect doit être installé sur votre EC2 instance. Pour plus d'informations sur ce qui AMIs inclut EC2 Instance Connect et sur la façon de l'installer sur d'autres appareils pris en chargeAMIs, consultezInstallez EC2 Instance Connect.

  • Vous pouvez attribuer un groupe de sécurité à un point de terminaison EC2 Instance Connect lorsque vous le créez. Dans le cas contraire, nous utilisons le groupe de sécurité par défaut pourVPC. Le groupe de sécurité d'un point de terminaison EC2 Instance Connect doit autoriser le trafic sortant vers les instances de destination. Pour de plus amples informations, veuillez consulter Groupes de sécurité pour EC2 Instance Connect Endpoint.

  • Vous pouvez configurer un point de terminaison EC2 Instance Connect pour conserver les adresses IP sources des clients lors du routage des demandes vers les instances. Dans le cas contraire, l'adresse IP de l'interface réseau devient l'adresse IP du client pour tout le trafic entrant.

    • Si vous activez la préservation de l'adresse IP des clients, les groupes de sécurité des instances doivent autoriser le trafic provenant des clients. En outre, les instances doivent se trouver dans le même emplacement VPC que le point de terminaison EC2 Instance Connect.

    • Si vous désactivez la préservation de l'adresse IP du client, les groupes de sécurité des instances doivent autoriser le trafic en provenance duVPC. Il s’agit de l’option par défaut.

    • Les types d'instance suivants ne prennent pas en charge la préservation de l'adresse IP du client : C1 CG1CG2,,, G1HI1, M1, M2, M3 et T1. Si vous activez la préservation de l'adresse IP du client et que vous tentez de vous connecter à une instance avec l'un de ces types d'instance à l'aide d'EC2Instance Connect Endpoint, la connexion échoue.

    • La préservation de l'adresse IP du client n'est pas prise en charge lorsque le trafic est acheminé via une passerelle de transit.

  • Lorsque vous créez un point de terminaison EC2 Instance Connect, un rôle lié à un service est automatiquement créé pour le service Amazon EC2 dans AWS Identity and Access Management (IAM). Amazon EC2 utilise le rôle lié à un service pour fournir des interfaces réseau dans votre compte, qui sont requises lors de la création de points de terminaison EC2 Instance Connect. Pour de plus amples informations, veuillez consulter Rôle lié à un service pour Instance EC2 Connect Endpoint.

  • Vous ne pouvez créer qu'un seul point de terminaison EC2 Instance Connect par sous-réseau. VPC Pour de plus amples informations, veuillez consulter Quotas pour EC2 Instance Connect Endpoint. Si vous devez créer un autre point de terminaison EC2 Instance Connect dans une autre zone de disponibilité au sein de la même zoneVPC, vous devez d'abord supprimer le point de terminaison EC2 Instance Connect existant. Dans le cas contraire, vous recevrez une erreur de quota.

  • Chaque point de terminaison EC2 Instance Connect peut prendre en charge jusqu'à 20 connexions simultanées.

  • La durée maximale d'une TCP connexion établie est de 1 heure (3 600 secondes). Vous pouvez spécifier la durée maximale autorisée dans une IAM politique, qui peut aller jusqu'à 3 600 secondes. Pour de plus amples informations, veuillez consulter Autorisations d'utilisation du point de terminaison EC2 Instance Connect pour se connecter aux instances.