Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Connectez-vous à votre instance EC2
Votre instance Amazon EC2 est un serveur virtuel dans le AWS Cloud. Pour vous connecter à votre instance, vous devez établir une connexion avec l’instance. La façon dont vous vous connectez à votre instance dépend du système d’exploitation de l’instance et du système d’exploitation de l’ordinateur que vous utilisez pour vous connecter à l’instance. Le tableau suivant présente de manière détaillée les conditions requises pour chaque méthode de connexion.
| Option de connexion | Système d’exploitation de l’instance | Règle relative au trafic entrant | Autorisations IAM | Rôle du profil de l’instance | Logiciel sur l’instance | Logiciel sur le système de connexion | Paire de clés |
| --- | --- | --- | --- | --- | --- | --- | --- |
| Client SSH | Linux | Oui | Non | Non | Non | Oui | Oui |
| EC2 Instance Connect | Linux | Oui | Oui | Non | Oui ¹ | Non | Non |
| PuTTY | Linux | Oui | Non | Non | Non | Oui | Oui |
| Client RDP | Windows | Oui | Non | Non | Non | Oui | Oui ² |
| Fleet Manager | Windows | Non | Oui | Oui | Oui ¹ | Non | Oui |
| Gestionnaire de session | Linux, Windows | Non | Oui | Oui | Oui ¹ | Non | Non |
| Point de terminaison EC2 Instance Connect | Linux, Windows | Oui | Oui | Non | Non | Non | Non ³ |
¹ Le logiciel requis n'est préinstallé que sur certains AMIs. Vous pouvez installer manuellement les logiciels nécessaires sur les systèmes d’exploitation pris en charge.
² La paire de clés n’est nécessaire que si vous utilisez le mot de passe généré de manière aléatoire pour le compte d’utilisateur local de l’administrateur.
³ Une paire de clés est requise si vous utilisez la méthode de connexion SSH.
Pour plus d’informations, consultez la documentation relative à l’option de connexion que vous souhaitez utiliser.
**Options de connexion**
+ [Connexion à votre instance Linux à l’aide d’un client SSH](connect-linux-inst-ssh.md)
+ [Connectez-vous à votre instance Linux à l’aide de PuTTY](connect-linux-inst-from-windows.md)
+ [Connectez-vous à votre instance Windows à l’aide d’un client RDP](connect-rdp.md)
+ [Se connecter à une instance Windows à l’aide de Fleet Manager](connect-rdp-fleet-manager.md)
+ [Connexion à l’aide du Gestionnaire de session](connect-with-systems-manager-session-manager.md)
+ [Connexion à l’aide d’une IP publique et d’EC2 Instance Connect](connect-linux-inst-eic.md)
+ [Connexion à l’aide d’une adresse IP privée et d’un point de terminaison EC2 Instance Connect](connect-with-ec2-instance-connect-endpoint.md)
# Conditions préalables générales de connexion
Les conditions préalables générales pour se connecter à une instance sont les suivantes. Notez qu’il peut y avoir des conditions préalables supplémentaires spécifiques à l’option de connexion que vous choisissez.
**Prérequis généraux**
+ Vérifiez que votre instance a réussi les contrôles de statut. Il peut s’écouler quelques minutes avant qu’une instance soit prête à accepter des demandes de connexion. Pour de plus amples informations, veuillez consulter [Afficher les vérifications de statut](viewing_status.md).
+ [Obtenir les détails de l’instance requise](#connection-prereqs-get-info-about-instance).
+ [Localisation de la clé privée et définition des autorisations](#connection-prereqs-private-key).
+ [(Facultatif) Obtenez l’empreinte digitale de l’instance](#connection-prereqs-fingerprint).
## Obtenir les détails de l’instance requise
Pour vous préparer à vous connecter à votre instance, obtenez les informations suivantes à partir de la console Amazon EC2 ou en utilisant la ligne de commande.
![\[Le volet Instances de la console Amazon EC2.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/connection-prereqs-console2.png)
+ **Obtenez le nom du serveur DNS public de l’instance.**
Vous pouvez obtenir l’adresse du serveur DNS public de votre instance à partir de la console Amazon EC2. Vérifiez la colonne ** IPv4 DNS public** du volet **Instances**. Si cette colonne est masquée, cliquez sur l'icône des paramètres (![\[The gear icon.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/settings-icon.png)) dans le coin supérieur droit de l'écran, puis sélectionnez **Public IPv4 DNS**. Vous pouvez également trouver le DNS public dans la section Informations sur l’instance du volet **Instances**. Lorsque vous sélectionnez l’instance dans le volet **Instances** de la console Amazon EC2, les informations relatives à cette instance apparaissent dans la partie inférieure de la page. Dans l'onglet **Détails**, recherchez **Public IPv4 DNS**.
Si vous préférez, vous pouvez utiliser les commandes [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) (AWS CLI) ou [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)(AWS Tools for Windows PowerShell).
Si aucun ** IPv4 DNS public** n'est affiché, vérifiez que l'**état de l'instance** est **en cours d'exécution** et que vous n'avez pas lancé l'instance dans un sous-réseau privé. Si vous avez lancé votre instance à l’aide de l’[assistant de lancement d’instance](ec2-launch-instance-wizard.md), vous avez peut-être modifié le champ **Attribuer automatiquement une adresse IP publique** sous **Paramètres réseau** et changé la valeur sur **Désactiver**. Si vous désactivez l’option **Attribuer automatiquement une adresse IP publique**, aucune adresse IP publique n’est attribuée à l’instance lors de son lancement.
+ **(instances IPv6 uniquement) Obtenez l' IPv6 adresse de l'instance.**
Si vous avez attribué une adresse IPv6 à votre instance, vous pouvez éventuellement vous connecter à l’instance à l’aide de son adresse IPv6 au lieu d’une adresse IPv4 publique ou d’un nom d’hôte DNS IPv4 public. Votre ordinateur local doit avoir une adresse IPv6 et doit être configuré pour utiliser IPv6. Vous pouvez obtenir l’adresse IPv6 de votre instance à partir de la console Amazon EC2. Vérifiez la **IPv6 IPs**colonne du volet **Instances**. Vous pouvez également trouver l' IPv6 adresse dans la section des informations sur l'instance. Lorsque vous sélectionnez l’instance dans le volet **Instances** de la console Amazon EC2, les informations relatives à cette instance apparaissent dans la partie inférieure de la page. Dans l'onglet **Détails**, recherchez l'**IPv6adresse**.
Si vous préférez, vous pouvez utiliser les commandes [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) (AWS CLI) ou [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)(AWS Tools for Windows PowerShell). Pour plus d'informations sur IPv6, voir[IPv6 adresses](using-instance-addressing.md#ipv6-addressing).
+ **((Instances Linux) Obtenez le nom d’utilisateur de votre instance.**
Vous pouvez vous connecter à votre instance en utilisant le nom d’utilisateur de votre compte utilisateur ou le nom d’utilisateur par défaut de l’AMI que vous avez utilisée pour lancer votre instance.
+ **Obtenez le nom d’utilisateur de votre compte utilisateur.**
Pour plus d’informations sur la création d’un compte utilisateur, consultez [Gérez les utilisateurs du système sur votre instance Amazon EC2 Linux](managing-users.md).
+ **Obtenez le nom d’utilisateur par défaut de l’AMI que vous avez utilisé pour lancer votre instance.**
+ **Amazon Linux** – `ec2-user`
+ **CentOS** – `centos` ou `ec2-user`
+ **Debian** – `admin`
+ **Fedora** – `fedora` ou `ec2-user`
+ **FreeBSD —** `ec2-user`
+ **RHEL** – `ec2-user` ou `root`
+ **SUSE** – `ec2-user` ou `root`
+ **Ubuntu** – `ubuntu`
+ **Oracle** – `ec2-user`
+ **Bitnami** – `bitnami`
+ **Rocky Linux** – `rocky`
+ **Autre** – Vérifiez auprès du fournisseur de l’AMI
## Localisation de la clé privée et définition des autorisations
Vous devez connaître l’emplacement de votre fichier de clé privée pour établir la connexion initiale à une instance Linux à l’aide de SSH ou à une instance Windows à l’aide de RDP. Pour les connexions SSH, vous devez définir les autorisations du fichier de manière à ce que vous soyez le seul à pouvoir lire la clé privée.
Pour plus d’informations sur le fonctionnement des paires de clés lors de l’utilisation d’Amazon EC2, consultez [Paires de clés Amazon EC2 et instances Amazon EC2](ec2-key-pairs.md).
+ **Rechercher la clé privée.**
Vous aurez besoin du chemin d’accès qualifié complet à l’emplacement sur votre ordinateur du fichier `.pem` pour la paire de clés que vous avez spécifiée lorsque vous avez lancé l’instance. Pour de plus amples informations, veuillez consulter [Identifier la clé publique spécifiée au lancement](describe-keys.md#identify-key-pair-specified-at-launch).
Si vous ne trouvez pas votre fichier de clé privée, consultez [J’ai perdu ma clé privée. Comment puis-je me connecter à mon instance ?](TroubleshootingInstancesConnecting.md#replacing-lost-key-pair)
(Instances Linux) Si vous vous connectez à votre instance à l’aide de PuTTY et que vous devez convertir le fichier `.pem` en `.ppk`, consultez [Convertissez votre clé privée en utilisant Pu TTYgen](connect-linux-inst-from-windows.md#putty-private-key).
+ **(Instances Linux) Définissez les autorisations de votre clé privée de manière à ce que vous soyez le seul à pouvoir la lire.**
+ **Connexion à partir de macOS ou Linux**
Si vous prévoyez d’utiliser un client SSH sur un ordinateur macOS ou Linux pour vous connecter à votre instance Linux, utilisez la commande suivante pour définir les autorisations de votre fichier de clé privée afin d’être la seule personne autorisée à le lire.
```
chmod 400 key-pair-name.pem
```
Si vous ne définissez pas ces autorisations, vous ne pouvez pas vous connecter à votre instance à l’aide de cette paire de clés. Pour de plus amples informations, veuillez consulter [Erreur : fichier de clé privée non protégé](TroubleshootingInstancesConnecting.md#troubleshoot-unprotected-key).
+ **Connexion à partir de Windows**
Ouvrez l’Explorateur de fichiers et cliquez avec le bouton droit sur le fichier `.pem`. Sélectionnez **Propriétés** > l’**onglet Sécurité** et choisissez **Avancé**. Choisissez **Désactiver l’héritage**. Supprimez l’accès à tous les utilisateurs à l’exception de l’utilisateur actuel.
## (Facultatif) Obtenez l’empreinte digitale de l’instance
Pour vous protéger des man-in-the-middle attaques, vous pouvez vérifier l'authenticité de l'instance à laquelle vous êtes sur le point de vous connecter en vérifiant l'empreinte digitale affichée. La vérification de l’empreinte digitale est utile si vous avez lancé votre instance à partir d’une AMI publique fournie par un tiers.
**Présentation de la tâche**
Tout d’abord, obtenez l’empreinte digitale de l’instance. Ensuite, lorsque vous vous connectez à l’instance et que vous êtes invité à vérifier l’empreinte digitale, comparez l’empreinte digitale que vous avez obtenue au cours de cette procédure avec l’empreinte digitale affichée. Si les empreintes digitales ne correspondent pas, quelqu'un est peut-être en train de tenter une man-in-the-middle attaque. Si elles correspondent, vous pouvez vous connecter à votre instance en toute confiance.
**Conditions préalables pour obtenir l’empreinte digitale de l’instance**
+ L’instance ne doit pas être dans l’état `pending`. L’empreinte digitale n’est disponible qu’une fois le premier démarrage de l’instance terminé.
+ Vous devez être le propriétaire de l’instance pour obtenir la sortie de la console.
+ Il existe plusieurs façons d’obtenir l’empreinte digitale de l’instance. Si vous souhaitez utiliser l’ AWS CLI, celle-ci doit être installée sur votre ordinateur local. Pour plus d'informations sur l'installation du AWS CLI, reportez-vous à la section [Getting started with the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
**Pour obtenir l’empreinte digitale de l’instance**
À l’étape 1, vous obtenez la sortie de la console, qui comprend l’empreinte de l’instance. À l’étape 2, vous trouverez l’empreinte de l’instance dans la sortie de la console.
1. Obtenez la sortie de la console à l’aide de l’une des méthodes suivantes.
------
#### [ Console ]
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le navigateur de gauche, choisissez **Instances**.
1. Sélectionnez votre instance, puis choisissez **Actions**, **Surveiller et résoudre les problèmes**, **Obtenir le journal du système**.
------
#### [ AWS CLI ]
Sur votre ordinateur local (et non sur l'instance à laquelle vous vous connectez), utilisez la [get-console-output](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-console-output.html)commande. Si la sortie est volumineuse, [vous pouvez la diriger vers un fichier texte](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-output-format.html) où elle sera peut-être plus facile à lire.
```
aws ec2 get-console-output \
--instance-id i-1234567890abcdef0 \
--query Output \
--output text > temp.txt
```
------
#### [ PowerShell ]
Sur votre ordinateur local, utilisez l'[Get-EC2ConsoleOutput](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ConsoleOutput.html)applet de commande suivante.
```
$encodedOutput = (Get-EC2ConsoleOutput -InstanceId i-1234567890abcdef0).Output
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedOutput))
```
------
1. Dans la sortie de la console, trouvez l’empreinte de l’instance (hôte), qui se trouve sous `BEGIN SSH HOST KEY FINGERPRINTS`. Il peut y avoir plusieurs empreintes d’instance. Lorsque vous vous connectez à votre instance, elle n’affichera qu’une seule de ces empreintes.
La sortie exacte peut varier selon le système d’exploitation, la version AMI et si AWS a créé la clé. Voici un exemple de sortie.
```
ec2:#############################################################
ec2: -----BEGIN SSH HOST KEY FINGERPRINTS-----
ec2: 256 SHA256:l4UB/neBad9tvkgJf1QZWxheQmR59WgrgzEimCG6kZY no comment (ECDSA)
ec2: 256 SHA256:kpEa+rw/Uq3zxaYZN8KT501iBtJOIdHG52dFi66EEfQ no comment (ED25519)
ec2: 2048 SHA256:L8l6pepcA7iqW/jBecQjVZClUrKY+o2cHLI0iHerbVc no comment (RSA)
ec2: -----END SSH HOST KEY FINGERPRINTS-----
ec2: #############################################################
```
**Note**
Vous ferez référence à cette empreinte lorsque vous vous connecterez à l’instance.
# Se connecter à votre instance Linux à l’aide de SSH
Vous pouvez vous connecter à votre instance Linux à l’aide de SSH de différentes manières. Certaines dépendent du système d’exploitation de l’ordinateur local à partir duquel vous vous connectez. D'autres méthodes sont basées sur un navigateur, telles que Instance EC2 Connect ou AWS Systems Manager Session Manager, et peuvent être utilisées depuis n'importe quel ordinateur. Vous pouvez utiliser SSH pour vous connecter à votre instance Linux et exécuter des commandes, ou pour transférer des fichiers entre votre ordinateur local et votre instance.
Avant de vous connecter à votre instance Linux à l’aide de SSH, vous devez remplir les conditions préalables suivantes :
+ Vérifiez que votre instance a réussi les contrôles de statut. Il peut s’écouler quelques minutes avant qu’une instance soit prête à accepter des demandes de connexion. Pour de plus amples informations, veuillez consulter [Afficher les vérifications de statut](viewing_status.md).
+ Vérifiez que le groupe de sécurité associé à votre instance autorise le trafic SSH entrant à partir de votre adresse IP. Pour de plus amples informations, veuillez consulter [Règles pour la connexion à des instances à partir de votre ordinateur](security-group-rules-reference.md#sg-rules-local-access).
+ [Obtenir les détails de l’instance requise](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Localisation de la clé privée et définition des autorisations](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Facultatif) Obtenez l’empreinte digitale de l’instance](connection-prereqs-general.md#connection-prereqs-fingerprint).
Choisissez ensuite l’une des options suivantes pour vous connecter à votre instance Linux à l’aide de SSH.
+ [Se connecter à l’aide d’un client SSH](connect-linux-inst-ssh.md)
+ [Connexion à l’aide de PuTTY](connect-linux-inst-from-windows.md)
+ [Transférez des fichiers à l’aide de SCP](linux-file-transfer-scp.md)
Si vous ne parvenez pas à vous connecter à votre instance et que vous avez besoin d’aide pour résoudre le problème, consultez la section [Résoudre les problèmes de connexion à votre instance Amazon EC2 Linux](TroubleshootingInstancesConnecting.md).
# Connexion à votre instance Linux à l’aide d’un client SSH
Vous pouvez utiliser Secure Shell (SSH) pour vous connecter à votre instance Linux depuis votre ordinateur local. Pour plus d’informations sur les autres options, consultez [Connectez-vous à votre instance EC2](connect.md).
**Note**
Si vous recevez un message d’erreur lorsque vous tentez de vous connecter à votre instance, assurez-vous que celle-ci répond à toutes les [Conditions préalables pour la connexion SSH](#ssh-prereqs-linux-from-linux-macos). Si elle répond à toutes les conditions préalables et que vous ne parvenez toujours pas à vous connecter à votre instance Linux, veuillez consulter la rubrique [Résoudre les problèmes de connexion à votre instance Amazon EC2 Linux](TroubleshootingInstancesConnecting.md).
**Topics**
+ [Conditions préalables pour la connexion SSH](#ssh-prereqs-linux-from-linux-macos)
+ [Connexion à votre instance Linux à l’aide d’un client SSH](#connect-linux-inst-sshClient)
## Conditions préalables pour la connexion SSH
Avant de pouvoir vous connecter à votre instance Linux à l’aide de SSH, vous devez effectuer les tâches suivantes.
**Remplissez les conditions préalables générales.**
+ Vérifiez que votre instance a réussi les contrôles de statut. Il peut s’écouler quelques minutes avant qu’une instance soit prête à accepter des demandes de connexion. Pour de plus amples informations, veuillez consulter [Afficher les vérifications de statut](viewing_status.md).
+ [Obtenir les détails de l’instance requise](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Localisation de la clé privée et définition des autorisations](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Facultatif) Obtenez l’empreinte digitale de l’instance](connection-prereqs-general.md#connection-prereqs-fingerprint).
**Autorisez le trafic SSH entrant à partir de votre adresse IP.**
Vérifiez que le groupe de sécurité associé à votre instance autorise le trafic SSH entrant à partir de votre adresse IP. Pour de plus amples informations, veuillez consulter [Règles pour la connexion à des instances à partir de votre ordinateur](security-group-rules-reference.md#sg-rules-local-access).
**Installez un client SSH sur votre ordinateur local (si nécessaire).**
Un client SSH peut être installé par défaut sur votre ordinateur local. Vous pouvez le vérifier en entrant la commande suivante dans une fenêtre de terminal. Si votre ordinateur ne reconnaît pas la commande, vous devez installer un client SSH.
```
ssh
```
Voici quelques-unes des options possibles pour Windows. Si votre ordinateur utilise un système d’exploitation différent, consultez la documentation de ce système d’exploitation pour connaître les options du client SSH.
## Installer OpenSSH sous Windows
Après avoir installé OpenSSH sur Windows, vous pouvez vous connecter à votre instance Linux depuis votre ordinateur Windows à l’aide de SSH. Avant de commencer, assurez-vous que vous remplissez les conditions suivantes.
**Version Windows**
La version de Windows sur votre ordinateur doit être Windows Server 2019 ou une version ultérieure.
Pour les versions antérieures de Windows, téléchargez et installez [Win32-OpenSSH](https://github.com/PowerShell/Win32-OpenSSH/wiki) à la place.
**PowerShell exigences**
Pour installer OpenSSH sur votre système d'exploitation Windows à PowerShell l'aide de la version 5.1 ou ultérieure, et votre compte doit être membre du groupe d'administrateurs intégré. PowerShell Exécutez PowerShell à `$PSVersionTable.PSVersion` partir de pour vérifier votre PowerShell version.
Pour vérifier si vous êtes membre du groupe d'administrateurs intégré, exécutez la PowerShell commande suivante :
```
(New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)
```
Si vous êtes membre du groupe d’administrateurs intégré, le résultat est `True`.
Pour installer OpenSSH pour Windows à l' PowerShellaide de, exécutez la commande suivante. PowerShell
```
Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
```
Voici un exemple de sortie.
```
Path :
Online : True
RestartNeeded : False
```
Pour désinstaller OpenSSH de Windows à l' PowerShellaide de, exécutez la commande suivante. PowerShell
```
Remove-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
```
Voici un exemple de sortie.
```
Path :
Online : True
RestartNeeded : True
```
## Installer le sous-système Windows pour Linux (WSL)
Après avoir installé le WSL sur Windows, vous pouvez vous connecter à votre instance Linux depuis votre ordinateur Windows à l’aide d’outils de ligne de commande Linux, tels qu’un client SSH.
Suivez les instructions de la section [Installer le sous-système Windows pour Linux sur votre instance EC2 Windows](install-wsl-on-ec2-windows-instance.md). Si vous suivez les instructions du guide d’installation de Microsoft, celui-ci installe la distribution Linux Ubuntu. Vous pouvez installer une autre distribution Linux si vous le souhaitez.
Dans une fenêtre de terminal WSL, copiez le fichier `.pem` (pour la paire de clés que vous avez indiquée pour votre instance lors du lancement) de Windows vers WSL. Notez le chemin d’accès qualifié complet vers le fichier `.pem` sur WSL à utiliser lors de la connexion à votre instance. Pour plus d’informations sur la façon de spécifier le chemin vers votre disque dur Windows, consultez [How do I access my C drive ?](https://learn.microsoft.com/en-us/windows/wsl/faq#how-do-i-access-my-c--drive-).
```
cp /mnt//path/my-key-pair.pem ~/WSL-path/my-key-pair.pem
```
Pour plus d’informations sur la façon de désinstaller Windows Subsystem pour Linux, consultez [How do I uninstall a WSL Distribution ?](https://learn.microsoft.com/en-us/windows/wsl/faq#how-do-i-uninstall-a-wsl-distribution-).
## Connexion à votre instance Linux à l’aide d’un client SSH
Utilisez la procédure suivante pour vous connecter à votre instance Linux à l’aide d’un client SSH.
**Pour vous connecter à votre instance à l’aide d’un client SSH**
1. Ouvrez une fenêtre de terminal sur votre ordinateur.
1. Utilisez la commande **ssh** pour vous connecter à l’instance. Vous avez besoin des détails concernant votre instance que vous avez recueillis dans le cadre des conditions préalables. Par exemple, vous avez besoin de l'emplacement de la clé privée (`.pem`fichier), du nom d'utilisateur et du nom ou de l' IPv6 adresse DNS publics. Voici quelques exemples de commandes.
+ (DNS public) Pour utiliser le nom DNS public, saisissez la commande suivante.
```
ssh -i /path/key-pair-name.pem instance-user-name@instance-public-dns-name
```
+ (IPv6) Sinon, si votre instance possède une IPv6 adresse, entrez la commande suivante pour utiliser l' IPv6 adresse.
```
ssh -i /path/key-pair-name.pem instance-user-name@2001:db8::1234:5678:1.2.3.4
```
Voici un exemple de réponse.
```
The authenticity of host 'ec2-198-51-100-1.compute-1.amazonaws.com (198-51-100-1)' can't be established.
ECDSA key fingerprint is l4UB/neBad9tvkgJf1QZWxheQmR59WgrgzEimCG6kZY.
Are you sure you want to continue connecting (yes/no)?
```
1. (Facultatif) Vérifiez que l’empreinte digitale figurant dans l’alerte de sécurité correspond à l’empreinte digitale. Si ces empreintes ne correspondent pas, il se peut que quelqu'un tente une man-in-the-middle attaque. Si elles correspondent, passez à l’étape suivante. Pour plus d’informations, consultez la section [Obtenir l’empreinte de l’instance](connection-prereqs-general.md#connection-prereqs-fingerprint).
1. Saisissez **yes**.
Vous verrez une réponse telle que celle ci-après:
```
Warning: Permanently added 'ec2-198-51-100-1.compute-1.amazonaws.com' (ECDSA) to the list of known hosts.
```
# Connectez-vous à votre instance Linux à l’aide de PuTTY
Vous pouvez vous connecter à votre instance Linux à l’aide de PuTTY, un client SSH gratuit pour Windows.
Si vous exécutez Windows Server 2019 ou une version ultérieure, nous vous recommandons d’utiliser OpenSSH, un outil de connectivité en libre accès pour la connexion à distance à l’aide du protocole SSH.
**Note**
Si vous recevez un message d’erreur lorsque vous tentez de vous connecter à votre instance, assurez-vous que celle-ci répond à toutes les [Conditions préalables pour la connexion SSH](connect-linux-inst-ssh.md#ssh-prereqs-linux-from-linux-macos). Si elle répond à toutes les conditions préalables et que vous ne parvenez toujours pas à vous connecter à votre instance Linux, veuillez consulter la rubrique [Résoudre les problèmes de connexion à votre instance Amazon EC2 Linux](TroubleshootingInstancesConnecting.md).
**Topics**
+ [Conditions préalables](#putty-prereqs)
+ [Convertissez votre clé privée en utilisant Pu TTYgen](#putty-private-key)
+ [Connectez-vous à votre instance Linux](#putty-ssh)
## Conditions préalables
Avant de vous connecter à votre instance Linux à l’aide de PuTTY, effectuez les tâches suivantes.
**Respectez les conditions préalables générales.**
+ Vérifiez que votre instance a réussi les contrôles de statut. Il peut s’écouler quelques minutes avant qu’une instance soit prête à accepter des demandes de connexion. Pour de plus amples informations, veuillez consulter [Afficher les vérifications de statut](viewing_status.md).
+ [Obtenir les détails de l’instance requise](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Localisation de la clé privée et définition des autorisations](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Facultatif) Obtenez l’empreinte digitale de l’instance](connection-prereqs-general.md#connection-prereqs-fingerprint).
**Autorisez le trafic SSH entrant à partir de votre adresse IP.**
Vérifiez que le groupe de sécurité associé à votre instance autorise le trafic SSH entrant à partir de votre adresse IP. Pour de plus amples informations, veuillez consulter [Règles pour la connexion à des instances à partir de votre ordinateur](security-group-rules-reference.md#sg-rules-local-access).
**Installez PuTTY sur votre ordinateur local (si nécessaire).**
Téléchargez et installez PuTTY à partir de la [page de téléchargement PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/). Si une version antérieure de PuTTY est installée, nous vous recommandons de télécharger la dernière version. Assurez-vous d’installer toute la suite.
**Convertissez votre clé privée au format PPK à l'aide de Pu. TTYgen**
Vous devez indiquer la clé privée pour la paire de clés que vous avez indiquée lors du lancement de l’instance. Si vous avez créé la clé privée au format .pem, vous devez la convertir en fichier PPK pour l’utiliser avec PuTTY. Localisez la clé privée (fichier .pem), puis suivez les étapes décrites dans la section [Convertissez votre clé privée en utilisant Pu TTYgen](#putty-private-key).
## (Facultatif) Convertissez votre clé privée en utilisant Pu TTYgen
PuTTY ne prend pas en charge de manière native le format PEM pour les clés SSH. PuTTY fournit un outil nommé PuTTYgen, qui convertit les clés PEM au format PPK requis pour PuTTY. Si vous avez créé la clé en utilisant le format PEM au lieu du format PPK, vous devez convertir votre clé privée (fichier .pem) dans ce format (fichier .ppk) afin de pouvoir l’utiliser avec PuTTY.
**Pour convertir votre clé privée du format PEM au format PPK**
1. **Dans le menu **Démarrer**, choisissez **Tous les programmes**, **PuTTY**, Pu. TTYgen**
1. Sous **Type of key to generate** (Type de clé à générer), sélectionnez **RSA**. Si votre version de Pu TTYgen n'inclut pas cette option, choisissez **SSH-2** RSA.
![\[Clé RSA en PU. TTYgen\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/puttygen-key-type.png)
1. Choisissez **Charger**. Par défaut, Pu TTYgen affiche uniquement les fichiers portant l'extension`.ppk`. Pour trouver votre fichier `.pem`, choisissez l’option permettant d’afficher tous les types de fichiers.
![\[Sélectionnez tous les types de fichiers.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/puttygen-load-key.png)
1. Sélectionnez votre fichier `.pem` pour la paire de clés que vous avez spécifiée lorsque vous avez lancé votre instance, puis choisissez **Ouvrir**. Pu TTYgen affiche un message indiquant que le `.pem` fichier a été importé avec succès. Choisissez **OK**.
1. Pour enregistrer la clé privée dans un format qui peut être utilisé avec PuTTY, choisissez **Enregistrer clé privée**. Pu TTYgen affiche un avertissement concernant l'enregistrement de la clé sans phrase secrète. Choisissez **Oui**.
**Note**
La phrase secrète d’une clé privée constitue une couche supplémentaire de protection. Même si votre clé privée est découverte, elle ne peut pas être utilisée sans la phrase secrète. Le désavantage d’une phrase secrète est qu’elle rend l’automatisation plus difficile, car l’intervention humaine est nécessaire pour se connecter à une instance, ou copier des fichiers vers une instance.
1. Spécifiez le même nom pour la clé que celui que vous avez utilisé pour la paire de clés (par exemple, `key-pair-name`) et choisissez **Enregistrer**. PuTTY ajoute automatiquement l’extension de fichier `.ppk`.
Votre clé privée est désormais dans bon format pour être utilisée avec PuTTY. Vous pouvez désormais vous connecter à votre instance en utilisant le client SSH de PuTTY.
## Connectez-vous à votre instance Linux
Utilisez la procédure suivante pour vous connecter à votre instance Linux à l’aide de PuTTY. Vous aurez besoin du fichier `.ppk` que vous avez créé pour votre clé privée. Pour plus d’informations, consultez [(Facultatif) Convertissez votre clé privée en utilisant Pu TTYgen](#putty-private-key) dans la section précédente. Si vous recevez une erreur lors d’une tentative de connexion à votre instance, consultez [Résoudre les problèmes de connexion à votre instance Amazon EC2 Linux](TroubleshootingInstancesConnecting.md).
**Dernière version testée** : PuTTY .78
**Pour vous connecter à votre instance à l’aide de PuTTY**
1. Démarrez PuTTY (dans le menu **Démarrer**, recherchez **PuTTY**, puis choisissez **Ouvrir**).
1. Dans le volet **Catégorie**, Choisissez **Session** et complétez les champs suivants :
1. Dans la zone **Host Name (Nom d’hôte)**, effectuez l’une des opérations suivantes :
+ (DNS public) Pour vous connecter à l'aide du nom DNS public de votre instance, entrez *instance-user-name*@*instance-public-dns-name*.
+ (IPv6) Sinon, si votre instance possède une IPv6 adresse, pour vous connecter à l'aide de l' IPv6 adresse de votre instance, entrez *instance-user-name* @*2001:db8::1234:5678:1.2.3.4*.
Pour plus d'informations sur la façon d'obtenir le nom d'utilisateur de votre instance, ainsi que le nom ou l' IPv6 adresse DNS publics de votre instance, consultez[Obtenir les détails de l’instance requise](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
1. Vérifiez que **Port** a pour valeur 22.
1. Sous **Type de connexion**, sélectionnez **SSH**.
![\[Configuration de PuTTY – Session.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/putty-session-config.png)
1. (Facultatif) Vous pouvez configurer PuTTY pour envoyer automatiquement des données « keepalive » à intervalles réguliers afin de garder votre session active. Cela est particulièrement utile et vous évite de vous déconnecter de votre instance en raison de l’inactivité de la session. Dans le volet **Catégorie**, choisissez **Connexion**, puis entrez l’intervalle requis dans le champ **Secondes écoulées entre les paquets keepalive**. Par exemple, si votre session se déconnecte après 10 minutes d’inactivité, entrez 180 pour configurer PuTTY pour envoyer des données keepalive toutes les 3 minutes.
1. Dans le volet **Catégorie**, développez **Connexion**, **SSH**, puis choisissez **Auth**. Choisissez **Informations d’identification**.
1. À côté de **Fichier de clé privée pour l’authentification**, choisissez **Parcourir**. Dans la boîte de dialogue **Sélectionner le fichier de clé privée**, sélectionnez le fichier `.ppk` que vous avez généré pour votre paire de clés. Vous pouvez soit double-cliquer sur le fichier, soit choisir **Ouvrir** dans la boîte de dialogue **Sélectionner un fichier de clé privée**.
1. (Facultatif) Si vous comptez vous reconnecter à cette instance après cette session, vous pouvez enregistrer les informations correspondantes pour les utiliser à l’avenir. Dans le volet **Catégorie**, choisissez **Session**. Saisissez un nom pour la session dans **Sessions enregistrées**, puis choisissez **Enregistrer**.
1. Pour vous connecter à l’instance, choisissez **Ouvrir**.
1. S’il s’agit de votre première connexion à cette instance, PuTTY affiche une boîte de dialogue d’alerte de sécurité qui vous demande si vous faites confiance à l’hôte auquel vous vous connectez.
1. (Facultatif) Vérifiez que l’empreinte dans la boîte de dialogue d’alerte de sécurité correspond à l’empreinte que vous avez obtenue précédemment dans [(Facultatif) Obtenez l’empreinte digitale de l’instance](connection-prereqs-general.md#connection-prereqs-fingerprint). Si ces empreintes ne correspondent pas, quelqu'un est peut-être en train de tenter une attaque « man-in-the-middle ». Si elles correspondent, passez à l’étape suivante.
1. Choisissez **Accepter**. Une fenêtre s’ouvre et vous êtes connecté à votre instance.
**Note**
Si vous avez spécifié une phrase de passe lorsque vous avez converti votre clé privée au format PuTTY, vous devez fournir cette phrase de passe au moment de la connexion à l’instance.
Si vous recevez une erreur lors d’une tentative de connexion à votre instance, consultez [Résoudre les problèmes de connexion à votre instance Amazon EC2 Linux](TroubleshootingInstancesConnecting.md).
# Transférez des fichiers vers une instance Linux à l’aide de SCP
Le transfert de fichiers entre votre ordinateur local et une instance Linux peut se faire en le protocole de copie sécurisée (SCP). SCP est une bonne option pour les opérations simples, telles que les copies de fichiers uniques. SCP sécurise les transferts de fichiers à l’aide du même fichier .pem que celui que vous utilisez pour vous connecter à une instance via SSH. Si vous devez garder les fichiers synchronisés, ou s’ils sont volumineux, **rsync** est plus rapide et plus efficace que SCP. Pour des raisons de sécurité, utilisez **rsync** sur SSH, car **rsync** transfère les données en utilisant du texte brut par défaut.
Avant de vous connecter à votre instance Linux à l’aide de SCP, effectuez les tâches suivantes :
+ **Remplir les conditions préalables générales.**
+ Vérifiez que votre instance a réussi les contrôles de statut. Il peut s’écouler quelques minutes avant qu’une instance soit prête à accepter des demandes de connexion. Pour de plus amples informations, veuillez consulter [Afficher les vérifications de statut](viewing_status.md).
+ [Obtenir les détails de l’instance requise](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Localisation de la clé privée et définition des autorisations](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Facultatif) Obtenez l’empreinte digitale de l’instance](connection-prereqs-general.md#connection-prereqs-fingerprint).
+ **Autorisez le trafic SSH entrant à partir de votre adresse IP.**
Vérifiez que le groupe de sécurité associé à votre instance autorise le trafic SSH entrant à partir de votre adresse IP. Pour de plus amples informations, veuillez consulter [Règles pour la connexion à des instances à partir de votre ordinateur](security-group-rules-reference.md#sg-rules-local-access).
+ **Installer un client SCP.**
La plupart des ordinateurs Linux, Unix et Apple comporte un client SCP par défaut. Si ce n’est pas le cas pour le vôtre, le projet OpenSSH offre une implémentation gratuite de l’ensemble de la suite d’outils SSH, notamment un client SCP. Pour de plus amples informations, veuillez consulter [https://www.openssh.com](https://www.openssh.com).
La procédure suivante vous explique comment utiliser le SCP pour transférer un fichier en utilisant le nom DNS public de l'instance, ou l' IPv6 adresse si votre instance en possède un.
**Pour utiliser SCP pour transférer des fichiers entre votre ordinateur et votre instance**
1. Déterminez l’emplacement du fichier source sur votre ordinateur et le chemin d’accès de destination sur l’instance. Dans les exemples suivants, le nom du fichier de clé privée est`key-pair-name.pem`, le fichier à transférer est`my-file.txt`, le nom d'utilisateur de l'instance estec2-user, le nom DNS public de l'instance est `instance-public-dns-name` et l' IPv6 adresse de l'instance est`2001:db8::1234:5678:1.2.3.4`.
+ (DNS public) Pour transférer un fichier vers la destination de l’instance, entrez la commande suivante à partir de votre ordinateur.
```
scp -i /path/key-pair-name.pem /path/my-file.txt ec2-user@instance-public-dns-name:path/
```
+ (IPv6) Pour transférer un fichier vers la destination sur l'instance si celle-ci possède une IPv6 adresse, entrez la commande suivante depuis votre ordinateur. L' IPv6 adresse doit être placée entre crochets (`[ ]`), qui doivent être exclus (`\`).
```
scp -i /path/key-pair-name.pem /path/my-file.txt ec2-user@\[2001:db8::1234:5678:1.2.3.4\]:path/
```
1. Si vous ne vous êtes pas encore connecté à l’instance à l’aide de SSH, la réponse suivante devrait s’afficher :
```
The authenticity of host 'ec2-198-51-100-1.compute-1.amazonaws.com (10.254.142.33)'
can't be established.
RSA key fingerprint is 1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f.
Are you sure you want to continue connecting (yes/no)?
```
(Facultatif) Vous pouvez vérifier si l’empreinte digitale de l’alerte de sécurité correspond à l’empreinte digitale de l’instance. Pour plus d’informations, consultez [(Facultatif) Obtenez l’empreinte digitale de l’instance](connection-prereqs-general.md#connection-prereqs-fingerprint).
Saisissez **yes**.
1. Si le transfert réussit, la réponse est semblable à la suivante :
```
Warning: Permanently added 'ec2-198-51-100-1.compute-1.amazonaws.com' (RSA)
to the list of known hosts.
my-file.txt 100% 480 24.4KB/s 00:00
```
1. Pour transférer un fichier dans l'autre sens (de votre EC2 instance Amazon vers votre ordinateur), inversez l'ordre des paramètres de l'hôte. Par exemple, vous pouvez effectuer un transfert `my-file.txt` de votre EC2 instance vers une destination sur votre ordinateur local`my-file2.txt`, comme indiqué dans les exemples suivants.
+ (DNS public) Pour transférer un fichier vers une destination sur votre ordinateur, entrez la commande suivante à partir de votre ordinateur.
```
scp -i /path/key-pair-name.pem ec2-user@instance-public-dns-name:path/my-file.txt path/my-file2.txt
```
+ (IPv6) Pour transférer un fichier vers une destination sur votre ordinateur si l'instance possède une IPv6 adresse, entrez la commande suivante depuis votre ordinateur. L' IPv6 adresse doit être placée entre crochets (`[ ]`), qui doivent être exclus (`\`).
```
scp -i /path/key-pair-name.pem ec2-user@\[2001:db8::1234:5678:1.2.3.4\]:path/my-file.txt path/my-file2.txt
```
# Gérez les utilisateurs du système sur votre instance Amazon EC2 Linux
Chaque type d’instance Linux est lancé avec un utilisateur du système Linux par défaut. Vous pouvez ajouter et supprimer des utilisateurs de votre instance.
Pour l’utilisateur par défaut, le [nom d’utilisateur par défaut](#ami-default-user-names) est déterminé par l’AMI qui a été précisée au moment du lancement de l’instance.
**Note**
Par défaut, l’authentification par mot de passe et la connexion racine sont désactivées, et sudo est activé. Pour vous connecter à votre instance, vous devez utiliser une paire de clés. Pour plus d’informations sur la connexion, consultez [Se connecter à votre instance Linux à l’aide de SSH](connect-to-linux-instance.md).
Vous pouvez autoriser l’authentification par mot de passe et la connexion racine pour votre instance. Pour plus d’informations, consultez la documentation de votre système d’exploitation.
**Note**
Les utilisateurs du système Linux ne doivent pas être confondus avec les utilisateurs IAM. Pour plus d’informations, consultez la section [IAM users](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_iam-users) (Utilisateurs IAM) dans le *IAM User Guide* (Guide de l’utilisateur IAM).
**Topics**
+ [Noms d’utilisateur par défaut](#ami-default-user-names)
+ [Considérations](#add-user-best-practice)
+ [Créez un utilisateur](#create-user-account)
+ [Supprimer un utilisateur](#delete-user-account)
## Noms d’utilisateur par défaut
Le nom d'utilisateur par défaut de votre EC2 instance est déterminé par l'AMI spécifiée lors du lancement de l'instance.
Les noms d’utilisateur par défaut sont :
+ Pour une AMI Amazon Linux, le nom utilisateur est `ec2-user`.
+ Pour une AMI CentOS, le nom d’utilisateur est `centos` ou `ec2-user`.
+ Pour une AMI Debian, le nom d’utilisateur est `admin`.
+ Pour une AMI Fedora, le nom d’utilisateur est `fedora` ou `ec2-user`.
+ Pour une AMI FreeBSD, le nom d’utilisateur est `ec2-user`.
+ Pour une AMI RHEL, le nom d’utilisateur est `ec2-user` ou `root`.
+ Pour une AMI SUSE, le nom d’utilisateur est `ec2-user` ou `root`.
+ Pour une AMI Ubuntu, le nom utilisateur est `ubuntu`.
+ Pour une AMI Oracle, le nom d’utilisateur est `ec2-user`.
+ Pour une AMI Bitnami, le nom d’utilisateur est `bitnami`.
**Note**
Pour trouver le nom d'utilisateur par défaut pour d'autres distributions Linux, consultez le fournisseur de l'AMI.
## Considérations
L’utilisation de l’utilisateur par défaut convient à de nombreuses applications. Toutefois, vous pouvez décider d’ajouter des utilisateurs afin que les individus puissent disposer de leurs propres fichiers et espaces de travail. Par ailleurs, la création d’utilisateurs pour de nouveaux utilisateurs est beaucoup plus sécurisée que l’octroi à plusieurs utilisateurs (probablement inexpérimentés) de l’accès à l’utilisateur par défaut, car l’utilisateur par défaut peut engendrer beaucoup de dommages à un système lorsqu’il est mal utilisé. Pour plus d'informations, consultez la section [Conseils pour sécuriser votre EC2 instance](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/).
Pour permettre aux utilisateurs d'accéder par SSH à votre EC2 instance à l'aide d'un utilisateur du système Linux, vous devez partager la clé SSH avec l'utilisateur. Vous pouvez également utiliser EC2 Instance Connect pour fournir un accès aux utilisateurs sans avoir à partager et à gérer les clés SSH. Pour de plus amples informations, veuillez consulter [Connexion à votre instance Linux à l’aide d’une adresse IP publique et d’EC2 Instance Connect](connect-linux-inst-eic.md).
## Créez un utilisateur
Créez d’abord l’utilisateur, puis ajoutez la clé publique SSH qui permet à l’utilisateur de se connecter à l’instance.
**Important**
À l'étape 1 de cette procédure, vous créez une nouvelle paire de clés. Étant donné qu'une paire de clés fonctionne comme un mot de passe, il est essentiel de la manipuler en toute sécurité. Si vous créez une paire de clés pour un utilisateur, vous devez veiller à ce que la clé privée lui soit envoyée de manière sécurisée. En revanche, l'utilisateur peut effectuer les étapes 1 et 2 en créant sa propre paire de clés, en conservant la clé privée en sécurité sur son ordinateur, puis en vous envoyant la clé publique pour effectuer la procédure à partir de l'étape 3.
**Pour créer un utilisateur**
1. [Créez une nouvelle paire de clés](create-key-pairs.md#having-ec2-create-your-key-pair). Vous devez fournir le fichier `.pem` à l’utilisateur pour lequel vous créez l’utilisateur. Ils doivent utiliser ce fichier pour se connecter à l’instance.
1. Récupérez la clé publique de la paire de clés que vous avez créée à l’étape précédente.
```
$ ssh-keygen -y -f /path_to_key_pair/key-pair-name.pem
```
La commande renvoie la clé publique, comme indiqué dans l’exemple suivant.
```
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6Vhz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXrlsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZqaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3RbBQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE
```
1. Connectez-vous à l’instance.
1. Utilisez la commande **adduser** pour créer l’utilisateur et l’ajouter au système (avec une entrée dans le fichier `/etc/passwd`). Cette commande crée également un groupe et un répertoire de base pour l’utilisateur. Dans cet exemple, l’utilisateur est nommé `newuser`.
+ AL2023 et Amazon Linux 2
Avec AL2 023 et Amazon Linux 2, l'utilisateur est créé avec l'authentification par mot de passe désactivée par défaut.
```
[ec2-user ~]$ sudo adduser newuser
```
+ Ubuntu
Incluez le paramètre `--disabled-password` pour créer l’utilisateur avec l’authentification par mot de passe désactivée.
```
[ubuntu ~]$ sudo adduser newuser --disabled-password
```
1. Passez au nouvel utilisateur afin que le répertoire et le fichier que vous créez aient le droit de propriété approprié.
```
[ec2-user ~]$ sudo su - newuser
```
L’invite passe de `ec2-user` à `newuser` pour indiquer que vous avez basculé de la session shell au nouvel utilisateur.
1. Ajoutez la clé publique SSH à l’utilisateur. Créez d’abord un répertoire dans le répertoire personnel de l’utilisateur pour le fichier de clé SSH, puis créez le fichier de clé, et enfin collez la clé publique dans le fichier de clé, conformément aux sous-étapes suivantes.
1. Créez un répertoire `.ssh` dans le répertoire de base `newuser` et modifiez ses autorisations de fichier en `700` (seul le propriétaire peut ouvrir le répertoire et y lire ou y écrire).
```
[newuser ~]$ mkdir .ssh
```
```
[newuser ~]$ chmod 700 .ssh
```
**Important**
Sans les autorisations de fichier exactes, l’utilisateur ne pourra pas se connecter.
1. Créez un fichier nommé `authorized_keys` dans le répertoire `.ssh` et modifiez ses autorisations de fichier en `600` (seul le propriétaire peut lire le fichier ou y écrire).
```
[newuser ~]$ touch .ssh/authorized_keys
```
```
[newuser ~]$ chmod 600 .ssh/authorized_keys
```
**Important**
Sans les autorisations de fichier exactes, l’utilisateur ne pourra pas se connecter.
1. Ouvrez le fichier `authorized_keys` avec votre éditeur de texte préféré (comme **vim** ou **nano**).
```
[newuser ~]$ nano .ssh/authorized_keys
```
Collez la clé publique que vous avez récupérée à l’ **étape 2** dans le fichier et enregistrez les modifications.
**Important**
Assurez-vous que vous collez la clé publique dans une ligne continue. La clé publique ne doit pas être divisée sur plusieurs lignes.
L’utilisateur doit pouvoir se connecter à l’utilisateur `newuser` de votre instance à l’aide de la clé privée qui correspond à la clé publique que vous avez ajoutée au fichier `authorized_keys`. Pour plus d’informations sur les différentes méthodes de connexion à une instance Linux, consultez [Se connecter à votre instance Linux à l’aide de SSH](connect-to-linux-instance.md).
## Supprimer un utilisateur
Si un utilisateur n’est plus nécessaire, vous pouvez supprimer cet utilisateur pour qu’il ne puisse plus être utilisé.
Utilisez la commande **userdel** pour supprimer l’utilisateur du système. Quand vous spécifiez le paramètre `-r`, le répertoire de base et le fichier temporaire des e-mails de l’utilisateur sont supprimés. Pour conserver le répertoire de base et le fichier temporaire des e-mails de l’utilisateur, omettez le paramètre `-r`.
```
[ec2-user ~]$ sudo userdel -r olduser
```
# Se connecter à votre instance Windows à l’aide de RDP
Vous pouvez vous connecter aux instances Amazon EC2 créées à partir de la plupart des Amazon Machine Images (AMIs) Windows à l'aide de Remote Desktop. Les services Bureau à distance emploient le protocole RDP (Remote Desktop) et vous permettent de vous connecter à l’instance et de l’utiliser comme s’il s’agissait d’un ordinateur physique (ordinateur local). Il est disponible sur la plupart des éditions de Windows et disponible pour Mac OS.
La licence pour le système d’exploitation Windows Server autorise deux connexions à distance simultanées à des fins administratives. La licence pour Windows Server est incluse dans le prix de votre instance Windows. Si vous avez besoin de plus de deux connexions à distance simultanées, vous devez acheter une licence de Services de bureau à distance (RDS). Si vous tentez une troisième connexion, une erreur se produit.
**Astuce**
Si vous devez vous connecter à votre instance afin de résoudre les problèmes de démarrage, de configuration réseau et d’autres problèmes liés aux instances créées sur le [système Nitro AWS](https://aws.amazon.com/ec2/nitro/), vous pouvez utiliser la [EC2 Serial Console pour les instances](ec2-serial-console.md).
**Topics**
+ [Connectez-vous à votre instance Windows à l’aide d’un client RDP](connect-rdp.md)
+ [Se connecter à une instance Windows à l’aide de Fleet Manager](connect-rdp-fleet-manager.md)
+ [Transférer des fichiers vers une instance Windows à l’aide de RDP](connect-to-linux-instanceWindowsFileTransfer.md)
# Connectez-vous à votre instance Windows à l’aide d’un client RDP
Vous pouvez vous connecter à votre instance Windows à l’aide d’un client RDP comme suit.
**Astuce**
Vous pouvez également vous connecter à votre instance Windows à l’aide du [gestionnaire de systèmes, du gestionnaire de flotte](connect-rdp-fleet-manager.md) ou du [point de terminaison de connexion à l’instance EC2](connect-with-ec2-instance-connect-endpoint.md).
## Conditions préalables
Vous devez remplir les conditions suivantes pour vous connecter à votre instance Windows à l’aide d’un client RDP.
+ **Remplissez les conditions préalables générales.**
+ Vérifiez que votre instance a réussi les contrôles de statut. Il peut s’écouler quelques minutes avant qu’une instance soit prête à accepter des demandes de connexion. Pour de plus amples informations, veuillez consulter [Afficher les vérifications de statut](viewing_status.md).
+ [Obtenir les détails de l’instance requise](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Localisation de la clé privée et définition des autorisations](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Facultatif) Obtenez l’empreinte digitale de l’instance](connection-prereqs-general.md#connection-prereqs-fingerprint).
+ **Installez un client RDP.**
+ (Windows) Windows inclut par défaut un client RDP. Pour vérifier, tapez **mstsc** dans une fenêtre d’invite de commande. Si votre ordinateur ne reconnaît pas cette commande, téléchargez l’[application Bureau à distance Microsoft](https://apps.microsoft.com/detail/9wzdncrfj3ps) depuis le Microsoft Store.
+ (macOS X) Téléchargez l’application [Windows pour Mac (anciennement appelée Microsoft Remote Desktop)](https://apps.apple.com/us/app/windows-app/id1295203466?mt=12) depuis le Mac App Store.
+ (Linux) Utilisez [Remmina](https://remmina.org/).
+ **Autorisez le trafic RDP entrant à partir de votre adresse IP.**
Assurez-vous que le groupe de sécurité associé à votre instance autorise le trafic RDP entrant à partir de votre adresse IP. Pour de plus amples informations, veuillez consulter [Règles pour la connexion à des instances à partir de votre ordinateur](security-group-rules-reference.md#sg-rules-local-access).
## Récupérer le mot de passe de l’administrateur
Si vous avez joint votre instance à un domaine, vous pouvez vous y connecter à l'aide des informations d'identification du domaine provenant de Directory Service. Sur l’écran de connexion du bureau à distance, au lieu d’utiliser le nom de l’ordinateur local et le mot de passe généré, utilisez le nom d’utilisateur complet de l’administrateur (par exemple, **corp.example.com\$1Admin**) et le mot de passe de ce compte.
Pour vous connecter à une instance Windows à l’aide de RDP, vous devez récupérer le mot de passe initial de l’administrateur et saisir ce mot de passe lorsque vous vous connectez à votre instance. Il faut quelques minutes après le lancement de l’instance pour que ce mot de passe soit disponible. Votre compte doit être autorisé à lancer l'[GetPasswordData](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetPasswordData.html)action. Pour de plus amples informations, veuillez consulter [Exemple de politiques pour contrôler l'accès à l'API Amazon EC2](ExamplePolicies_EC2.md).
Le nom d’utilisateur par défaut du compte administrateur dépend de la langue du système d’exploitation (OS) contenu dans l’AMI. Pour déterminer le nom d’utilisateur correct, identifiez la langue du système d’exploitation, puis choisissez le nom d’utilisateur correspondant. Par exemple, pour un système d’exploitation (OS) anglais, le nom d’utilisateur est `Administrator`, pour un système d’exploitation (OS) français, c’est `Administrateur`, et pour un système d’exploitation (OS) portugais, c’est `Administrador`. Si une version linguistique du système d’exploitation n’a pas de nom d’utilisateur dans la même langue, choisissez le nom d’utilisateur `Administrator (Other)`. Pour plus d’informations, consultez la section [Noms localisés pour le compte administrateur dans Windows](https://learn.microsoft.com/en-us/archive/technet-wiki/13813.localized-names-for-administrator-account-in-windows) sur le site Web de Microsoft.
**Pour récupérer le mot de passe initial de l’administrateur**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, choisissez **Instances**.
1. Sélectionnez l’instance, puis choisissez **Connecter**.
1. Sur la page **Se connecter à l’instance** choisissez l’onglet **Client RDP**.
1. Pour **Nom d’utilisateur**, choisissez le nom d’utilisateur par défaut pour le compte de l’administrateur. Le nom d’utilisateur que vous choisissez doit correspondre à la langue du système d’exploitation (OS) contenu dans l’AMI que vous avez utilisé pour lancer votre instance. S’il n’existe pas de nom d’utilisateur dans la même langue que votre système d’exploitation, choisissez **Administrateur (Autre)**.
1. Choisissez **Obtenir le mot de passe**.
1. Sur la page **Obtenir le mot de passe Windows**, procédez comme suit :
1. Choisissez **Télécharger le fichier de clé privée** et naviguez jusqu’au fichier de clé privée (`.pem`) que vous avez indiqué lorsque vous avez lancé l’instance. Sélectionnez le fichier, puis choisissez **Open (Ouvrir)** pour copier tout le contenu du fichier dans cette page.
1. Choisissez **Déchiffrer le mot de passe**. La page **Obtenir le mot de passe Windows** se ferme et le mot de passe administrateur par défaut de l’instance apparaît sous **Mot de passe**, remplaçant le lien **Obtenir le mot de passe** affiché précédemment.
1. Copiez le mot de passe et conservez-le en lieu sûr. Vous en aurez besoin pour vous connecter à l’instance.
## Connexion à votre instance Windows
La procédure suivante utilise le client de connexion au bureau à distance pour Windows (MSTSC). Si vous utilisez un autre client RDP, téléchargez le fichier RDP, puis consultez la documentation du client RDP pour connaître les étapes à suivre pour établir la connexion RDP.
**Pour se connecter à une instance Windows à l’aide d’un client RDP**
1. Sur la page **Se connecter à l’instance**, choisissez **Télécharger le fichier de bureau à distance**. Lorsque le téléchargement du fichier est terminé, cliquez sur **Annuler** pour revenir à la page **Instances**. Le fichier RDP est téléchargé dans votre dossier `Downloads`.
1. Exécutez `mstsc.exe` pour ouvrir le client RDP.
1. Développez **Afficher les options**, choisissez **Ouvrir**, puis sélectionnez le fichier .rdp dans votre dossier `Downloads`.
1. Par défaut, **Computer** est le nom IPv4 DNS public de l'instance et le **nom d'utilisateur** est le compte administrateur. Pour vous connecter à l'instance en utilisant IPv6 plutôt, remplacez le nom IPv4 DNS public de l'instance par son IPv6 adresse. Examinez les paramètres par défaut et modifiez-les si nécessaire.
1. Choisissez **Se connecter**. Si vous recevez un avertissement indiquant que le diffuseur de publication de la connexion à distance est inconnu, cliquez sur **Se connecter** pour continuer.
1. Saisissez le mot de passe que vous avez enregistré précédemment, puis sélectionnez **OK**.
1. En raison de la nature des certificat auto-signés, vous pouvez obtenir un avertissement indiquant que le certificat de sécurité ne peut pas être authentifié. Effectuez l’une des actions suivantes :
+ Si vous faites confiance au certificat, choisissez **Oui** pour vous connecter à votre instance.
+ [Windows] Avant de poursuivre, comparez l’empreinte du certificat avec la valeur du journal du système pour confirmer l’identité de l’ordinateur distant. Choisissez **Afficher le certificat** puis choisissez **Empreinte** dans l’onglet **Details**. Comparez cette valeur à celle de `RDPCERTIFICATE-THUMBPRINT` dans **Actions**, **Surveiller et résoudre les problèmes**, **Obtenir le journal du système**.
+ [Mac OS X] Avant de poursuivre, comparez l’empreinte digitale du certificat avec la valeur du journal système pour confirmer l’identité de l’ordinateur distant. Choisissez **Afficher le certificat**, développez **les détails**, puis choisissez **SHA1 Empreintes digitales**. Comparez cette valeur à celle de `RDPCERTIFICATE-THUMBPRINT` dans **Actions**, **Surveiller et résoudre les problèmes**, **Obtenir le journal du système**.
1. Si la connexion RDP est établie, le client RDP affiche l’écran de connexion Windows, puis le bureau Windows. Si vous recevez un message d’erreur à la place, consultez [Le service Bureau à distance ne peut pas se connecter à l’ordinateur distant](troubleshoot-connect-windows-instance.md#rdp-issues). Lorsque vous avez terminé la connexion RDP, vous pouvez fermer le client RDP.
## Configurer les comptes d’utilisateurs
Après vous être connecté à votre instance par le biais de RDP, nous vous recommandons d’effectuer les tâches suivantes :
+ Modifiez la valeur entrée par défaut pour le mot de passe administrateur. Il vous suffit de [modifier le mot de passe lorsque vous êtes connecté à l’instance elle-même](https://support.microsoft.com/en-us/windows/change-or-reset-your-windows-password-8271d17c-9f9e-443f-835a-8318c8f68b9c), comme avec n’importe quel autre Windows Server s’exécutant sur votre ordinateur.
+ Créez un autre utilisateur avec des privilèges d’administrateur sur l’instance. Il s’agit d’une protection si vous oubliez le mot de passe administrateur ou si vous rencontrez un problème avec le compte administrateur. Le nouvel utilisateur doit avoir l’autorisation d’accéder à l’instance à distance. Ouvrez **Propriétés** en faisant un clic droit sur l’icône **Ce PC** dans votre bureau Windows ou en ouvrant l’explorateur de fichiers et en sélectionnant **Propriétés**. Choisissez **Paramètres d’utilisation à distance**, puis **Sélectionnez des utilisateurs** pour ajouter l’utilisateur au groupe **Remote Desktop Users (Utilisateurs du bureau à distance)**.
![\[Fenêtre System Properties (Propriétés système).\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/windows-connect-properties-rdp.png)
# Se connecter à une instance Windows à l’aide de Fleet Manager
Vous pouvez utiliser Fleet Manager, une fonctionnalité de AWS Systems Manager, pour vous connecter à des instances Windows à l'aide du protocole RDP (Remote Desktop Protocol) et afficher jusqu'à quatre instances Windows sur la même page dans le AWS Management Console. Vous pouvez vous connecter à la première instance dans le bureau à distance de Fleet Manager directement à partir de la page **Instances** de la console Amazon EC2. Pour plus d’informations sur le gestionnaire de flotte, consultez la section [Connexion à une instance gérée à l’aide du Bureau à distance](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html) dans le *Guide de l’utilisateur AWS Systems Manager *.
Il n’est pas nécessaire d’autoriser spécifiquement le trafic RDP entrant depuis votre adresse IP si vous utilisez Fleet Manager pour vous connecter. Fleet Manager s’en charge pour vous.
**Conditions préalables**
Avant d’essayer de vous connecter à une instance à l’aide du gestionnaire de flotte, vous devez configurer votre environnement. Pour plus d’informations, consultez la section [Configuration de votre environnement ](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html#rdp-prerequisites) dans le *Guide de l’utilisateur AWS Systems Manager *.
**Pour se connecter à une instance Windows à l’aide du gestionnaire de flotte**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation de gauche, choisissez **Instances**.
1. Sélectionnez l’instance, puis choisissez **Connecter**.
1. Dans l’onglet **Client RDP**, pour **Type de connexion**, choisissez **Se connecter à l’aide du gestionnaire de flotte**.
1. Choisissez **Bureau à distance Fleet Manager**. Cela ouvre la page **Fleet Manager Remote Desktop** (Bureau à distance Fleet Manager) dans la console AWS Systems Manager .
1. Saisissez vos informations d’identification, puis choisissez **Se connecte**.
1. Si la connexion RDP est établie, le gestionnaire de flotte affiche le bureau Windows. Lorsque vous avez terminé la session, sélectionnez **Actions**, **Terminer la session**.
Pour plus d’informations, consultez la section [Connexion à une instance gérée par Windows Server à l’aide de Remote Desktop](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html) dans le *Guide de l’utilisateur AWS Systems Manager *.
# Transférer des fichiers vers une instance Windows à l’aide de RDP
Votre instance Windows vous permet d’effectuer les mêmes opérations que n’importe quel serveur Windows. Par exemple, vous pouvez transférer des fichiers entre une instance Windows et votre ordinateur local en utilisant la fonctionnalité de partage de fichiers locaux du logiciel Microsoft Remote Desktop Connection (RDP). Vous pouvez accéder aux fichiers locaux sur des disques durs, des lecteurs DVD, des lecteurs multimédia portables et des lecteurs réseau mappés.
Pour accéder à vos fichiers locaux à partir de vos instances Windows, vous devez activer la fonction de partage de fichiers locaux en mappant le lecteur de session à distance à votre lecteur local. Les étapes sont légèrement différentes selon que le système d’exploitation de votre ordinateur local est Windows ou macOS X.
Pour plus d’informations sur les conditions préalables à l’établissement d’une connexion à l’aide de RDP, consultez [Conditions préalables](connect-rdp.md#rdp-prereqs).
------
#### [ Windows ]
**Pour mapper le lecteur de session à distance à votre lecteur local sur votre ordinateur Windows local**
1. Ouvrez le client Connexion Bureau à distance.
1. Choisissez **Show Options**.
1. Ajoutez le nom d’hôte de l’instance au champ **Computer** (Ordinateur) et le nom d’utilisateur au champ **User name** (Nom d’utilisateur), comme suit :
1. Sous **Connection settings** (Paramètres de connexion), choisissez **Open…** (Ouvrir…), et accédez au fichier de raccourcis RDP que vous avez téléchargé à partir de la console Amazon EC2. Le fichier contient le nom d'hôte IPv4 DNS public, qui identifie l'instance, et le nom d'utilisateur de l'administrateur.
1. Sélectionnez le fichier, puis choisissez **Open** (Ouvrir). Les champs **Computer** (Ordinateur) et **User name** (Nom d’utilisateur) sont remplis avec les valeurs du fichier de raccourcis RDP.
1. Choisissez **Enregistrer**.
1. Sélectionnez l’onglet **Local Resources (Ressources locales)**.
1. Sous **Local Devices and resources** (Périphériques et ressources locaux), choisissez **More...** (Plus…).
![\[Fenêtre RDP Local Resources (Ressources locales RDP).\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/windows-connect-rdp-local-resources.png)
1. Développez **Lecteurs** et sélectionnez le lecteur local auquel mapper l’instance Windows.
1. Choisissez **OK**.
![\[Fenêtre RDP Local devices and resources (Périphériques locaux et ressources RDP).\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/windows-connect-rdp-drives.png)
1. Choisissez **Connect (Connexion)** pour établir la connexion à votre instance Windows.
------
#### [ macOS X ]
**Pour mapper le lecteur de session à distance à votre dossier local sur votre ordinateur macOS X local**
1. Ouvrez le client Connexion Bureau à distance.
1. Accédez au fichier RDP que vous avez téléchargé depuis la console Amazon EC2 (lorsque vous vous êtes initialement connecté à l’instance) et faites-le glisser sur le client de connexion Bureau à distance.
1. Faites un clic droit sur le fichier RDP, puis choisissez **Edit** (Modifier).
1. Cliquez sur l’onglet **Folders** (Dossiers), puis cochez la case **Redirect folders** (Rediriger les dossiers).
![\[Fenêtre de modification du PC Bureau à distance Microsoft.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/mac-map-folder-1.png)
1. Cliquez sur l’icône **\$1** en bas à gauche, accédez au dossier pour mapper, puis choisissez **Open** (Ouvrir). Répétez cette étape pour chaque dossier à mapper.
1. Choisissez **Enregistrer**.
1. Choisissez **Connect (Connexion)** pour établir la connexion à votre instance Windows. Vous serez invité à saisir le mot de passe.
1. Sur l’instance, dans l’Explorateur de fichiers, développez **This PC** (Ce PC), et recherchez le dossier partagé à partir duquel vous pouvez accéder à vos fichiers locaux. Dans la capture d’écran suivante, le dossier **Desktop** (Bureau) sur l’ordinateur local a été mappé au lecteur de session à distance de l’instance.
![\[Fenêtre de modification du PC Bureau à distance Microsoft.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/mac-map-folder-2.png)
Pour plus d’informations sur la mise à disposition de périphériques locaux pour une session à distance sur un ordinateur Mac, consultez [Bien démarrer avec le client macOS](https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/remote-desktop-mac).
------
# Connectez-vous à votre EC2 instance Amazon à l'aide du gestionnaire de session
Le gestionnaire de session est une AWS Systems Manager fonctionnalité entièrement gérée permettant de gérer vos EC2 instances Amazon via un shell interactif basé sur un navigateur en un clic, ou via le. AWS CLI Vous pouvez utiliser le Gestionnaire de session pour démarrer une session avec une instance dans votre compte. Une fois la session démarrée, vous pouvez exécuter des commandes interactives sur l’instance comme vous le feriez pour tout autre type de connexion. Pour plus d’informations sur le Gestionnaire de session, consultez [Gestionnaire de sessions AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) dans le *Guide de l’utilisateur AWS Systems Manager *.
**Conditions préalables**
Avant d’essayer de vous connecter à une instance à l’aide du Gestionnaire de session, vous devez effectuer les étapes de configuration nécessaires. Par exemple, l'instance doit être gérée par SSM et doit être associée à un rôle IAM conformément à la politique **Amazon SSMManaged InstanceCore**. Pour plus d’informations, consultez [Configuration de Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started.html).
**Pour vous connecter à une EC2 instance Amazon à l'aide du gestionnaire de session sur la EC2 console Amazon**
1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, choisissez **Instances**.
1. Sélectionnez l’instance, puis choisissez **Connect (Connexion)**.
1. Pour la méthode de connexion, choisissez **Session Manager** (Gestionnaire de session).
1. Choisissez **Connect** (Se connecter) pour démarrer la session.
![\[Le bouton Connect (Se connecter) dans l’onglet Gestionnaire de session.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/connect-method-session-manager.png)
**Résolution des problèmes**
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer une ou plusieurs actions de Systems Manager (`ssm:command-name`), vous devez mettre à jour vos politiques pour vous permettre de démarrer des sessions depuis la EC2 console Amazon. Pour plus d’informations et d’instructions, consultez [Démarrage rapide - Politiques IAM par défaut pour Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/getting-started-restrict-access-quickstart.html) dans le *Guide de l’utilisateur AWS Systems Manager *.
# Connexion à votre instance Linux à l’aide d’une adresse IP publique et d’EC2 Instance Connect
Amazon EC2 Instance Connect offre un moyen sécurisé de se connecter à vos instances Linux au moyen de Secure Shell (SSH). Avec EC2 Instance Connect, vous utilisez des [politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) et des [principes Gestion des identités et des accès AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) (IAM) pour contrôler l'accès SSH à vos instances, éliminant ainsi le besoin de partager et de gérer les clés SSH. Toutes les demandes de connexion utilisant EC2 Instance Connect sont [enregistrées dans AWS CloudTrail](monitor-with-cloudtrail.md#ec2-instance-connect-cloudtrail) afin que vous puissiez vérifier les demandes de connexion.
Vous pouvez utiliser EC2 Instance Connect pour vous connecter à vos instances en utilisant la console Amazon EC2 ou le client SSH de votre choix.
Lorsque vous vous connectez à une instance à l’aide d’EC2 Instance Connect, l’API EC2 Instance Connect envoie en mode push une clé publique SSH vers les [métadonnées de l’instance](ec2-instance-metadata.md), où elle demeure pendant 60 secondes. La politique IAM attachée à votre utilisateur l’autorise à envoyer en mode push la clé publique vers les métadonnées de l’instance. Le démon SSH utilise `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser`, qui sont configurés lors de l’installation d’EC2 Instance Connect, pour rechercher la clé publique à partir des métadonnées de l’instance à des fins d’authentification, et vous connecte à l’instance.
**Astuce**
EC2 Instance Connect est l’une des options de connexion à votre instance Linux. Pour d’autres options, veuillez consulter la rubrique [Se connecter à votre instance Linux à l’aide de SSH](connect-to-linux-instance.md). Pour se connecter à une instance Windows, consultez [Se connecter à votre instance Windows à l’aide de RDP](connecting_to_windows_instance.md).
**Tarification**
EC2 Instance Connect est disponible sans frais supplémentaires.
**Disponibilité dans les Régions**
EC2 Instance Connect est disponible partout Régions AWS, sauf en Asie-Pacifique (Taipei). Il n’est pas pris en charge dans les zones locales.
**Topics**
+ [didacticiel](ec2-instance-connect-tutorial.md)
+ [Conditions préalables](ec2-instance-connect-prerequisites.md)
+ [Permissions](ec2-instance-connect-configure-IAM-role.md)
+ [Installation d’EC2 Instance Connect](ec2-instance-connect-set-up.md)
+ [Connexion à une instance](ec2-instance-connect-methods.md)
+ [Désinstallation d’EC2 Instance Connect](ec2-instance-connect-uninstall.md)
Pour un article de blog qui explique comment améliorer la sécurité de vos hôtes bastion à l’aide d’EC2 Instance Connect, consultez [Securing your bastion hosts with Amazon EC2 Instance Connect](https://aws.amazon.com/blogs/infrastructure-and-automation/securing-your-bastion-hosts-with-amazon-ec2-instance-connect/) (français non garanti).
# Didacticiel : effectuez la configuration requise pour vous connecter à votre instance à l’aide d’EC2 Instance Connect
Pour vous connecter à votre instance en utilisant EC2 Instance Connect dans la console Amazon EC2, vous devez d’abord effectuer la configuration préalable qui vous permettra de vous connecter avec succès à votre instance. L’objectif de ce didacticiel est de vous guider dans l’exécution des tâches nécessaires à la configuration des conditions préalables.
**Aperçu du didacticiel**
Dans ce didacticiel, vous effectuerez les quatre tâches suivantes :
+ [Tâche 1 : accordez les autorisations nécessaires à l’utilisation d’EC2 Instance Connect](#eic-tut1-task1)
Tout d’abord, vous allez créer une politique IAM contenant les autorisations IAM qui vous permettent d’ajouter une clé publique aux métadonnées de l’instance. Vous allez associer cette politique à votre identité IAM (utilisateur, groupe d’utilisateurs ou rôle) de manière à ce que votre identité IAM obtienne ces autorisations.
+ [Tâche 2 : autorisez le trafic entrant du service EC2 Instance Connect vers votre instance](#eic-tut1-task2)
Ensuite, vous créerez un groupe de sécurité qui autorise le trafic du service EC2 Instance Connect vers votre instance. Ceci est nécessaire lorsque vous utilisez EC2 Instance Connect dans la console Amazon EC2 pour vous connecter à votre instance.
+ [Tâche 3 : lancez votre instance](#eic-tut1-task3)
Vous lancerez ensuite une instance EC2 à l’aide d’une AMI préinstallée avec EC2 Instance Connect et vous ajouterez le groupe de sécurité que vous avez créé à l’étape précédente.
+ [Tâche 4 : connectez-vous à votre instance](#eic-tut1-task4)
Enfin, vous utiliserez EC2 Instance Connect dans la console Amazon EC2 pour vous connecter à votre instance. Si vous pouvez vous connecter, vous pouvez être sûr que la configuration des conditions préalables que vous avez effectuée dans les tâches 1, 2 et 3 a réussi.
## Tâche 1 : accordez les autorisations nécessaires à l’utilisation d’EC2 Instance Connect
Lorsque vous vous connectez à une instance à l’aide d’EC2 Instance Connect, l’API EC2 Instance Connect envoie en mode push une clé publique SSH vers les [métadonnées de l’instance](ec2-instance-metadata.md), où elle demeure pendant 60 secondes. Vous avez besoin d’une politique IAM associée à votre identité IAM (utilisateur, groupe d’utilisateurs ou rôle) pour vous accorder l’autorisation requise d’ajouter la clé publique aux métadonnées de l’instance.
**Objectif de la tâche**
Vous allez créer la politique IAM qui accorde l’autorisation d’envoyer la clé publique à l’instance. L’action spécifique à autoriser est `ec2-instance-connect:SendSSHPublicKey`. Vous devez également autoriser l’action `ec2:DescribeInstances` afin de pouvoir visualiser et sélectionner votre instance dans la console Amazon EC2.
Après avoir créé la politique, vous devez l’associer à votre identité IAM (utilisateur, groupe d’utilisateurs ou rôle) afin qu’elle obtienne les autorisations.
Vous allez créer une politique configurée comme suit :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DescribeInstances",
"Resource": "*"
}
]
}
```
------
**Important**
La politique IAM créée dans ce didacticiel est une politique très permissive ; elle vous permet de vous connecter à n’importe quelle instance en utilisant n’importe quel nom d’utilisateur AMI. Nous utilisons cette politique très permissive pour que le didacticiel reste simple et se concentre sur les configurations spécifiques enseignées dans ce didacticiel. Cependant, dans un environnement de production, nous recommandons que votre politique IAM soit configurée pour fournir [des autorisations de moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Par exemple les stratégies IAM, consultez [Accorder des autorisations IAM pour EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).
**Pour créer et associer une politique IAM vous permettant d’utiliser EC2 Instance Connect afin de vous connecter à vos instances**
1. **Créez d’abord la politique IAM**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Sur la page **Indiquer l’autorisation**, procédez comme suit :
1. Pour **Service**, choisissez **EC2 Instance Connect**.
1. Sous **Actions autorisées**, dans le champ de recherche, commencez **send** à taper pour afficher les actions pertinentes, puis sélectionnez **Envoyer la SSHPublic clé**.
1. Sous **Ressources**, sélectionnez **Tout**. Pour un environnement de production, nous recommandons d’indiquer l’instance par son ARN, mais pour ce didacticiel, vous autorisez toutes les instances.
1. Choisissez **Ajouter d’autres autorisations**.
1. Pour **Service**, choisissez **EC2**.
1. Sous **Actions autorisées**, dans le champ de recherche, commencez **describein** à taper pour afficher les actions pertinentes, puis sélectionnez **DescribeInstances**.
1. Choisissez **Suivant**.
1. Sur la page **Examiner et créer**, procédez comme suit :
1. Pour **Policy name** (Nom de la stratégie), attribuez un nom à cette stratégie.
1. Choisissez **Create Policy** (Créer une politique).
1. **Associez ensuite la police à votre identité**
1. Dans le panneau de navigation de la console IAM, sélectionnez **Policies** (Politiques).
1. Dans la liste des politiques, sélectionnez le bouton d’option situé à côté du nom de la politique que vous avez créée. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.
1. Sélectionnez **Actions**, puis **Attach** (Attacher).
1. Sous **Entités IAM**, cochez la case située à côté de votre identité (utilisateur, groupe d’utilisateurs ou rôle). Vous pouvez utiliser le champ de recherche pour filtrer la liste des entités.
1. Choisissez **Attach policy** (Attacher la politique).
### Afficher une animation : créer une politique IAM
![\[Cette animation explique comment créer une politique IAM. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/eic-tut1-task1-create-iam-policy.gif)
### Afficher une animation : associer une politique IAM
![\[Cette animation explique comment associer une politique IAM à une identité IAM. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/eic-tut1-task1-attach-iam-policy.gif)
## Tâche 2 : autorisez le trafic entrant du service EC2 Instance Connect vers votre instance
Lorsque vous utilisez EC2 Instance Connect dans la console Amazon EC2 pour vous connecter à une instance, le trafic qui doit être autorisé à atteindre l’instance est le trafic provenant du service EC2 Instance Connect. Cela diffère de la connexion à une instance à partir de votre ordinateur local ; dans ce cas, vous devez autoriser le trafic de votre ordinateur local vers votre instance. Pour autoriser le trafic provenant du service EC2 Instance Connect, vous devez créer un groupe de sécurité qui autorise le trafic SSH entrant provenant de la plage d’adresses IP du service EC2 Instance Connect.
AWS utilise des listes de préfixes pour gérer les plages d'adresses IP. Les noms des listes de préfixes EC2 Instance Connect sont les suivants, *region* remplacés par le code de région :
+ IPv4 nom de la liste de préfixes : `com.amazonaws.region.ec2-instance-connect`
+ IPv6 nom de la liste de préfixes : `com.amazonaws.region.ipv6.ec2-instance-connect`
**Objectif de la tâche**
Vous allez créer un groupe de sécurité qui autorise le trafic SSH entrant sur le port 22 à partir de la liste des IPv4 préfixes de la région dans laquelle se trouve votre instance.
**Pour créer un groupe de sécurité qui autorise le trafic entrant du service EC2 Instance Connect vers votre instance**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, choisissez **Groupes de sécurité**.
1. Sélectionnez **Create security group** (Créer un groupe de sécurité).
1. Sous **Basic details (Détails de base)**, procédez comme suit :
1. Pour **Security group name** (Nom du groupe de sécurité), saisissez un nom significatif pour votre groupe de sécurité.
1. Pour **Description**, saisissez une description significative de votre groupe de sécurité.
1. Sous la **Inbound rules** (Règles entrantes), procédez comme suit :
1. Choisissez **Ajouter une règle**.
1. Pour **Type**, choisissez **SSH**.
1. Pour **Source**, laissez **Personnalisé**.
1. Dans le champ situé à côté de **Source**, sélectionnez la liste des préfixes pour EC2 Instance Connect.
**Par exemple, si votre instance est située dans la région USA Est (Virginie du Nord) (`us-east-1`) et que vos utilisateurs se connecteront à son IPv4 adresse publique, choisissez la liste de préfixes suivante : com.amazonaws.us-east-1.ec2-instance-connect**
1. Sélectionnez **Create security group** (Créer un groupe de sécurité).
### Afficher une animation : créer le groupe de sécurité
![\[Cette animation explique comment configurer un groupe de sécurité. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/tut1-task2-eic-security-group.gif)
## Tâche 3 : lancez votre instance
Lorsque vous lancez une instance, vous devez spécifier une AMI qui contient les informations nécessaires au lancement de l’instance. Vous pouvez choisir de lancer une instance avec ou sans EC2 Instance Connect préinstallé. Dans cette tâche, nous indiquons une AMI préinstallée avec EC2 Instance Connect.
Si vous lancez votre instance sans que EC2 Instance Connect soit préinstallé, et que vous souhaitez utiliser EC2 Instance Connect pour vous connecter à votre instance, vous devrez effectuer des étapes de configuration supplémentaires. Ces étapes ne relèvent pas du champ d’application de ce didacticiel.
**Objectif de la tâche**
Vous lancerez une instance avec l’AMI Amazon Linux 2023, qui est préinstallée avec EC2 Instance Connect. Vous allez également indiquer le groupe de sécurité que vous avez créé précédemment afin de pouvoir utiliser EC2 Instance Connect dans la console Amazon EC2 pour vous connecter à votre instance. Étant donné que vous allez utiliser EC2 Instance Connect pour vous connecter à votre instance, ce qui ajoute une clé publique aux métadonnées de votre instance, vous n’aurez pas besoin d’indiquer une clé SSH lorsque vous lancerez votre instance.
**Pour lancer une instance qui peut utiliser EC2 Instance Connect dans la console Amazon EC2 pour se connecter**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans la barre de navigation en haut de l'écran, la AWS région actuelle est affichée (par exemple, **l'Irlande**). Sélectionnez une région dans laquelle vous souhaitez lancer votre instance. Ce choix est important car vous avez créé un groupe de sécurité qui autorise le trafic pour une région spécifique, vous devez donc sélectionner la même région pour lancer votre instance.
1. Sur le tableau de bord de la console Amazon EC2, sélectionnez **Launch instance (Lancer une instance)**.
1. (Facultatif) Sous **Name and tags** (Noms et identifications), pour **Name** (Nom), saisissez un nom descriptif pour votre instance.
1. Sous **Application and OS Images (Amazon Machine Image)** (Images d’applications et de systèmes d’exploitation (Amazon Machine Image)), choisissez **Quick Start** (Démarrage rapide). **Amazon Linux** est sélectionné par défaut. Sous **Amazon Machine Image (AMI)**, **Amazon Linux 2023 AMI** (AMI d’Amazon Linux 2023) est sélectionné par défaut. Conservez la sélection par défaut pour cette tâche.
1. Sous **Instance type** (Type d’instance), pour **Instance type** (Type d’instance, conservez la sélection par défaut ou choisissez un autre type d’instance.
1. Sous **Key pair (login)** Paire de clés (connexion), pour **Key pair name** (Nom de la paire de clés), choisissez **Proceed without a key pair (Not recommended)** (Procéder sans paire de clés (non recommandé)). Lorsque vous utilisez EC2 Instance Connect pour vous connecter à une instance, EC2 Instance Connect ajoute une paire de clés aux métadonnées de l’instance, et c’est cette paire de clés qui est utilisée pour la connexion.
1. Sous **Network settings** (Paramètres réseau), effectuez les opérations suivantes :
1. Pour **Auto-assign Public IP** (Attribution automatique d’une adresse IP publique), laissez **Enable** (Activer).
**Note**
Pour utiliser EC2 Instance Connect dans la console Amazon EC2 afin de se connecter à une instance, celle-ci doit avoir une adresse IPv4 publique IPv6 .
1. Pour **Firewall (security groups)** (Pare-feu (groupes de sécurité), choisissez **Select existing security group** (Sélectionner un groupe de sécurité existant).
1. Sous **Common security groups** (Groupes de sécurité communs), choisissez le groupe de sécurité que vous avez créé précédemment.
1. Dans le panneau **Summary** (Récapitulatif), sélectionnez **Launch instance** (Lancer l’instance).
### Afficher une animation : lancez votre instance
![\[Cette animation explique comment lancer une instance. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/tut1-task3-launch-an-instance.gif)
## Tâche 4 : connectez-vous à votre instance
Lorsque vous vous connectez à une instance à l’aide d’EC2 Instance Connect, l’API EC2 Instance Connect envoie en mode push une clé publique SSH vers les [métadonnées de l’instance](ec2-instance-metadata.md), où elle demeure pendant 60 secondes. Le démon SSH utilise `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser` pour rechercher la clé publique dans les métadonnées de l’instance à des fins d’authentification, et vous connecte à l’instance.
**Objectif de la tâche**
Dans cette tâche, vous allez vous connecter à votre instance en utilisant EC2 Instance Connect dans la console Amazon EC2. Si vous avez effectué les tâches préalables 1, 2 et 3, la connexion devrait être réussie.
**Étapes pour se connecter à votre instance**
Suivez les étapes suivantes pour vous connecter à votre instance. Pour afficher une animation des étapes, consultez [Afficher une animation : connectez-vous à votre instance](#eic-tut1-task4-animation).
**Pour connecter une instance à l’aide de EC2 Instance Connect dans la console Amazon EC2**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans la barre de navigation en haut de l'écran, la AWS région actuelle est affichée (par exemple, **l'Irlande**). Sélectionnez la région dans laquelle se trouve votre instance.
1. Dans le panneau de navigation, choisissez **Instances**.
1. Sélectionnez votre instance et choisissez **Connexion**.
1. Choisissez l’onglet **EC2 Instance Connect**.
1. Choisissez **Se connecter à l’aide d’une adresse IP publique**.
1. Choisissez **Se connecter**.
Une fenêtre de terminal s’ouvre dans le navigateur et vous êtes connecté à votre instance.
### Afficher une animation : connectez-vous à votre instance
![\[Cette animation explique comment connecter une instance à l’aide d’EC2 Instance Connect. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/eic-tut1-task4-connect.gif)
# Conditions préalables pour EC2 Instance Connect
**Topics**
+ [Installation d’EC2 Instance Connect](#eic-prereqs-install-eic-on-instance)
+ [Assurer la connectivité du réseau](#eic-prereqs-network-access)
+ [Autoriser le trafic SSH entrant](#ec2-instance-connect-setup-security-group)
+ [Accorder des autorisations](#eic-prereqs-grant-permissions)
+ [Installez un client SSH sur votre ordinateur local](#eic-prereqs-install-ssh-client)
+ [Répondre aux exigences en matière de nom d’utilisateur](#eic-prereqs-username)
## Installation d’EC2 Instance Connect
Pour utiliser EC2 Instance Connect afin de se connecter à une instance, EC2 Instance Connect doit être installé sur celle-ci. Vous pouvez soit lancer l'instance à l'aide d'une AMI préinstallée avec EC2 Instance Connect, soit installer EC2 Instance Connect sur des instances lancées avec support. AMIs Pour de plus amples informations, veuillez consulter [Installer EC2 Instance Connect sur vos instances EC2](ec2-instance-connect-set-up.md).
## Assurer la connectivité du réseau
Les instances peuvent être configurées pour permettre aux utilisateurs de se connecter à votre instance via Internet ou via l’adresse IP privée de l’instance. En fonction de la façon dont vos utilisateurs se connecteront à votre instance en utilisant EC2 Instance Connect, vous devez configurer l’accès réseau suivant :
+ Si vos utilisateurs veulent se connecter à votre instance via Internet, celle-ci doit avoir une IPv6 adresse IPv4 ou une adresse publique et se trouver dans un sous-réseau public avec une route vers Internet. Si vous n'avez pas modifié votre sous-réseau public par défaut, il contient une route vers Internet pour IPv4 uniquement, et non pour IPv6. Pour plus d’informations, consultez la section [Activer l’accès à Internet VPC à l’aide de passerelles Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#vpc-igw-internet-access) dans le *Guide de l’utilisateur Amazon VPC*.
+ Si vos utilisateurs se connectent à votre instance via l'IPv4 adresse privée de l'instance, vous devez établir une connectivité réseau privée avec votre VPC, par exemple en utilisant ou en peering VPC AWS Direct Connect AWS Site-to-Site VPN, afin que vos utilisateurs puissent accéder à l'adresse IP privée de l'instance.
Si votre instance n’a pas d’adresse IPv4 ou IPv6 publique et que vous préférez ne pas configurer l’accès au réseau comme décrit ci-dessus, vous pouvez considérer le point de terminaison EC2 Instance Connect comme une alternative à EC2 Instance Connect. Avec EC2 Instance Connect Endpoint, vous pouvez vous connecter à une instance via SSH ou RDP même si l'instance n'a pas de public IPv4 ou d'adresse. IPv6 Pour de plus amples informations, veuillez consulter [Connexion à votre instance Linux à l’aide de la console Amazon EC2](connect-using-eice.md#connect-using-the-ec2-console).
## Autoriser le trafic SSH entrant
**Lorsque vous utilisez la console Amazon EC2 pour vous connecter à une instance**
Lorsque les utilisateurs se connectent à une instance à l’aide de la console Amazon EC2, le trafic qui doit être autorisé à atteindre l’instance est le trafic provenant du service EC2 Instance Connect. Le service est identifié par des plages d'adresses IP spécifiques, AWS gérées via des listes de préfixes. Vous devez créer un groupe de sécurité qui autorise le trafic SSH entrant du service EC2 Instance Connect. Pour configurer cela, en ce qui concerne la règle entrante, dans le champ situé à côté de **Source**, sélectionnez la liste de préfixes EC2 Instance Connect.
AWS fournit différentes listes de préfixes gérés pour les adresses IPv4 et IPv6 pour chaque région. Les noms des listes de préfixes EC2 Instance Connect sont les suivants, *region* remplacés par le code de région :
+ IPv4 nom de la liste de préfixes : `com.amazonaws.region.ec2-instance-connect`
+ IPv6 nom de la liste de préfixes : `com.amazonaws.region.ipv6.ec2-instance-connect`
Pour obtenir des instructions sur la création d’un groupe de sécurité, consultez [Tâche 2 : autorisez le trafic entrant du service EC2 Instance Connect vers votre instance](ec2-instance-connect-tutorial.md#eic-tut1-task2). Pour plus d'informations, consultez les [listes de AWS préfixes gérées disponibles](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html#available-aws-managed-prefix-lists) dans le guide de l'utilisateur Amazon *VPC*.
**Lors de l’utilisation de la CLI ou de SSH pour se connecter à une instance**
Vérifiez que le groupe de sécurité associé à votre instance [autorise le trafic SSH entrant](security-group-rules-reference.md#sg-rules-local-access) sur le port 22 à partir de votre adresse IP ou de votre réseau. Le groupe de sécurité par défaut pour le VPC n’autorise pas le trafic SSH entrant par défaut. Le groupe de sécurité créé par l’assistant de lancement de l’instance autorise par défaut le trafic SSH entrant. Pour de plus amples informations, veuillez consulter [Règles pour la connexion à des instances à partir de votre ordinateur](security-group-rules-reference.md#sg-rules-local-access).
## Accorder des autorisations
Vous devez accorder les autorisations requises à chaque utilisateur IAM qui utilisera EC2 Instance Connect pour se connecter à une instance. Pour de plus amples informations, veuillez consulter [Accorder des autorisations IAM pour EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).
## Installez un client SSH sur votre ordinateur local
Si vos utilisateurs se connectent en utilisant SSH, ils doivent s’assurer que leur ordinateur local dispose d’un client SSH.
L’ordinateur local d’un utilisateur dispose probablement d’un client SSH installé par défaut. Il peut vérifier la présence d’un client SSH en saisissant **ssh** sur la ligne de commande. Si l’ordinateur local ne reconnaît pas la commande, l’utilisateur peut installer un client SSH. Pour plus d’informations sur l’installation d’un client SSH sur Linux ou maxOS X, consultez [http://www.openssh.com](http://www.openssh.com/). Pour plus d’informations sur l’installation d’un client SSH sous Windows 10, consultez [OpenSSH dans Windows](https://learn.microsoft.com/en-us/windows-server/administration/OpenSSH/openssh-overview).
Il n’est pas nécessaire d’installer un client SSH sur un ordinateur local si vos utilisateurs n’utilisent que la console Amazon EC2 pour se connecter à une instance.
## Répondre aux exigences en matière de nom d’utilisateur
Lorsque vous utilisez EC2 Instance Connect pour vous connecter à une instance, le nom d’utilisateur doit répondre aux exigences suivantes :
+ Premier caractère : il doit s’agir d’une lettre (`A-Z`, `a-z`), d’un chiffre (`0-9`) ou d’un trait de soulignement (`_`)
+ Caractères suivants : il peut s’agir de lettres (`A-Z`, `a-z`), de chiffres (`0-9`) ou des caractères suivants : `@ . _ -`
+ Longueur minimale : 1 caractère
+ Longueur maximale : 31 caractères
# Accorder des autorisations IAM pour EC2 Instance Connect
Pour vous connecter à une instance à l’aide d’EC2 Instance Connect, vous devez créer une politique IAM qui accorde à vos utilisateurs des autorisations pour les actions et la condition suivantes :
+ Action `ec2-instance-connect:SendSSHPublicKey` – Accorde l’autorisation d’envoyer la clé publique en mode push à une instance.
+ Condition `ec2:osuser` – Spécifie le nom de l’utilisateur du système d’exploitation qui peut envoyer la clé publique en mode push à une instance. Utilisez le nom d’utilisateur par défaut de l’AMI que vous avez utilisé pour lancer l’instance. Le nom d'utilisateur par défaut pour AL2023 Amazon Linux 2 est`ec2-user`, et pour Ubuntu c'est`ubuntu`.
+ Action `ec2:DescribeInstances` – Requis lors de l’utilisation de la console EC2 car l’encapsuleur appelle cette action. Les utilisateurs peuvent déjà disposer de l’autorisation d’appeler cette action à partir d’une autre politique.
+ `ec2:DescribeVpcs`action — Obligatoire lors de la connexion à une IPv6 adresse.
Envisagez de limiter l’accès à des instances EC2 spécifiques. Sinon, tous les principaux IAM disposant d’une autorisation pour l’action `ec2-instance-connect:SendSSHPublicKey` peuvent se connecter à toutes les instances EC2. Vous pouvez restreindre l'accès en spécifiant une ressource ARNs ou en utilisant des balises de ressource comme [clés de condition](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2instanceconnect.html#amazonec2instanceconnect-policy-keys).
Pour plus d’informations, consultez [Actions, ressources et clés de condition pour Amazon EC2 Instance Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2instanceconnect.html).
Pour obtenir des informations sur la création de politiques IAM, veuillez consulter [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
## Autoriser les utilisateurs à se connecter à des instances spécifiques
La politique IAM suivante autorise la connexion à des instances spécifiques, identifiées par leur ressource ARNs.
Dans l’exemple de politique IAM suivant, les actions et la condition suivantes sont spécifiées :
+ L'`ec2-instance-connect:SendSSHPublicKey`action autorise les utilisateurs à se connecter à deux instances, spécifiées par la ressource ARNs. Pour autoriser les utilisateurs à se connecter à *toutes les* instances EC2, remplacez la ressource ARNs par le `*` caractère générique.
+ La `ec2:osuser` condition accorde l'autorisation de se connecter aux instances uniquement si cela *ami-username* est spécifié lors de la connexion.
+ L’action `ec2:DescribeInstances` est spécifiée pour accorder l’autorisation aux utilisateurs qui utiliseront la console pour se connecter à vos instances. Si vos utilisateurs n’utiliseront qu’un client SSH pour se connecter à vos instances, vous pouvez omettre `ec2:DescribeInstances`. Notez que les actions `ec2:Describe*` de l’API ne prennent pas en charge les autorisations au niveau des ressources. Par conséquent, le caractère générique `*` est nécessaire dans l’élément `Resource`.
+ L'`ec2:DescribeVpcs`action est spécifiée pour autoriser les utilisateurs qui utiliseront la console à se connecter à vos instances à l'aide d'une IPv6 adresse. Si vos utilisateurs n'utilisent qu'une IPv4 adresse publique, vous pouvez l'omettre`ec2:DescribeVpcs`. Notez que les actions `ec2:Describe*` de l’API ne prennent pas en charge les autorisations au niveau des ressources. Par conséquent, le caractère générique `*` est nécessaire dans l’élément `Resource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-1234567890abcdef0",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7"
],
"Condition": {
"StringEquals": {
"ec2:osuser": "ami-username"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
## Autoriser les utilisateurs à se connecter à des instances avec des balises spécifiques
Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction de balises pouvant être associées aux utilisateurs et aux ressources. AWS Vous pouvez utiliser des balises de ressources pour contrôler l’accès à une instance. Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès à vos AWS ressources, consultez la section [Contrôle de l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources) dans le *guide de l'utilisateur IAM*.
Dans l’exemple de politique IAM suivant, l’action `ec2-instance-connect:SendSSHPublicKey` accorde aux utilisateurs l’autorisation de se connecter à n’importe quelle instance (indiquée par le caractère générique `*` dans l’ARN de la ressource) à condition que l’instance dispose d’une balise de ressource avec key=`tag-key` et value=`tag-value`.
L’action `ec2:DescribeInstances` est spécifiée pour accorder l’autorisation aux utilisateurs qui utiliseront la console pour se connecter à vos instances. Si vos utilisateurs n’utilisent qu’un client SSH pour se connecter à vos instances, vous pouvez omettre `ec2:DescribeInstances`. Notez que les actions `ec2:Describe*` de l’API ne prennent pas en charge les autorisations au niveau des ressources. Par conséquent, le caractère générique `*` est nécessaire dans l’élément `Resource`.
L'`ec2:DescribeVpcs`action est spécifiée pour autoriser les utilisateurs qui utiliseront la console à se connecter à vos instances à l'aide d'une IPv6 adresse. Si vos utilisateurs n'utilisent qu'une IPv4 adresse publique, vous pouvez l'omettre`ec2:DescribeVpcs`. Notez que les actions `ec2:Describe*` de l’API ne prennent pas en charge les autorisations au niveau des ressources. Par conséquent, le caractère générique `*` est nécessaire dans l’élément `Resource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/tag-key": "tag-value"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
# Installer EC2 Instance Connect sur vos instances EC2
Pour se connecter à une instance Linux à l’aide d’EC2 Instance Connect, l’instance doit avoir installé EC2 Instance Connect. L’installation d’EC2 Instance Connect configure le démon SSH sur l’instance.
Pour plus d'informations sur le package EC2 Instance Connect, consultez [aws/aws-ec2](https://github.com/aws/aws-ec2-instance-connect-config) - sur le site Web. instance-connect-config GitHub
**Note**
Si vous avez configuré les paramètres `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser` pour l’authentification SSH, l’installation d’EC2 Instance Connect ne les mettra pas à jour. Par conséquent, vous ne pouvez pas utiliser EC2 Instance Connect.
## Installer les prérequis
Avant d’installer EC2 Instance Connect, assurez-vous que vous remplissez les conditions préalables suivantes.
+ **Vérifiez que l’instance utilise l’un des éléments suivants :**
+ Amazon Linux 2 avant la version 2.0.20190618 \$1
+ AL2023 AMI minimale ou AMI optimisée pour Amazon ECS
+ CentOS Stream 8 et 9
+ macOS Sonoma, version antérieure à 14.2.1, Ventura, version antérieure à 13.6.3, et Monterey, version antérieure à 12.7.2 \$1
+ Red Hat Enterprise Linux (RHEL) 8 et 9
+ Ubuntu 16.04 et 18.04 \$1
**Astuce**
\$1 Pour Amazon Linux 2, macOS et Ubuntu : si vous avez lancé votre instance à l’aide d’une version ultérieure à celles répertoriées ci-dessus, EC2 Instance Connect est préinstallé et aucune installation manuelle n’est requise.
+ **Vérifiez les conditions préalables générales pour EC2 Instance Connect.**
Pour de plus amples informations, veuillez consulter [Conditions préalables pour EC2 Instance Connect](ec2-instance-connect-prerequisites.md).
+ **Vérifiez les conditions préalables requises pour la connexion à votre instance à l’aide d’un client SSH sur votre machine locale.**
Pour de plus amples informations, veuillez consulter [Se connecter à votre instance Linux à l’aide de SSH](connect-to-linux-instance.md).
+ **Obtenez l’ID de l’instance.**
Vous pouvez obtenir l’ID de votre instance à l’aide de la console Amazon EC2 (depuis la colonne **Instance ID** (ID d’instance). Si vous préférez, vous pouvez utiliser la commande [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) (AWS CLI) ou [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)(AWS Tools for Windows PowerShell).
## Installer manuellement EC2 Instance Connect
**Note**
Si vous avez lancé votre instance en utilisant l’une des AMI suivantes, EC2 Instance Connect est préinstallé et vous pouvez ignorer cette procédure :
AL2023 AMI standard
Amazon Linux 2 2.0.20190618 ou version ultérieure
macOS Sonoma 14.2.1 ou version ultérieure
macOS Ventura 13.6.3 ou version ultérieure
macOS Monterey 12.7.2 ou version ultérieure
Ubuntu 20.04 ou version ultérieure
Utilisez l’une des procédures suivantes pour installer EC2 Instance Connect, en fonction du système d’exploitation de votre instance.
------
#### [ Amazon Linux 2 ]
**Pour installer EC2 Instance Connect sur une instance lancée avec Amazon Linux 2**
1. Connectez-vous à votre instance à l’aide de SSH.
Remplacez les valeurs de l’exemple dans la commande suivante par vos propres valeurs. Utilisez la paire de clés SSH attribuée à votre instance lorsque vous l’avez lancée et le nom d’utilisateur par défaut de l’AMI que vous avez utilisée pour lancer votre instance. Pour Amazon Linux 2, le nom d’utilisateur par défaut est `ec2-user`.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Pour plus d’informations sur la connexion à votre instance, consultez [Connexion à votre instance Linux à l’aide d’un client SSH](connect-linux-inst-ssh.md).
1. Installez le package EC2 Instance Connect sur votre instance.
```
[ec2-user ~]$ sudo yum install ec2-instance-connect
```
Trois nouveaux scripts doivent apparaître dans le dossier `/opt/aws/bin/` :
```
eic_curl_authorized_keys
eic_parse_authorized_keys
eic_run_authorized_keys
```
1. (Facultatif) Vérifiez qu’EC2 Instance Connect a été installé avec succès sur votre instance.
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config
```
EC2 Instance Connect a été correctement installé si les lignes `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser` contiennent les valeurs suivantes :
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` définit le script `eic_run_authorized_keys` pour rechercher les clés à partir des métadonnées de l’instance.
+ `AuthorizedKeysCommandUser` définit l’utilisateur système comme `ec2-instance-connect`.
**Note**
Si vous avez déjà configuré `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser`, l’installation d’EC2 Instance Connect ne modifie pas les valeurs et vous ne pouvez pas utiliser EC2 Instance Connect.
------
#### [ CentOS ]
**Installation d’EC2 Instance Connect sur une instance lancée avec CentOS**
1. Connectez-vous à votre instance à l’aide de SSH.
Remplacez les valeurs de l’exemple dans la commande suivante par vos propres valeurs. Utilisez la paire de clés SSH attribuée à votre instance lorsque vous l’avez lancée et le nom d’utilisateur par défaut de l’AMI que vous avez utilisée pour lancer votre instance. Pour CentOS, le nom d’utilisateur par défaut est `centos` ou `ec2-user`.
```
$ ssh -i my_ec2_private_key.pem centos@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Pour plus d’informations sur la connexion à votre instance, consultez [Connexion à votre instance Linux à l’aide d’un client SSH](connect-linux-inst-ssh.md).
1. Si vous utilisez un proxy HTTP ou HTTPS, vous devez définir les variables d’environnement `http_proxy` ou `https_proxy` dans la session shell en cours.
Si vous n’utilisez pas de proxy, vous pouvez ignorer cette étape.
+ Pour un serveur proxy HTTP, exécutez les commandes suivantes :
```
$ export http_proxy=http://hostname:port
$ export https_proxy=http://hostname:port
```
+ Pour un serveur proxy HTTPS, exécutez les commandes suivantes :
```
$ export http_proxy=https://hostname:port
$ export https_proxy=https://hostname:port
```
1. Installez le package EC2 Instance Connect sur votre instance en exécutant les commandes suivantes.
Les fichiers de configuration EC2 Instance Connect pour CentOS sont fournis dans un package Red Hat Package Manager (RPM), avec différents packages RPM pour CentOS 8 et CentOS 9 et pour les types d'instances qui s' Intel/AMD exécutent sur (x86\$164) ou ARM (). AArch64
Utilisez le bloc de commande correspondant à votre système d’exploitation et à l’architecture de votre processeur.
+ CentOS 8
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel8.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
BRAS (AArch64)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel8.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
+ CentOS 9
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel9.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
BRAS (AArch64)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel9.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
Vous devriez voir ce nouveau script dans le dossier `/opt/aws/bin/` :
```
eic_run_authorized_keys
```
1. (Facultatif) Vérifiez qu’EC2 Instance Connect a été installé avec succès sur votre instance.
+ Pour CentOS 8 :
```
[ec2-user ~]$ sudo less /lib/systemd/system/sshd.service.d/ec2-instance-connect.conf
```
+ Pour CentOS 9 :
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
```
EC2 Instance Connect a été correctement installé si les lignes `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser` contiennent les valeurs suivantes :
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` définit le script `eic_run_authorized_keys` pour rechercher les clés à partir des métadonnées de l’instance.
+ `AuthorizedKeysCommandUser` définit l’utilisateur système comme `ec2-instance-connect`.
**Note**
Si vous avez déjà configuré `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser`, l’installation d’EC2 Instance Connect ne modifie pas les valeurs et vous ne pouvez pas utiliser EC2 Instance Connect.
------
#### [ macOS ]
**Installation d’EC2 Instance Connect sur une instance lancée avec macOS**
1. Connectez-vous à votre instance à l’aide de SSH.
Remplacez les valeurs de l’exemple dans la commande suivante par vos propres valeurs. Utilisez la paire de clés SSH attribuée à votre instance lorsque vous l’avez lancée et le nom d’utilisateur par défaut de l’AMI que vous avez utilisée pour lancer votre instance. Pour les instances macOS, le nom d’utilisateur par défaut est `ec2-user`.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Pour plus d’informations sur la connexion à votre instance, consultez [Connexion à votre instance Linux à l’aide d’un client SSH](connect-linux-inst-ssh.md).
1. Mettez à jour Homebrew en utilisant la commande suivante. La mise à jour listera les logiciels que Homebrew connaît. Le package EC2 Instance Connect est fourni par le biais de Homebrew sur les instances macOS. Pour plus d'informations, consultez [Mettre à jour le système d’exploitation et les logiciels sur les instances Mac Amazon EC2](mac-instance-updates.md).
```
[ec2-user ~]$ brew update
```
1. Installez le package EC2 Instance Connect sur votre instance. Cela installera le logiciel et configurera sshd pour l’utiliser.
```
[ec2-user ~]$ brew install ec2-instance-connect
```
Vous devriez voir ce nouveau script dans le dossier `/opt/aws/bin/` :
```
eic_run_authorized_keys
```
1. (Facultatif) Vérifiez qu’EC2 Instance Connect a été installé avec succès sur votre instance.
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
```
EC2 Instance Connect a été correctement installé si les lignes `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser` contiennent les valeurs suivantes :
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` définit le script `eic_run_authorized_keys` pour rechercher les clés à partir des métadonnées de l’instance.
+ `AuthorizedKeysCommandUser` définit l’utilisateur système comme `ec2-instance-connect`.
**Note**
Si vous avez déjà configuré `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser`, l’installation d’EC2 Instance Connect ne modifie pas les valeurs et vous ne pouvez pas utiliser EC2 Instance Connect.
------
#### [ RHEL ]
**Installation d’EC2 Instance Connect sur une instance lancée avec Red Hat Enterprise Linux (RHEL)**
1. Connectez-vous à votre instance à l’aide de SSH.
Remplacez les valeurs de l’exemple dans la commande suivante par vos propres valeurs. Utilisez la paire de clés SSH attribuée à votre instance lorsque vous l’avez lancée et le nom d’utilisateur par défaut de l’AMI que vous avez utilisée pour lancer votre instance. Pour RHEL, le nom d’utilisateur par défaut est `ec2-user` ou `root`.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Pour plus d’informations sur la connexion à votre instance, consultez [Connexion à votre instance Linux à l’aide d’un client SSH](connect-linux-inst-ssh.md).
1. Si vous utilisez un proxy HTTP ou HTTPS, vous devez définir les variables d’environnement `http_proxy` ou `https_proxy` dans la session shell en cours.
Si vous n’utilisez pas de proxy, vous pouvez ignorer cette étape.
+ Pour un serveur proxy HTTP, exécutez les commandes suivantes :
```
$ export http_proxy=http://hostname:port
$ export https_proxy=http://hostname:port
```
+ Pour un serveur proxy HTTPS, exécutez les commandes suivantes :
```
$ export http_proxy=https://hostname:port
$ export https_proxy=https://hostname:port
```
1. Installez le package EC2 Instance Connect sur votre instance en exécutant les commandes suivantes.
Les fichiers de configuration EC2 Instance Connect pour RHEL sont fournis dans un package Red Hat Package Manager (RPM), avec différents packages RPM pour RHEL 8 et RHEL 9 et pour les types d'instances qui s'exécutent sur Intel/AMD (x86\$164) ou ARM (). AArch64
Utilisez le bloc de commande correspondant à votre système d’exploitation et à l’architecture de votre processeur.
+ RHEL 8
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel8.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
BRAS (AArch64)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel8.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
+ RHEL 9
Intel/AMD (x86\$164)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel9.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
BRAS (AArch64)
```
[ec2-user ~]$ mkdir /tmp/ec2-instance-connect
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel9.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
[ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
[ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
```
Vous devriez voir ce nouveau script dans le dossier `/opt/aws/bin/` :
```
eic_run_authorized_keys
```
1. (Facultatif) Vérifiez qu’EC2 Instance Connect a été installé avec succès sur votre instance.
+ Pour RHEL 8 :
```
[ec2-user ~]$ sudo less /lib/systemd/system/sshd.service.d/ec2-instance-connect.conf
```
+ Pour RHEL 9 :
```
[ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
```
EC2 Instance Connect a été correctement installé si les lignes `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser` contiennent les valeurs suivantes :
```
AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` définit le script `eic_run_authorized_keys` pour rechercher les clés à partir des métadonnées de l’instance.
+ `AuthorizedKeysCommandUser` définit l’utilisateur système comme `ec2-instance-connect`.
**Note**
Si vous avez déjà configuré `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser`, l’installation d’EC2 Instance Connect ne modifie pas les valeurs et vous ne pouvez pas utiliser EC2 Instance Connect.
------
#### [ Ubuntu ]
**Pour installer EC2 Instance Connect sur une instance lancée avec Ubuntu 16.04 ou version ultérieure**
1. Connectez-vous à votre instance à l’aide de SSH.
Remplacez les valeurs de l’exemple dans la commande suivante par vos propres valeurs. Utilisez la paire de clés SSH qui a été attribuée à votre instance lorsque vous l’avez lancée et utilisez le nom d’utilisateur par défaut de l’AMI que vous avez utilisé pour lancer votre instance. Pour une AMI Ubuntu, le nom d’utilisateur est `ubuntu`.
```
$ ssh -i my_ec2_private_key.pem ubuntu@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Pour plus d’informations sur la connexion à votre instance, consultez [Connexion à votre instance Linux à l’aide d’un client SSH](connect-linux-inst-ssh.md).
1. (Facultatif) Assurez-vous que votre instance possède l’AMI Ubuntu la plus récente.
Exécutez les commandes suivantes pour mettre à jour tous les paquets sur votre instance.
```
ubuntu:~$ sudo apt-get update
```
```
ubuntu:~$ sudo apt-get upgrade
```
1. Installez le package EC2 Instance Connect sur votre instance.
```
ubuntu:~$ sudo apt-get install ec2-instance-connect
```
Trois nouveaux scripts doivent apparaître dans le dossier `/usr/share/ec2-instance-connect/` :
```
eic_curl_authorized_keys
eic_parse_authorized_keys
eic_run_authorized_keys
```
1. (Facultatif) Vérifiez qu’EC2 Instance Connect a été installé avec succès sur votre instance.
```
ubuntu:~$ sudo less /lib/systemd/system/ssh.service.d/ec2-instance-connect.conf
```
EC2 Instance Connect a été correctement installé si les lignes `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser` contiennent les valeurs suivantes :
```
AuthorizedKeysCommand /usr/share/ec2-instance-connect/eic_run_authorized_keys %%u %%f
AuthorizedKeysCommandUser ec2-instance-connect
```
+ `AuthorizedKeysCommand` définit le script `eic_run_authorized_keys` pour rechercher les clés à partir des métadonnées de l’instance.
+ `AuthorizedKeysCommandUser` définit l’utilisateur système comme `ec2-instance-connect`.
**Note**
Si vous avez déjà configuré `AuthorizedKeysCommand` et `AuthorizedKeysCommandUser`, l’installation d’EC2 Instance Connect ne modifie pas les valeurs et vous ne pouvez pas utiliser EC2 Instance Connect.
------
# Se connecter à une instance Linux à l’aide de EC2 Instance Connect
Les instructions suivantes expliquent comment vous connecter à votre instance Linux à l'aide d'EC2 Instance Connect via la console Amazon EC2, AWS CLI le ou un client SSH.
Lorsque vous vous connectez à une instance à l'aide d'EC2 Instance Connect via la console ou AWS CLI, l'API EC2 Instance Connect envoie automatiquement une clé publique SSH aux [métadonnées de l'instance](ec2-instance-metadata.md) où elle reste pendant 60 secondes. Une politique IAM associée à votre utilisateur autorise cette action. Si vous préférez utiliser votre propre clé SSH, vous pouvez utiliser un client SSH et envoyer explicitement votre clé SSH à l’instance en utilisant EC2 Instance Connect.
**Considérations**
Une fois la connexion à une instance établie à l’aide d’EC2 Instance Connect, elle reste active jusqu’à la fin de la session SSH. La durée de la connexion n’est pas déterminée par la durée de validité de vos informations d’identification IAM. Si vos informations d’identification IAM expirent, la connexion reste active. Lorsque vous utilisez la console EC2 Instance Connect, si vos informations d’identification IAM expirent, mettez fin à la connexion en fermant la page du navigateur. Lorsque vous utilisez votre propre client SSH et EC2 Instance Connect pour envoyer votre clé, vous pouvez définir une valeur de délai d’expiration SSH afin de mettre fin automatiquement à la session SSH.
**Exigences**
Avant de commencer, assurez-vous de prendre connaissance des [conditions préalables](ec2-instance-connect-prerequisites.md).
**Topics**
+ [Connexion à l’aide de la console Amazon EC2](#ec2-instance-connect-connecting-console)
+ [Connectez-vous à l'aide du AWS CLI](#connect-linux-inst-eic-cli-ssh)
+ [Connexion à l'aide de votre propre clé et d'un client SSH](#ec2-instance-connect-connecting-aws-cli)
+ [Dépannage](#ic-troubleshoot)
## Connexion à l’aide de la console Amazon EC2
Vous pouvez vous connecter à une instance en utilisant EC2 Instance Connect par l’intermédiaire de la console Amazon EC2.
**Exigences**
Pour se connecter à l'aide de la console Amazon EC2, l'instance doit avoir une adresse publique IPv4 ou IPv6 une adresse. Si l'instance possède uniquement une IPv4 adresse privée, vous pouvez utiliser l'[AWS CLI ec2-instance-connect](#connect-linux-inst-eic-cli-ssh) pour vous connecter.
**Pour vous connecter à votre instance à l’aide de la console Amazon EC2**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, choisissez **Instances**.
1. Sélectionnez l’instance, puis choisissez **Connect (Connexion)**.
1. Choisissez l’onglet **EC2 Instance Connect**.
1. Choisissez **Se connecter à l’aide d’une adresse IP publique**.
1. S’il y a un choix, sélectionnez l’adresse IP à laquelle se connecter. Dans le cas contraire, l’adresse IP est sélectionnée automatiquement.
1. Pour **Nom d’utilisateur**, vérifiez le nom d’utilisateur.
1. Choisissez **Se connecter** pour établir une connexion. Une fenêtre de terminal dans le navigateur s’ouvre.
## Connectez-vous à l'aide du AWS CLI
Vous pouvez utiliser l'[ec2-instance-connect AWS CLI pour vous connecter](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/index.html) à votre instance avec un client SSH. EC2 Instance Connect essaie d’établir une connexion en utilisant une adresse IP disponible dans un ordre prédéfini, en fonction du type de connexion spécifié. Si une adresse IP n’est pas disponible, il essaie automatiquement la suivante dans l’ordre.Types de connexion
`auto` (par défaut)
EC2 Instance Connect essaie de se connecter en utilisant les adresses IP de l’instance dans l’ordre suivant et avec le type de connexion correspondant :
1. Publique IPv4 : `direct`
1. Privé IPv4 : `eice`
1. IPv6: `direct`
`direct`
EC2 Instance Connect essaie de se connecter en utilisant les adresses IP de l’instance dans l’ordre suivant :
1. Publique IPv4
1. IPv6
1. IPv4 privé (il ne se connecte pas par l’intermédiaire d’un point de terminaison de connexion de l’instance EC2)
`eice`
EC2 Instance Connect essaie de se connecter à l'aide de l' IPv4 adresse privée de l'instance et d'un point de terminaison [EC2 Instance Connect](connect-with-ec2-instance-connect-endpoint.md).
**Note**
Dans le futur, nous pourrions changer le comportement du type de connexion `auto`. Pour vous assurer que le type de connexion que vous souhaitez est utilisé, nous vous recommandons de définir explicitement `--connection-type` sur `direct` ou `eice`.
**Exigences**
Vous devez utiliser AWS CLI la version 2. Pour plus d’informations, veuillez consulter la rubrique [Installer ou mettre à jour la dernière version de l’ AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Pour se connecter à une instance en utilisant l’ID de l’instance**
Si vous ne connaissez que l’ID de l’instance et que vous voulez laisser EC2 Instance Connect déterminer le type d’instance à utiliser lors de la connexion à votre instance, utilisez la commande CLI [ec2-instance-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html) avec l’ID de l’instance.
```
aws ec2-instance-connect ssh --instance-id i-1234567890example
```
**Pour se connecter à une instance en utilisant l’ID de l’instance et un point de terminaison EC2 Instance Connect**
Si vous voulez vous connecter à votre instance via un [point de terminaison EC2 Instance Connect](connect-with-ec2-instance-connect-endpoint.md), utilisez la commande précédente et spécifiez également le paramètre `--connection-type` avec la valeur `eice`.
```
aws ec2-instance-connect ssh --instance-id i-1234567890example --connection-type eice
```
**Pour vous connecter à une instance en utilisant l’ID de l’instance et votre propre fichier de clé privée**
Si vous voulez vous connecter à votre instance via un point de terminaison EC2 Instance Connect en utilisant votre propre clé privée, indiquez l’ID de l’instance et le chemin d’accès au fichier de clé privée. Ne l'incluez pas *file://* dans le chemin ; l'exemple suivant échouera :*file:///path/to/key*.
```
aws ec2-instance-connect ssh --instance-id i-1234567890example --private-key-file /path/to/key.pem
```
**Astuce**
Si vous recevez un message d'erreur lors de l'utilisation de ces commandes, assurez-vous que vous utilisez la AWS CLI version 2, car la `ssh` commande n'est disponible que dans cette version majeure. Nous recommandons également de mettre à jour régulièrement la dernière version mineure de la version 2 AWS CLI afin d’accéder aux dernières fonctionnalités. Pour plus d’informations, consultez la section [À propos de la version 2 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html#welcome-versions-v2) dans le *Guide de l’utilisateur AWS Command Line Interface *.
## Connexion à l'aide de votre propre clé et d'un client SSH
Vous pouvez utiliser votre propre clé SSH et vous connecter à votre instance à partir du client SSH de votre choix en utilisant l’API EC2 Instance Connect. Cela vous permet de bénéficier de la capacité de EC2 Instance Connect afin d’envoyer une clé publique à l’instance. Cette méthode de connexion fonctionne pour les instances avec des adresses IP publiques et privées.
**Exigences**
+ Exigences relatives aux paires de clés
+ Types pris en charge : RSA (OpenSSH et) et SSH2 ED25519
+ Longueurs prises en charge : 2048 et 4096
+ Pour de plus amples informations, veuillez consulter [Créer une paire de clés à l’aide d’un outil tiers et importer la clé publique dans Amazon EC2](create-key-pairs.md#how-to-generate-your-own-key-and-import-it-to-aws).
+ Lors de la connexion à une instance qui n’a que des adresses IP privées, l’ordinateur local à partir duquel vous lancez la session SSH doit avoir une connectivité au point de terminaison du service EC2 Instance Connect (pour pousser votre clé publique SSH vers l’instance) ainsi qu’une connectivité réseau à l’adresse IP privée de l’instance pour établir la session SSH. Le point de terminaison du service EC2 Instance Connect est accessible via Internet ou via une interface virtuelle Direct Connect publique. Pour vous connecter à l’adresse IP privée de l’instance, vous pouvez tirer parti de services tels que [Direct Connect](https://aws.amazon.com/directconnect/), [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/), ou d’un [appairage VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).
**Pour vous connecter à votre instance à l’aide de votre propre clé et d’un client SSH**
1.
**(Facultatif) Générer de nouvelles clés SSH publiques et privées**
Vous pouvez générer de nouvelles clés SSH privées et publiques, `my_key` et `my_key.pub`, à l’aide de la commande suivante :
```
ssh-keygen -t rsa -f my_key
```
1.
**Envoyer votre clé publique SSH en mode push à l’instance**
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/send-ssh-public-key.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/send-ssh-public-key.html) pour pousser votre clé publique SSH vers l’instance. Si vous avez lancé votre instance à l'aide AL2023 d'Amazon Linux 2, le nom d'utilisateur par défaut pour l'AMI est`ec2-user`. Si vous avez lancé votre instance à l’aide d’Ubuntu, le nom d’utilisateur par défaut de l’AMI est `ubuntu`.
L’exemple suivant pousse la clé publique vers l’instance spécifiée dans la zone de disponibilité spécifiée, afin d’authentifier `ec2-user`.
```
aws ec2-instance-connect send-ssh-public-key \
--region us-west-2 \
--availability-zone us-west-2b \
--instance-id i-001234a4bf70dec41EXAMPLE \
--instance-os-user ec2-user \
--ssh-public-key file://my_key.pub
```
1.
**Connexion à l’instance avec votre clé privée**
Utilisez la commande **ssh** pour vous connecter à l’instance à l’aide de la clé privée avant que la clé publique ne soit supprimée des métadonnées de l’instance (vous disposez de 60 secondes avant qu’elle ne soit supprimée). Spécifiez la clé privée qui correspond à la clé publique, le nom d’utilisateur par défaut de l’AMI que vous avez utilisée pour lancer votre instance et le nom DNS public de l’instance (si vous vous connectez via un réseau privé, spécifiez le nom DNS privé ou l’adresse IP). Ajoutez l’option `IdentitiesOnly=yes` pour vous assurer que seuls les fichiers de la configuration ssh et la clé spécifiée sont utilisés pour la connexion.
```
ssh -o "IdentitiesOnly=yes" -i my_key ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com
```
L’exemple suivant utilise `timeout 3600` pour configurer votre session SSH afin qu’elle se termine après une heure. Les processus démarrés pendant la session peuvent continuer à s’exécuter sur votre instance après la fin de la session.
```
timeout 3600 ssh -o “IdentitiesOnly=yes” -i my_key ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com
```
## Dépannage
Si vous recevez une erreur lors d’une tentative de connexion à votre instance, consultez ce qui suit.
+ [Résoudre les problèmes de connexion à votre instance Amazon EC2 Linux](TroubleshootingInstancesConnecting.md)
+ [Comment résoudre les problèmes de connexion à mon instance EC2 à l’aide d’Instance EC2 Connect?](https://repost.aws/knowledge-center/ec2-instance-connect-troubleshooting)
# Désinstallation d’EC2 Instance Connect
Pour désactiver EC2 Instance Connect, connectez-vous à votre instance Linux et désinstallez le package `ec2-instance-connect` qui est installé sur le système d’exploitation. Si la configuration `sshd` correspond à ce qui a été défini quand vous avez installé EC2 Instance Connect, la désinstallation du package `ec2-instance-connect` supprime aussi la configuration `sshd`. Si vous avez modifié la configuration `sshd` après l’installation d’EC2 Instance Connect, vous devez la mettre à jour manuellement.
------
#### [ Amazon Linux ]
Vous pouvez désinstaller EC2 Instance Connect sur AL2023 et Amazon Linux 2 version 2.0.20190618 ou ultérieure, où EC2 Instance Connect est préconfiguré.
**Pour désinstaller EC2 Instance Connect sur une instance lancée à l’aide d’Amazon Linux**
1. Connectez-vous à votre instance à l’aide de SSH. Spécifiez la paire de clés SSH que vous avez utilisée pour votre instance lorsque vous l'avez lancée et le nom d'utilisateur par défaut pour l' AL2023 AMI Amazon Linux 2, qui est`ec2-user`.
Par exemple, la commande **ssh** suivante vous connecte à l’instance ayant le nom DNS public `ec2-a-b-c-d.us-west-2.compute.amazonaws.com` en utilisant la paire de clés `my_ec2_private_key.pem`.
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
1. Désinstallez le package `ec2-instance-connect` à l’aide de la commande **yum**.
```
[ec2-user ~]$ sudo yum remove ec2-instance-connect
```
------
#### [ Ubuntu ]
**Pour désinstaller EC2 Instance Connect sur une instance lancée à l’aide d’une AMI Ubuntu**
1. Connectez-vous à votre instance à l’aide de SSH. Spécifiez la paire de clés SSH que vous avez utilisée pour votre instance lorsque vous l’avez lancée et le nom d’utilisateur par défaut pour l’AMI Ubuntu, c’est-à-dire `ubuntu`.
Par exemple, la commande **ssh** suivante vous connecte à l’instance ayant le nom DNS public `ec2-a-b-c-d.us-west-2.compute.amazonaws.com` en utilisant la paire de clés `my_ec2_private_key.pem`.
```
$ ssh -i my_ec2_private_key.pem ubuntu@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
1. Désinstallez le package `ec2-instance-connect` à l’aide de la commande **apt-get**.
```
ubuntu:~$ sudo apt-get remove ec2-instance-connect
```
------
# Connexion à vos instances à l’aide d’une adresse IP privée et d’un point de terminaison EC2 Instance Connect
Le point de terminaison EC2 Instance Connect vous permet de vous connecter en toute sécurité à une instance depuis Internet, sans utiliser d’hôte bastion ni exiger que votre cloud privé virtuel (VPC) dispose d’une connexion Internet directe.
**Avantages**
+ Vous pouvez vous connecter à vos instances sans qu'elles aient besoin d'une adresse publique IPv4 ou d'une IPv6 adresse. AWS frais pour toutes les IPv4 adresses publiques, y compris les IPv4 adresses publiques associées aux instances en cours d'exécution et les adresses IP Elastic. Pour plus d'informations, consultez l'onglet ** IPv4 Adresse publique** sur la page de [tarification d'Amazon VPC](https://aws.amazon.com/vpc/pricing/).
+ Vous pouvez vous connecter à vos instances depuis Internet sans que votre VPC ait besoin d’une connexion directe à Internet par le biais d’une [passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
+ Vous pouvez contrôler l’accès à la création et à l’utilisation des points de terminaison EC2 Instance Connect pour se connecter aux instances à l’aide de [politiques et d’autorisations IAM](permissions-for-ec2-instance-connect-endpoint.md).
+ Toutes les tentatives de connexion à vos instances, qu'elles soient réussies ou non, sont enregistrées [CloudTrail](log-ec2-instance-connect-endpoint-using-cloudtrail.md).
**Tarification**
L’utilisation des points de terminaison EC2 Instance Connect n’entraîne aucun coût supplémentaire. Si vous utilisez un point de terminaison EC2 Instance Connect pour vous connecter à une instance dans une zone de disponibilité différente, il y a des [frais supplémentaires pour le transfert de données](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer_within_the_same_AWS_Region) entre les zones de disponibilité.
**Topics**
+ [Comment ça marche](#how-eice-works)
+ [Considérations](#ec2-instance-connect-endpoint-prerequisites)
+ [Permissions](permissions-for-ec2-instance-connect-endpoint.md)
+ [Groupes de sécurité](eice-security-groups.md)
+ [Création d’un point de terminaison EC2 Instance Connect](create-ec2-instance-connect-endpoints.md)
+ [Suppression d’un point de terminaison EC2 Instance Connect](modify-ec2-instance-connect-endpoint.md)
+ [Supprimer un point de terminaison EC2 Instance Connect](delete-ec2-instance-connect-endpoint.md)
+ [Connexion à une instance](connect-using-eice.md)
+ [Journalisation des connexions](log-ec2-instance-connect-endpoint-using-cloudtrail.md)
+ [Rôle lié à un service](eice-slr.md)
+ [Quotas](eice-quotas.md)
## Comment ça marche
Le point de terminaison EC2 Instance Connect est un proxy TCP sensible à l’identité. Le service EC2 Instance Connect Endpoint établit un tunnel privé entre votre ordinateur et le point de terminaison à l’aide des informations d’identification de votre entité IAM. Le trafic est authentifié et autorisé avant d’atteindre votre VPC.
Vous pouvez [configurer des règles de groupe de sécurité supplémentaires](eice-security-groups.md) afin de limiter le trafic entrant vers vos instances. Par exemple, vous pouvez utiliser des règles d’entrée pour autoriser le trafic sur les ports de gestion uniquement à partir du point de terminaison EC2 Instance Connect.
Vous pouvez configurer les règles de table de routage pour permettre au point de terminaison de se connecter à n’importe quelle instance de n’importe quel sous-réseau du VPC.
Le schéma suivant montre comment un utilisateur peut se connecter à ses instances depuis Internet à l’aide d’un point de terminaison EC2 Instance Connect. Créez d’abord un point de **terminaison EC2 Instance Connect** dans le sous-réseau A. Nous créons une interface réseau pour le point de terminaison du sous-réseau, qui sert de point d’entrée pour le trafic destiné à vos instances dans le VPC. Si la table de routage du sous-réseau B autorise le trafic en provenance du sous-réseau A, vous pouvez utiliser le point de terminaison pour atteindre les instances du sous-réseau B.
![\[Présentation du flux du point de terminaison EC2 Instance Connect.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ec2-instance-connect-endpoint.png)
## Considérations
Avant de commencer, tenez compte des éléments suivants.
+ Le point de terminaison EC2 Instance Connect est conçu spécifiquement pour les cas d’utilisation du trafic de gestion, et non pour les transferts de données à haut volume. Les transferts de données à haut volume sont limités.
+ Vous pouvez créer un point de terminaison EC2 Instance Connect pour prendre en charge le trafic vers une instance dotée d'une IPv4 adresse ou IPv6 d'une adresse privée. Le type d’adresse IP du point de terminaison doit correspondre à l’adresse IP de l’instance. Vous pouvez créer un point de terminaison qui prend en charge tous les types d’adresses IP.
+ (Instances Linux) Si vous utilisez votre propre paire de clés, vous pouvez utiliser n’importe quelle AMI Linux. Dans le cas contraire, EC2 Instance Connect doit être installé sur votre instance. Pour plus d'informations sur les AMI qui incluent EC2 Instance Connect et sur la manière de l'installer sur d'autres AMI compatibles AMIs, consultez[Installation d’EC2 Instance Connect](ec2-instance-connect-set-up.md).
+ Vous pouvez assigner un groupe de sécurité à un point de terminaison EC2 Instance Connect. Dans le cas contraire, nous utilisons le groupe de sécurité par défaut pour le VPC. Le groupe de sécurité d’un point de terminaison EC2 Instance Connect doit autoriser le trafic sortant vers les instances de destination. Pour de plus amples informations, veuillez consulter [Groupes de sécurité pour le point de terminaison EC2 Instance Connect](eice-security-groups.md).
+ Vous pouvez configurer un point de terminaison EC2 Instance Connect afin de préserver les adresses IP source des clients lors du routage des demandes vers les instances. Dans le cas contraire, l’adresse IP de l’interface réseau devient l’adresse IP client pour tout le trafic entrant.
+ Si vous activez la préservation de l’adresse IP des clients, les groupes de sécurité des instances doivent autoriser le trafic provenant des clients. De plus, les instances doivent se trouver dans le même VPC que le point de terminaison EC2 Instance Connect.
+ Si vous désactivez la préservation des adresses IP client, les groupes de sécurité des instances doivent autoriser le trafic provenant du VPC. Il s’agit de l’option par défaut.
+ La préservation de l’adresse IP du client n’est prise en charge que sur les points de terminaison EC2 Instance Connect IPv4. Pour utiliser la préservation de l'adresse IP du client, le type d'adresse IP du point de terminaison EC2 Instance Connect doit être IPv4. La préservation de l'adresse IP du client n'est pas prise en charge lorsque le type d'adresse IP est à double pile ou IPv6.
+ Les types d’instance suivants ne prennent pas en charge la préservation de l’IP du client : C1, CG1, CG2, G1, HI1, M1, M2, M3 et T1. Si vous activez la préservation de l’adresse IP du client et que vous tentez de vous connecter à une instance avec l’un de ces types d’instance à l’aide du point de terminaison EC2 Instance Connect, la connexion échoue.
+ La préservation de l’IP du client n’est pas prise en charge lorsque le trafic est acheminé par une passerelle de transit.
+ Lorsque vous créez un point de terminaison EC2 Instance Connect, un rôle lié à un service est automatiquement créé pour le service Amazon EC2 dans (IAM). Gestion des identités et des accès AWS Amazon EC2 utilise le rôle lié à un service pour allouer des interfaces réseau dans votre compte, qui sont nécessaires lors de la création de points de terminaison EC2 Instance Connect. Pour de plus amples informations, veuillez consulter [Rôle lié à un service pour le point de terminaison EC2 Instance Connect](eice-slr.md).
+ Vous ne pouvez créer qu’un seul point de terminaison EC2 Instance Connect par VPC et par sous-réseau. Pour de plus amples informations, veuillez consulter [Quotas pour le point de terminaison EC2 Instance Connect](eice-quotas.md). Si vous devez créer un autre point de terminaison EC2 Instance Connect dans une autre zone de disponibilité au sein du même VPC, vous devez d’abord supprimer le point de terminaison EC2 Instance Connect existant. Dans le cas contraire, vous recevrez une erreur de quota.
+ Chaque point de terminaison EC2 Instance Connect peut prendre en charge jusqu’à 20 connexions simultanées.
+ La durée maximale d’une connexion TCP établie est de 1 heure (3 600 secondes). Vous pouvez spécifier la durée maximale autorisée dans une politique IAM, qui peut aller jusqu’à 3 600 secondes. Pour de plus amples informations, veuillez consulter [Autorisations pour utiliser le point de terminaison EC2 Instance Connect afin de se connecter aux instances](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).
La durée de la connexion n’est pas déterminée par la durée de validité de vos informations d’identification IAM. Si vos informations d’identification IAM expirent, la connexion reste active jusqu’à ce que la durée maximale spécifiée soit atteinte. Lorsque vous vous connectez à une instance à l’aide de l’expérience de console EC2 Instance Connect Endpoint, définissez la **durée maximale du tunnel (en secondes)** sur une valeur inférieure à la durée de vos informations d’identification IAM. Si vos informations d’identification IAM expirent plus tôt, mettez fin à la connexion à votre instance en fermant la page du navigateur.
# Accorder des permissions afin d’utiliser le point de terminaison EC2 Instance Connect
Par défaut, les entités IAM ne sont pas autorisées à créer, décrire ou modifier les points de terminaison EC2 Instance Connect. Un administrateur IAM peut créer des politiques IAM qui accordent les autorisations nécessaires afin d’effectuer des actions spécifiques sur les ressources dont ils ont besoin.
Pour obtenir des informations sur la création de politiques IAM, veuillez consulter [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les exemples de politiques suivants montrent comment vous pouvez contrôler les autorisations dont disposent les utilisateurs pour les points de terminaison des instances EC2.
**Topics**
+ [Autorisations pour créer, décrire, modifier et supprimer des points de terminaison EC2 Instance Connect](#iam-CreateInstanceConnectEndpoint)
+ [Autorisations pour utiliser le point de terminaison EC2 Instance Connect afin de se connecter aux instances](#iam-OpenTunnel)
+ [Autorisations de se connecter uniquement à partir d’une plage d’adresses IP spécifique](#iam-sourceip)
## Autorisations pour créer, décrire, modifier et supprimer des points de terminaison EC2 Instance Connect
Pour créer et modifier un point de terminaison EC2 Instance Connect, les utilisateurs doivent disposer des autorisations nécessaires pour effectuer les actions suivantes :
+ `ec2:CreateInstanceConnectEndpoint`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateTags`
+ `ec2:ModifyInstanceConnectEndpoint`
+ `iam:CreateServiceLinkedRole`
Pour décrire et supprimer des points de terminaison EC2 Instance Connect, les utilisateurs ont besoin d’autorisations pour les actions suivantes :
+ `ec2:DescribeInstanceConnectEndpoints`
+ `ec2:DeleteInstanceConnectEndpoint`
Vous pouvez créer une politique qui accorde l’autorisation de créer, décrire, modifier et supprimer des points de terminaison EC2 Instance Connect dans tous les sous-réseaux. Vous pouvez également restreindre les actions pour des sous-réseaux spécifiques uniquement en spécifiant le sous-réseau ARNs comme étant autorisé `Resource` ou en utilisant la clé de `ec2:SubnetID` condition. Vous pouvez également utiliser la clé de condition `aws:ResourceTag` pour autoriser ou refuser explicitement la création de points de terminaison avec certaines balises. Pour de plus amples informations, veuillez consulter [Policies and permissions in IAM (Stratégies et autorisations dans IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *IAM Guide de l’utilisateur*.
**Exemple de politique IAM**
Dans l’exemple de politique IAM suivant, la section `Resource` accorde l’autorisation de créer, modifier et de supprimer des points de terminaison dans tous les sous-réseaux, spécifiés par l’astérisque (`*`). Les actions d’API `ec2:Describe*` ne prennent pas en charge les autorisations au niveau des ressources. Par conséquent, le caractère générique `*` est nécessaire dans l’élément `Resource`.
## Autorisations pour utiliser le point de terminaison EC2 Instance Connect afin de se connecter aux instances
L’action `ec2-instance-connect:OpenTunnel` accorde l’autorisation d’établir une connexion TCP à une instance pour se connecter via le point de terminaison EC2 Instance Connect. Vous pouvez spécifier le point de terminaison EC2 Instance Connect à utiliser. Alternativement, une `Resource` avec un astérisque (`*`) permet aux utilisateurs d’utiliser n’importe quel point de terminaison EC2 Instance Connect disponible. Vous pouvez également limiter l’accès aux instances en fonction de la présence ou de l’absence de balises de ressources en tant que clés de condition.
**Conditions**
+ `ec2-instance-connect:remotePort` – Le port de l’instance qui peut être utilisé afin d’établir une connexion TCP. Lorsque cette clé de condition est utilisée, toute tentative de connexion à une instance sur un port autre que celui spécifié dans la politique se solde par un échec.
+ `ec2-instance-connect:privateIpAddress` – L’adresse IP privée de destination associée à l’instance avec laquelle vous souhaitez établir une connexion TCP. Vous pouvez spécifier une adresse IP unique, telle que`10.0.0.1/32`, ou une plage de IPs points CIDRs, telle que`10.0.1.0/28`. Lorsque cette clé de condition est utilisée, toute tentative de connexion à une instance ayant une adresse IP privée différente ou en dehors de la plage d’adresses CIDR se solde par un échec.
+ `ec2-instance-connect:maxTunnelDuration` – La durée maximale d’une connexion TCP établie. L’unité est la seconde et la durée va d’un minimum de 1 seconde à un maximum de 3 600 secondes (1 heure). Si la condition n’est pas spécifiée, la durée par défaut est fixée à 3 600 secondes (1 heure). La tentative de connexion à une instance pendant une durée supérieure à celle spécifiée dans la politique IAM ou supérieure à la durée maximale par défaut entraîne un échec. La connexion est interrompue après la durée spécifiée.
Si `maxTunnelDuration` est spécifié dans la politique IAM et que la valeur spécifiée est inférieure à 3 600 secondes (valeur par défaut), vous devez spécifier `--max-tunnel-duration` dans la commande lors de la connexion à une instance. Pour plus d’informations sur la manière de se connecter à une instance, consultez [Connexion à une instance Amazon EC2 à l’aide du point de terminaison EC2 Instance Connect](connect-using-eice.md).
Vous pouvez également autoriser un utilisateur à établir des connexions avec des instances en fonction de la présence de balises de ressources sur le point de terminaison EC2 Instance Connect. Pour plus d’informations, consultez [Politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
Pour les instances Linux, l’action `ec2-instance-connect:SendSSHPublicKey` permet d’accorder l’autorisation d’intégrer la clé publique à une instance. La condition `ec2:osuser` spécifie le nom de l’utilisateur du système d’exploitation qui peut envoyer la clé publique en mode push à une instance. Utilisez le [nom d’utilisateur par défaut de l’AMI](connection-prereqs-general.md#connection-prereqs-get-info-about-instance) que vous avez utilisé pour lancer l’instance. Pour de plus amples informations, veuillez consulter [Accorder des autorisations IAM pour EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).
**Exemple de politique IAM**
Les exemples suivants de politiques IAM permettent à un principal IAM de se connecter à une instance en utilisant uniquement le point de terminaison EC2 Instance Connect spécifié, identifié par l’ID de point de terminaison spécifié `eice-123456789abcdef`. La connexion n’est établie avec succès que si toutes les conditions sont remplies.
**Note**
Les actions d’API `ec2:Describe*` ne prennent pas en charge les autorisations au niveau des ressources. Par conséquent, le caractère générique `*` est nécessaire dans l’élément `Resource`.
------
#### [ Linux ]
Cet exemple évalue si la connexion à l’instance est établie sur le port 22 (SSH), si l’adresse IP privée de l’instance se situe dans la plage de `10.0.1.0/31` (entre `10.0.1.0` et`10.0.1.1`) et si elle `maxTunnelDuration` est inférieure ou égale à quelques secondes. `3600` La connexion est interrompue au bout de `3600` secondes (1 heure).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "EC2InstanceConnect",
"Action": "ec2-instance-connect:OpenTunnel",
"Effect": "Allow",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"NumericEquals": {
"ec2-instance-connect:remotePort": "22"
},
"IpAddress": {
"ec2-instance-connect:privateIpAddress": "10.0.1.0/31"
},
"NumericLessThanEquals": {
"ec2-instance-connect:maxTunnelDuration": "3600"
}
}
},
{
"Sid": "SSHPublicKey",
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:osuser": "ami-username"
}
}
},
{
"Sid": "Describe",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
------
#### [ Windows ]
Cet exemple évalue si la connexion à l’instance est établie sur le port 3389 (RDP), si l’adresse IP privée de l’instance se situe dans la plage de `10.0.1.0/31` (entre `10.0.1.0` et`10.0.1.1`) et si elle `maxTunnelDuration` est inférieure ou égale à quelques secondes. `3600` La connexion est interrompue au bout de `3600` secondes (1 heure).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "EC2InstanceConnect",
"Action": "ec2-instance-connect:OpenTunnel",
"Effect": "Allow",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"NumericEquals": {
"ec2-instance-connect:remotePort": "3389"
},
"IpAddress": {
"ec2-instance-connect:privateIpAddress": "10.0.1.0/31"
},
"NumericLessThanEquals": {
"ec2-instance-connect:maxTunnelDuration": "3600"
}
}
},
{
"Sid": "Describe",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
------
## Autorisations de se connecter uniquement à partir d’une plage d’adresses IP spécifique
L’exemple de politique IAM suivant permet à un principal IAM de se connecter à une instance à condition qu’il se connecte à partir d’une adresse IP comprise dans la plage d’adresses IP spécifiée dans la politique. Si le principal IAM appelle `OpenTunnel` à partir d’une adresse IP qui ne se trouve pas dans `192.0.2.0/24` (la plage d’adresses IP de l’exemple dans cette politique), la réponse sera `Access Denied`. Pour de plus amples informations, veuillez consulter [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) dans le *Guide de l’utilisateur IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:OpenTunnel",
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"IpAddress": {
"aws:SourceIp": "192.0.2.0/24"
},
"NumericEquals": {
"ec2-instance-connect:remotePort": "22"
}
}
},
{
"Sid": "SSHPublicKey",
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:osuser": "ami-username"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Resource": "*"
}
]
}
```
------
# Groupes de sécurité pour le point de terminaison EC2 Instance Connect
Un groupe de sécurité contrôle le trafic autorisé à atteindre et à quitter les ressources auxquelles il est associé. Par exemple, nous refusons le trafic à destination et en provenance d’une instance Amazon EC2 à moins qu’il ne soit spécifiquement autorisé par les groupes de sécurité associés à l’instance.
Les exemples suivants vous montrent comment configurer les règles de groupe de sécurité pour le point de terminaison EC2 Instance Connect et les instances cibles.
**Topics**
+ [Règles du groupe de sécurité du point de terminaison EC2 Instance Connect](#eice-security-group-rules)
+ [Règles du groupe de sécurité de l’instance cible](#resource-security-group-rules)
## Règles du groupe de sécurité du point de terminaison EC2 Instance Connect
Les règles du groupe de sécurité pour un point de terminaison EC2 Instance Connect doivent autoriser le trafic sortant destiné aux instances cibles à quitter le point de terminaison. Vous pouvez spécifier le groupe de sécurité de l'instance IPv4 ou la plage d' IPv6 adresses du VPC comme destination.
Le trafic vers le point de terminaison provient du service EC2 Instance Connect Endpoint, et il est autorisé quelles que soient les règles de trafic entrant pour le groupe de sécurité du point de terminaison. Pour contrôler qui peut utiliser le point de terminaison EC2 Instance Connect pour se connecter à une instance, utilisez une politique IAM. Pour de plus amples informations, veuillez consulter [Autorisations pour utiliser le point de terminaison EC2 Instance Connect afin de se connecter aux instances](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).
**Exemple de règle sortante : référencement de groupes de sécurité**
L’exemple suivant utilise le référencement des groupes de sécurité, ce qui signifie que la destination est un groupe de sécurité associé aux instances cibles. Cette règle autorise le trafic sortant du point de terminaison vers toutes les instances qui utilisent ce groupe de sécurité.
| Protocole | Destination | Plage de ports | Comment |
| --- | --- | --- | --- |
| TCP | ID of instance security group | 22 | Autorise le trafic SSH sortant vers toutes les instances associées au groupe de sécurité d’instance |
**Exemple de règle sortante : plage d' IPv4 adresses**
L'exemple suivant autorise le trafic sortant vers la plage d' IPv4 adresses spécifiée. Les IPv4 adresses d'une instance sont attribuées à partir de son sous-réseau. Vous pouvez donc utiliser la plage d' IPv4 adresses du VPC.
| Protocole | Destination | Plage de ports | Comment |
| --- | --- | --- | --- |
| TCP | VPC IPv4 CIDR | 22 | Autorise le trafic SSH sortant vers le VPC |
**Exemple de règle sortante : plage d' IPv6 adresses**
L'exemple suivant autorise le trafic sortant vers la plage d' IPv6 adresses spécifiée. Les IPv6 adresses d'une instance sont attribuées à partir de son sous-réseau. Vous pouvez donc utiliser la plage d' IPv6 adresses du VPC.
| Protocole | Destination | Plage de ports | Comment |
| --- | --- | --- | --- |
| TCP | VPC IPv6 CIDR | 22 | Autorise le trafic SSH sortant vers le VPC |
## Règles du groupe de sécurité de l’instance cible
Les règles du groupe de sécurité pour les instances cibles doivent autoriser le trafic entrant depuis le point de terminaison EC2 Instance Connect. Vous pouvez spécifier le groupe de sécurité du point de terminaison IPv4 ou une plage d' IPv6 adresses ou comme source. Si vous spécifiez une plage d' IPv4 adresses, la source varie selon que la préservation de l'adresse IP du client est activée ou désactivée. Pour de plus amples informations, veuillez consulter [Considérations](connect-with-ec2-instance-connect-endpoint.md#ec2-instance-connect-endpoint-prerequisites).
Les groupes de sécurité étant dynamiques, le trafic de réponse est autorisé à quitter le VPC quelles que soient les règles de sortie applicables au groupe de sécurité d’instance.
**Exemple de règle entrante : référencement de groupes de sécurité**
L’exemple suivant utilise le référencement de groupes de sécurité, ce qui signifie que la source est le groupe de sécurité associé au point de terminaison. Cette règle autorise le trafic SSH entrant depuis le point de terminaison vers toutes les instances qui utilisent ce groupe de sécurité, que la préservation de l’adresse IP du client soit activée ou non. S’il n’existe aucune autre règle de groupe de sécurité entrant pour SSH, les instances acceptent le trafic SSH uniquement en provenance du point de terminaison.
| Protocole | Source | Plage de ports | Comment |
| --- | --- | --- | --- |
| TCP | ID of endpoint security group | 22 | Autorise le trafic SSH entrant à partir des ressources associées au groupe de sécurité du point de terminaison |
**Exemple de règle entrante : conservation de l’adresse IP du client désactivée**
L'exemple suivant autorise le trafic SSH entrant à partir de la plage d' IPv4adresses spécifiée. La préservation de l'adresse IP du client étant désactivée, l' IPv4 adresse source est l'adresse de l'interface réseau du point de terminaison. L'adresse de l'interface réseau du point de terminaison est attribuée à partir de son sous-réseau. Vous pouvez donc utiliser la plage d' IPv4 adresses du VPC pour autoriser les connexions à toutes les instances du VPC.
| Protocole | Source | Plage de ports | Comment |
| --- | --- | --- | --- |
| TCP | VPC IPv4 CIDR | 22 | Autorise le trafic SSH entrant depuis le VPC |
**Exemple de règle entrante : préservation de l’adresse IP du client sur**
L'exemple suivant autorise le trafic SSH entrant à partir de la plage d' IPv4adresses spécifiée. La préservation de l'adresse IP du client étant activée, l' IPv4 adresse source est l'adresse du client.
| Protocole | Source | Plage de ports | Comment |
| --- | --- | --- | --- |
| TCP | Public IPv4 address range | 22 | Autorise le trafic entrant à partir de la plage d' IPv4 adresses client spécifiée |
# Création d’un point de terminaison EC2 Instance Connect
Vous pouvez créer un point de terminaison EC2 Instance Connect afin de garantir une connexion sécurisée à vos instances.
**Considérations**
+ **Sous-réseaux partagés** : vous pouvez créer un point de terminaison EC2 Instance Connect dans un sous-réseau qui est partagé avec vous. Cependant, vous ne pouvez pas utiliser les points de terminaison EC2 Instance Connect créés par le propriétaire du VPC dans un sous-réseau partagé avec vous.
+ **Types d’adresses IP** : les points de terminaison EC2 Instance Connect prennent en charge les types d’adresses suivants, qui doivent être compatibles avec votre sous-réseau :
+ `ipv4`— Connectez-vous uniquement aux instances EC2 avec des IPv4 adresses privées.
+ `dualstack`— Connectez-vous aux instances EC2 avec des IPv4 adresses privées ou des IPv6 adresses.
+ `ipv6`— Connectez-vous uniquement aux instances EC2 dotées d' IPv6adresses.
**Conditions préalables**
Vous devez disposer des autorisations IAM requises pour créer un point de terminaison EC2 Instance Connect. Pour de plus amples informations, veuillez consulter [Autorisations pour créer, décrire, modifier et supprimer des points de terminaison EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).
------
#### [ Console ]
**Pour créer un point de terminaison EC2 Instance Connect**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation de gauche, sélectionnez **Points de terminaison**.
1. Choisissez **Créer un point de terminaison**, puis spécifiez les paramètres du point de terminaison comme suit :
1. (Facultatif) Pour **Balise de nom**, saisissez un nom pour le point de terminaison.
1. Pour **Type**, choisissez **Point de terminaison EC2 Instance Connect**.
1. Sous **Paramètres réseau**, pour **VPC**, sélectionnez le VPC qui contient les instances cibles.
1. (Facultatif) Pour conserver les adresses IP des clients, développez **Paramètres supplémentaires** et cochez la case **Préserver l’adresse IP**. Sinon, l’interface réseau du point de terminaison est utilisée par défaut comme adresse IP du client.
**Note**
Cette option n'est disponible que lorsque le type d'adresse IP du point de terminaison est configuré comme IPv4.
1. (Facultatif) Pour **Groupes de sécurité**, sélectionnez le groupe de sécurité à associer au point de terminaison. Dans le cas contraire, le groupe de sécurité par défaut est utilisé pour le VPC. Pour de plus amples informations, veuillez consulter [Groupes de sécurité pour le point de terminaison EC2 Instance Connect](eice-security-groups.md).
1. Pour **Sous-réseau**, sélectionnez le sous-réseau dans lequel créer le point de terminaison.
1. Pour **Type d’adresse IP**, choisissez le type d’adresse IP du point de terminaison. Choisissez **Dualstack** si vous devez prendre en charge les deux options IPv4 et les IPv6 connexions à vos instances. Choisissez **IPv4**si vous devez prendre en charge la préservation de l'adresse IP du client.
1. (Facultatif) Pour ajouter une balise, choisissez **Ajouter une nouvelle balise** et entrez la clé et la valeur de la balise.
1. Vérifiez vos paramètres, puis sélectionnez **Créer un point de terminaison**.
L’état initial du point de terminaison est **En attente**. Avant de pouvoir vous connecter à une instance à l’aide de ce point de terminaison, vous devez attendre que l’état du point de terminaison soit **Disponible**. Cette opération peut prendre quelques minutes.
1. Pour vous connecter à une instance à l’aide de votre point de terminaison, consultez[Connexion à une instance](connect-using-eice.md).
------
#### [ AWS CLI ]
**Pour créer un point de terminaison EC2 Instance Connect**
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/create-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-instance-connect-endpoint.html).
```
aws ec2 create-instance-connect-endpoint \
--subnet-id subnet-0123456789example
```
Pour spécifier le type de trafic pris en charge par le point de terminaison, incluez le paramètre `--ip-address-type`. Les valeurs valides sont `ipv4`, `dualstack` ou `ipv6`. Le sous-réseau doit prendre en charge le type d’adresse IP que vous spécifiez. Lorsque le paramètre `--ip-address-type` est omis, la valeur par défaut est déterminée par le type d’adresse IP pris en charge par le sous-réseau.
```
aws ec2 create-instance-connect-endpoint \
--subnet-id subnet-0123456789example \
--ip-address-type ipv4
```
Voici un exemple de sortie.
```
{
"OwnerId": "111111111111",
"InstanceConnectEndpointId": "eice-0123456789example",
"InstanceConnectEndpointArn": "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example",
"State": "create-complete",
"StateMessage": "",
"DnsName": "eice-0123456789example.0123abcd.ec2-instance-connect-endpoint.us-east-1.amazonaws.com",
"FipsDnsName": "eice-0123456789example.0123abcd.fips.ec2-instance-connect-endpoint.us-east-1.amazonaws.com",
"NetworkInterfaceIds": [
"eni-0123abcd"
],
"VpcId": "vpc-0123abcd",
"AvailabilityZone": "us-east-1a",
"AvailabilityZoneId": "use1-az4",
"CreatedAt": "2023-04-07T15:43:53.000Z",
"SubnetId": "subnet-0123abcd",
"PreserveClientIp": false,
"SecurityGroupIds": [
"sg-0123abcd"
],
"Tags": [],
"IpAddressType": "ipv4"
}
```
**Pour surveiller le statut de création**
La valeur initiale du champ `State` est `create-in-progress`. Avant de pouvoir vous connecter à une instance à l’aide de ce point de terminaison, attendez que l’état soit `create-complete`. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html)commande pour surveiller l’état du point de terminaison EC2 Instance Connect. Le paramètre `--query` filtre les résultats dans le champ `State`.
```
aws ec2 describe-instance-connect-endpoints --instance-connect-endpoint-ids eice-0123456789example --query InstanceConnectEndpoints[*].State --output text
```
Voici un exemple de sortie.
```
create-complete
```
------
#### [ PowerShell ]
**Pour créer un point de terminaison EC2 Instance Connect**
Utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InstanceConnectEndpoint.html).
```
New-EC2InstanceConnectEndpoint -SubnetId subnet-0123456789example
```
Pour spécifier le type de trafic pris en charge par le point de terminaison, incluez le paramètre `-IpAddressType`. Les valeurs valides sont `ipv4`, `dualstack` ou `ipv6`. Le sous-réseau doit prendre en charge le type d’adresse IP que vous spécifiez. Lorsque le paramètre `-IpAddressType` est omis, la valeur par défaut est déterminée par le type d’adresse IP pris en charge par le sous-réseau.
```
New-EC2InstanceConnectEndpoint -SubnetId subnet-0123456789example -IpAddressType ipv4
```
Voici un exemple de sortie.
```
OwnerId : 111111111111
InstanceConnectEndpointId : eice-0123456789example
InstanceConnectEndpointArn : arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example
State : create-complete
StateMessage :
DnsName : eice-0123456789example.0123abcd.ec2-instance-connect-endpoint.us-east-1.amazonaws.com
FipsDnsName : eice-0123456789example.0123abcd.fips.ec2-instance-connect-endpoint.us-east-1.amazonaws.com
NetworkInterfaceIds : {eni-0123abcd}
VpcId : vpc-0123abcd
AvailabilityZone : us-east-1a
AvailabilityZoneId : use1-az4
CreatedAt : 4/7/2023 3:43:53 PM
SubnetId : subnet-0123abcd
PreserveClientIp : False
SecurityGroupIds : {sg-0123abcd}
Tags : {}
IpAddressType : ipv4
```
**Pour surveiller le statut de création**
La valeur initiale du champ `State` est `create-in-progress`. Avant de pouvoir vous connecter à une instance à l’aide de ce point de terminaison, attendez que l’état soit `create-complete`. Utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html) pour surveiller l’état du point de terminaison EC2 Instance Connect. `.State.Value` filtre les résultats selon le champ `State`.
```
(Get-EC2InstanceConnectEndpoint -InstanceConnectEndpointId "eice-0123456789example").State.Value
```
Voici un exemple de sortie.
```
create-complete
```
------
# Suppression d’un point de terminaison EC2 Instance Connect
Vous pouvez modifier les points de terminaison EC2 Instance Connect existants à l'aide du AWS CLI ou d'un SDK. La console Amazon EC2 ne prend pas en charge la modification du point de terminaison.
Avant de commencer, vous devez disposer des autorisations IAM requises. Pour de plus amples informations, veuillez consulter [Autorisations pour créer, décrire, modifier et supprimer des points de terminaison EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).
## Paramètres que vous pouvez modifier
Vous pouvez modifier les paramètres du point de terminaison EC2 Instance Connect suivants :
**Groupes de sécurité**
Vous pouvez spécifier de nouveaux groupes de sécurité pour le point de terminaison EC2 Instance Connect. Les nouveaux groupes de sécurité remplacent les groupes de sécurité actuels.
Lorsque vous modifiez les groupes de sécurité, vous devez spécifier :
+ Au moins un groupe de sécurité, même s’il ne s’agit que du groupe de sécurité par défaut du VPC.
+ Les groupes IDs de sécurité, pas les noms.
**Type d’adresse IP**
Vous pouvez spécifier un nouveau type d’adresse IP pour le point de terminaison EC2 Instance Connect.
Valeurs valides : `ipv4` \$1 `dualstack` \$1 `ipv6`
**Paramètre de préservation de l’adresse IP du client**
Vous pouvez spécifier s’il convient de conserver l’adresse IP du client comme source.
La préservation de l’adresse IP du client n’est prise en charge que sur les points de terminaison EC2 Instance Connect IPv4. Lors de l’activation de `PreserveClientIp`, le type d’adresse IP existant du point de terminaison doit être `ipv4`, ou si vous modifiez le type d’adresse IP dans la même demande, la nouvelle valeur doit être `ipv4`.
------
#### [ AWS CLI ]
**Modification d’un point de terminaison EC2 Instance Connect**
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-connect-endpoint.html) et spécifiez le point de terminaison de connexion de l’instance EC2 et les paramètres à modifier. L’exemple suivant modifie tous les paramètres dans une même requête.
```
aws ec2 modify-instance-connect-endpoint \
--instance-connect-endpoint-id eice-0123456789example \
--security-group-ids sg-0123456789example \
--ip-address-type dualstack \
--no-preserve-client-ip
```
Voici un exemple de sortie.
```
{
"Return": true
}
```
**Pour surveiller le statut de mise à jour**
Lors de la modification, l’état du point de terminaison EC2 Instance Connect passe à `update-in-progress`. Le processus de mise à jour s’exécute de manière asynchrone et se termine par un statut `update-complete` ou `update-failed`. Le point de terminaison utilise son ancienne configuration jusqu’à ce que le statut passe à `update-complete`.
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html) pour surveiller le statut de mise à jour. Le paramètre `--query` filtre les résultats dans le champ `State`.
```
aws ec2 describe-instance-connect-endpoints \
--instance-connect-endpoint-ids eice-0123456789example \
--query InstanceConnectEndpoints[*].State --output text
```
Voici un exemple de sortie.
```
update-complete
```
------
#### [ PowerShell ]
**Modification d’un point de terminaison EC2 Instance Connect**
Utilisez l’applet de commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceConnectEndpoint.html) et spécifiez le point de terminaison EC2 Instance Connect et les paramètres à modifier. L’exemple suivant modifie tous les paramètres dans une même requête.
```
Edit-EC2InstanceConnectEndpoint `
-InstanceConnectEndpointId eice-0123456789example `
-SecurityGroupIds sg-0123456789example `
-IpAddressType dualstack `
-PreserveClientIp $false
```
Voici un exemple de sortie.
```
True
```
**Pour surveiller le statut de mise à jour**
Lors de la modification, l’état du point de terminaison EC2 Instance Connect passe à `update-in-progress`. Le processus de mise à jour s’exécute de manière asynchrone et se termine par un statut `update-complete` ou `update-failed`. Le point de terminaison utilise son ancienne configuration jusqu’à ce que le statut passe à `update-complete`.
Utilisez la commande [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html) pour surveiller le statut de la mise à jour. `.State.Value` filtre les résultats selon le champ `State`.
```
(Get-EC2InstanceConnectEndpoint -InstanceConnectEndpointId "eice-0123456789example").State.Value
```
Voici un exemple de sortie.
```
update-complete
```
------
# Supprimer un point de terminaison EC2 Instance Connect
Lorsque vous avez terminé avec un point de terminaison EC2 Instance Connect, vous pouvez le supprimer.
Vous devez disposer des autorisations IAM requises pour créer un point de terminaison EC2 Instance Connect. Pour de plus amples informations, veuillez consulter [Autorisations pour créer, décrire, modifier et supprimer des points de terminaison EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).
Lorsque vous supprimez un point de terminaison EC2 Instance Connect à l’aide de la console, il passe à l’état **Supprimer**. Si la suppression est réussie, le point de terminaison supprimé n’apparaît plus. Si l’action de suppression échoue, l’état est **delete-failed** et le **Message de statut** indique la raison de l’échec.
Lorsque vous supprimez un point de terminaison EC2 Instance Connect à l'aide du AWS CLI, il passe à l'`delete-in-progress`état. Si la suppression est réussie, elle passe à l’`delete-complete`état. Si la suppression échoue, l’état est rétabli `delete-failed` et `StateMessage` indique la raison de l’échec.
------
#### [ Console ]
**Pour supprimer un point de terminaison EC2 Instance Connect**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation de gauche, sélectionnez **Points de terminaison**.
1. Sélectionnez le point de terminaison.
1. Choisissez **Actions**, **Delete VPC endpoints** (Supprimer le point de terminaison de VPC).
1. À l’invite de confirmation, saisissez **delete**.
1. Sélectionnez **Delete (Supprimer)**.
------
#### [ AWS CLI ]
**Pour supprimer un point de terminaison EC2 Instance Connect**
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html) et indiquez l’ID du point de terminaison EC2 Instance Connect à supprimer.
```
aws ec2 delete-instance-connect-endpoint --instance-connect-endpoint-id eice-03f5e49b83924bbc7
```
Voici un exemple de sortie.
```
{
"InstanceConnectEndpoint": {
"OwnerId": "111111111111",
"InstanceConnectEndpointId": "eice-0123456789example",
"InstanceConnectEndpointArn": "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example",
"State": "delete-in-progress",
"StateMessage": "",
"NetworkInterfaceIds": [],
"VpcId": "vpc-0123abcd",
"AvailabilityZone": "us-east-1d",
"AvailabilityZoneId": "use1-az2",
"CreatedAt": "2023-02-07T12:05:37+00:00",
"SubnetId": "subnet-0123abcd"
}
}
```
------
#### [ PowerShell ]
**Pour supprimer un point de terminaison EC2 Instance Connect**
Utilisez l’applet de commande [https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html) et indiquez l’ID du point de terminaison EC2 Instance Connect à supprimer.
```
Remove-EC2InstanceConnectEndpoint -InstanceConnectEndpointId eice-03f5e49b83924bbc7
```
Voici un exemple de sortie.
```
@{
InstanceConnectEndpoint = @{
OwnerId = "111111111111"
InstanceConnectEndpointId = "eice-0123456789example"
InstanceConnectEndpointArn = "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example"
State = "delete-in-progress"
StateMessage = ""
NetworkInterfaceIds = @()
VpcId = "vpc-0123abcd"
AvailabilityZone = "us-east-1d"
AvailabilityZoneId = "use1-az2"
CreatedAt = "2023-02-07T12:05:37+00:00"
SubnetId = "subnet-0123abcd"
}
}
```
------
# Connexion à une instance Amazon EC2 à l’aide du point de terminaison EC2 Instance Connect
Vous pouvez utiliser le point de terminaison EC2 Instance Connect pour vous connecter à une instance Amazon EC2 qui prend en charge SSH ou RDP.
**Conditions préalables**
+ Vous devez disposer des autorisations IAM requises pour vous connecter à un point de terminaison EC2 Instance Connect. Pour de plus amples informations, veuillez consulter [Autorisations pour utiliser le point de terminaison EC2 Instance Connect afin de se connecter aux instances](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).
+ Le point de terminaison EC2 Instance Connect doit avoir l’un des statuts suivants :
+ **create-complete** pour un nouveau point de terminaison
+ **update-in-progress**, **mise à jour terminée ou** **échec de la mise à jour pour un point de** terminaison existant en cours de modification. Lors de la modification d’un point de terminaison, celui-ci continue d’utiliser sa configuration d’origine jusqu’à ce que le statut passe à **update-complete**.
Si votre VPC ne dispose pas d’un point de terminaison EC2 Instance Connect, vous pouvez en créer un. Pour de plus amples informations, veuillez consulter [Création d’un point de terminaison EC2 Instance Connect](create-ec2-instance-connect-endpoints.md).
+ Le type d’adresse IP du point de terminaison EC2 Instance Connect doit être compatible avec le type d’adresse IP de l’instance. Si le type d'adresse IP de votre point de terminaison est à double pile, il peut fonctionner à la fois pour les IPv6 adresses IPv4 et les adresses.
+ (Instance Connect) Pour utiliser la console Amazon EC2 afin de se connecter à votre instance, ou pour utiliser la CLI afin que EC2 Instance Connect gère la clé éphémère, EC2 Instance Connect doit être installé sur votre instance. Pour de plus amples informations, veuillez consulter [Installation d’EC2 Instance Connect](ec2-instance-connect-set-up.md).
+ Assurez-vous que le groupe de sécurité de l’instance autorise le trafic SSH entrant à partir du point de terminaison EC2 Instance Connect. Pour de plus amples informations, veuillez consulter [Règles du groupe de sécurité de l’instance cible](eice-security-groups.md#resource-security-group-rules).
**Topics**
+ [Connexion à votre instance Linux à l’aide de la console Amazon EC2](#connect-using-the-ec2-console)
+ [Se connecter à votre instance Linux à l’aide de SSH](#eic-connect-using-ssh)
+ [Connectez-vous à votre instance Linux à l'aide de son ID d'instance à l'aide du AWS CLI](#eic-connect-using-cli)
+ [Se connecter à votre instance Windows à l’aide de RDP](#eic-connect-using-rdp)
+ [Dépannage](#troubleshoot-eice)
## Connexion à votre instance Linux à l’aide de la console Amazon EC2
Vous pouvez vous connecter à une instance à l’aide de la console Amazon EC2 (un client basé sur un navigateur) comme suit.
**Pour vous connecter à votre instance à l’aide de la console Amazon EC2**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, choisissez **Instances**.
1. Sélectionnez l’instance, puis choisissez **Connecter**.
1. Choisissez l’onglet **EC2 Instance Connect**.
1. Pour **Type de connexion**, choisissez **Se connecter à l’aide d’une adresse IP privée**.
1. Choisissez ** IPv4 Adresse privée** ou **IPv6adresse**. Les options sont disponibles en fonction des adresses IP attribuées à votre instance. Si une option est grisée, cela signifie qu’aucune adresse IP de ce type n’est attribuée à votre instance.
1. Pour le **Point de terminaison EC2 Instance Connect**, choisissez l’ID du point de terminaison EC2 Instance Connect.
**Note**
Le point de terminaison EC2 Instance Connect doit être compatible avec l’adresse IP que vous avez choisie à l’étape précédente. Si le type d'adresse IP de votre point de terminaison est à double pile, il peut fonctionner à la fois pour les IPv6 adresses IPv4 et les adresses. Pour de plus amples informations, veuillez consulter [Création d’un point de terminaison EC2 Instance Connect](create-ec2-instance-connect-endpoints.md).
1. Pour **Nom d’utilisateur**, si l’AMI que vous avez utilisée pour lancer l’instance utilise un nom d’utilisateur autre que`ec2-user`, entrez le nom d’utilisateur correct.
1. Pour **Durée maximale du tunnel (secondes)**, saisissez la durée maximale autorisée pour la connexion SSH.
La durée doit être conforme à la condition `maxTunnelDuration` spécifiée dans la politique IAM. Si vous n’avez pas accès à la mise à jour de vos politiques IAM, contactez votre administrateur.
1. Choisissez **Se connecter**. Cela ouvre une fenêtre de terminal pour votre instance.
## Se connecter à votre instance Linux à l’aide de SSH
Vous pouvez utiliser SSH pour vous connecter à votre instance Linux et utiliser la commande `open-tunnel` pour établir un tunnel privé. Vous pouvez utiliser `open-tunnel` en mode connexion unique ou multi-connexion. Vous pouvez spécifier l'ID de votre instance, une IPv4 adresse privée ou une IPv6 adresse.
Pour plus d'informations sur l'utilisation du AWS CLI pour vous connecter à votre instance via SSH, consultez[Connectez-vous à l'aide du AWS CLI](ec2-instance-connect-methods.md#connect-linux-inst-eic-cli-ssh).
Les exemples suivants utilisent [OpenSSH](https://www.openssh.com/). Vous pouvez utiliser n’importe quel autre client SSH qui prend en charge le mode proxy.
### Connexion simple
**Pour n’autoriser qu’une seule connexion à une instance en utilisant SSH et la commande `open-tunnel`**
Utilisez `ssh` et la [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) AWS CLI commande comme suit. La commande proxy `-o` contient la commande `open-tunnel` qui crée le tunnel privé vers l’instance.
```
ssh -i my-key-pair.pem ec2-user@i-1234567890abcdef0 \
-o ProxyCommand='aws ec2-instance-connect open-tunnel --instance-id i-1234567890abcdef0'
```
Pour :
+ `-i` – Spécifie la paire de clés utilisée pour lancer l’instance.
+ `ec2-user@i-1234567890abcdef0` – Spécifie le nom d’utilisateur de l’AMI qui a été utilisée pour lancer l’instance, et l’ID de l’instance. Pour les instances comportant une IPv6 adresse, vous devez spécifier l' IPv6 adresse au lieu de l'ID de l'instance.
+ `--instance-id` – Spécifie l’ID de l’instance à laquelle se connecter. Vous pouvez également spécifier `%h`, qui extrait l’ID de l’instance de l’utilisateur. Dans les cas où il existe une IPv6 adresse, remplacez `--instance-id i-1234567890abcdef0` par`--private-ip-address 2001:db8::1234:5678:1.2.3.4`.
### Multi-connexion
Pour autoriser plusieurs connexions à une instance, exécutez d'abord la [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) AWS CLI commande pour commencer à écouter les nouvelles connexions TCP, puis utilisez-la `ssh` pour créer une nouvelle connexion TCP et un tunnel privé vers votre instance.
**Pour autoriser plusieurs connexions à votre instance en utilisant SSH et la commande `open-tunnel`**
1. Exécutez la commande suivante pour commencer à écouter les nouvelles connexions TCP sur le port spécifié sur votre ordinateur local.
```
aws ec2-instance-connect open-tunnel \
--instance-id i-1234567890abcdef0 \
--local-port 8888
```
Sortie attendue :
```
Listening for connections on port 8888.
```
1. Dans une *nouvelle fenêtre de termina*l, exécutez la commande `ssh` suivante pour créer une nouvelle connexion TCP et un tunnel privé vers votre instance.
```
ssh -i my-key-pair.pem ec2-user@localhost -p 8888
```
Résultat attendu : dans la *première* fenêtre de terminal, vous verrez ce qui suit :
```
[1] Accepted new tcp connection, opening websocket tunnel.
```
Vous pouvez également voir ce qui suit :
```
[1] Closing tcp connection.
```
## Connectez-vous à votre instance Linux à l'aide de son ID d'instance à l'aide du AWS CLI
Si vous ne connaissez que l'ID de votre instance, vous pouvez utiliser la AWS CLI commande ssh [ec2-instance-connect pour vous connecter à votre instance à l'aide d'un client SSH](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html). Pour de plus amples informations, veuillez consulter [Connectez-vous à l'aide du AWS CLI](ec2-instance-connect-methods.md#connect-linux-inst-eic-cli-ssh).
**Conditions préalables**
+ Installez AWS CLI la version 2 et configurez-la à l'aide de vos informations d'identification. Pour plus d’informations, consultez [Installation ou mise à jour de la dernière version de l’ AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) (français non garanti) et [Configuration de l’ AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) (français non garanti) dans le *Guide de l’utilisateur AWS Command Line Interface *.
+ Vous pouvez également ouvrir AWS CloudShell et exécuter AWS CLI des commandes dans son shell pré-authentifié.
**Pour se connecter à une instance en utilisant l’ID de l’instance et un point de terminaison EC2 Instance Connect**
Si vous ne connaissez que l’ID de l’instance, utilisez la commande CLI [ssh ec2-instance-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html) et spécifiez la commande `ssh`, l’ID de l’instance et le paramètre `--connection-type` avec la valeur `eice` pour utiliser un point de terminaison EC2 Instance Connect. Si l'instance ne possède qu'une IPv6 adresse, vous devez également inclure le `--instance-ip` paramètre dans l' IPv6 adresse.
+ Si l'instance possède une IPv4 adresse privée (elle peut également avoir une IPv6 adresse), utilisez la commande et les paramètres suivants :
```
aws ec2-instance-connect ssh \
--instance-id i-1234567890example \
--os-user ec2-user \
--connection-type eice
```
+ Si l'instance ne possède qu'une IPv6 adresse, incluez le `--instance-ip` paramètre avec l' IPv6 adresse :
```
aws ec2-instance-connect ssh \
--instance-id i-1234567890example \
--instance-ip 2001:db8::1234:5678:1.2.3.4 \
--os-user ec2-user \
--connection-type eice
```
**Astuce**
Si un message d'erreur s'affiche, assurez-vous que vous utilisez AWS CLI la version 2. Le `ssh` paramètre n'est disponible que dans AWS CLI la version 2. Pour plus d’informations, consultez la section [À propos de la version 2 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html#welcome-versions-v2) dans le *Guide de l’utilisateur AWS Command Line Interface *.
## Se connecter à votre instance Windows à l’aide de RDP
Vous pouvez utiliser le protocole RDP (Remote Desktop Protocol) sur EC2 Instance Connect Endpoint pour vous connecter à une instance Windows sans IPv4 adresse publique ni nom DNS public.
**Pour vous connecter à votre instance de Windows en utilisant un client RDP**
1. Effectuez les étapes 1 à 8 dans [Connect à votre instance Windows à l’aide de RDP.](connect-rdp.md) Après avoir téléchargé le fichier de bureau RDP à l’étape 8, vous obtiendrez un message **Impossible de se connecter**, ce qui est prévisible, car votre instance n’a pas d’adresse IP publique.
1. Exécutez la commande suivante pour établir un tunnel privé vers le VPC dans lequel se trouve l’instance. `--remote-port` doit être `3389`, car le RDP utilise le port 3389 par défaut.
```
aws ec2-instance-connect open-tunnel \
--instance-id i-1234567890abcdef0 \
--remote-port 3389 \
--local-port any-port
```
1. Dans votre dossier **Téléchargements**, recherchez le fichier de bureau RDP que vous avez téléchargé et faites-le glisser sur la fenêtre du client RDP.
1. Cliquez avec le bouton droit de la souris sur le fichier du bureau RDP et choisissez **Modifier**.
1. Dans la fenêtre **Modifier le PC**, pour **Nom du PC** (l’instance à laquelle se connecter), saisissez `localhost:local-port`, où `local-port` utilise la même valeur qu’à l’étape 2, puis choisissez **Enregistrer**.
Notez que la capture d’écran suivante de la fenêtre **Modifier le PC** provient de Microsoft Remote Desktop sur Mac. Si vous utilisez un client Windows, la fenêtre peut être différente.
![\[Le client RDP avec l’exemple « localhost:5555 » dans le champ du nom du PC.\]](http://docs.aws.amazon.com/fr_fr/AWSEC2/latest/UserGuide/images/ec2-instance-connect-endpoint-rdp.png)
1. Dans le client RDP, faites un clic droit sur le PC (que vous venez de configurer) et choisissez **Connecter** pour vous connecter à votre instance.
1. À l’invite, saisissez le mot de passe déchiffré du compte administrateur.
## Dépannage
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes que vous pourriez rencontrer lorsque vous utilisez le point de terminaison EC2 Instance Connect pour vous connecter à une instance.
### Impossible de se connecter à votre instance
Les raisons les plus courantes pour lesquelles vous ne pouvez pas vous connecter à votre instance sont les suivantes.
+ Groupes de sécurité : vérifiez les groupes de sécurité affectés au point de terminaison EC2 Instance Connect et à votre instance. Pour plus d’informations sur les règles de groupe de sécurité requises, consultez [Groupes de sécurité pour le point de terminaison EC2 Instance Connect](eice-security-groups.md).
+ État de l’instance : vérifiez que l’état de votre instance est `running`.
+ Paire de clés : si la commande que vous utilisez pour vous connecter nécessite une clé privée, vérifiez que votre instance possède une clé publique et que vous disposez de la clé privée correspondante.
+ Autorisations IAM : vérifiez que vous disposez des autorisations IAM requises. Pour de plus amples informations, veuillez consulter [Accorder des permissions afin d’utiliser le point de terminaison EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md).
Pour plus de conseils de résolution des problèmes relatifs aux instances Linux, consultez[Résoudre les problèmes de connexion à votre instance Amazon EC2 Linux](TroubleshootingInstancesConnecting.md). Pour obtenir des conseils de résolution des problèmes relatifs aux instances Windows, consultez[Résoudre les problèmes de connexion à votre instance Amazon EC2 Windows](troubleshoot-connect-windows-instance.md).
### ErrorCode: AccessDeniedException
Si vous recevez une erreur `AccessDeniedException` et que la condition `maxTunnelDuration` est spécifiée dans la politique IAM, veillez à spécifier le paramètre `--max-tunnel-duration` lors de la connexion à une instance. Pour plus d’informations sur ce paramètre, consultez [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) dans la *Référence de la commande AWS CLI *.
# Journalisation des connexions établies via le point de terminaison EC2 Instance Connect
Vous pouvez enregistrer les opérations sur les ressources et auditer les connexions établies via le point de terminaison EC2 Instance Connect à l'aide de AWS CloudTrail journaux.
Pour plus d'informations sur l'utilisation AWS CloudTrail avec Amazon EC2, consultez. [Enregistrez les appels d' EC2 API Amazon à l'aide de AWS CloudTrail](monitor-with-cloudtrail.md)
## Enregistrez les appels d'API EC2 Instance Connect Endpoint avec AWS CloudTrail
Les opérations sur les ressources du point de terminaison EC2 Instance Connect sont enregistrées en CloudTrail tant qu'événements de gestion. Lorsque les appels d'API suivants sont effectués, l'activité est enregistrée en tant qu' CloudTrail **événement dans l'historique** des événements :
+ `CreateInstanceConnectEndpoint`
+ `DescribeInstanceConnectEndpoints`
+ `DeleteInstanceConnectEndpoint`
Vous pouvez consulter, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) dans le *Guide de AWS CloudTrail l'utilisateur*.
## AWS CloudTrail À utiliser pour auditer les utilisateurs qui se connectent à une instance à l'aide du point de terminaison EC2 Instance Connect
Les tentatives de connexion aux instances via le point de terminaison EC2 Instance Connect sont enregistrées CloudTrail dans **l'historique des événements**. Lorsqu'une connexion à une instance est initiée via un point de terminaison EC2 Instance Connect, la connexion est enregistrée en tant qu'événement CloudTrail de gestion avec le signe `eventName` de`OpenTunnel`.
Vous pouvez créer des EventBridge règles Amazon qui acheminent l' CloudTrail événement vers une cible. Pour plus d'informations, consultez le [guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
Voici un exemple d'événement de `OpenTunnel` gestion connecté CloudTrail.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "ABCDEFGONGNOMOOCB6XYTQEXAMPLE",
"arn": "arn:aws:iam::1234567890120:user/IAM-friendly-name",
"accountId": "123456789012",
"accessKeyId": "ABCDEFGUKZHNAW4OSN2AEXAMPLE",
"userName": "IAM-friendly-name"
},
"eventTime": "2023-04-11T23:50:40Z",
"eventSource": "ec2-instance-connect.amazonaws.com",
"eventName": "OpenTunnel",
"awsRegion": "us-east-1",
"sourceIPAddress": "1.2.3.4",
"userAgent": "aws-cli/1.15.61 Python/2.7.10 Darwin/16.7.0 botocore/1.10.60",
"requestParameters": {
"instanceConnectEndpointId": "eici-0123456789EXAMPLE",
"maxTunnelDuration": "3600",
"remotePort": "22",
"privateIpAddress": "10.0.1.1"
},
"responseElements": null,
"requestID": "98deb2c6-3b3a-437c-a680-03c4207b6650",
"eventID": "bbba272c-8777-43ad-91f6-c4ab1c7f96fd",
"readOnly": false,
"resources": [{
"accountId": "123456789012",
"type": "AWS::EC2::InstanceConnectEndpoint",
"ARN": "arn:aws:ec2:us-east-1:123456789012:instance-connect-endpoint/eici-0123456789EXAMPLE"
}],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
# Rôle lié à un service pour le point de terminaison EC2 Instance Connect
[Amazon EC2 utilise des rôles liés à un Gestion des identités et des accès AWS service (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM qui est lié directement à Amazon EC2. Les rôles liés à un service sont prédéfinis par Amazon EC2 et incluent toutes les autorisations dont Amazon EC2 a besoin pour appeler d'autres personnes en votre nom. Services AWS Pour plus d’informations, consultez la section [Rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) dans le *Guide de l’utilisateur IAM*.
## Autorisations de rôle liées au service pour le point de terminaison EC2 Instance Connect
Amazon EC2 permet de créer et **AWSServiceRoleForEC2InstanceConnect**de gérer les interfaces réseau de votre compte requises par le point de terminaison EC2 Instance Connect.
Le rôle lié à un service **AWSServiceRoleForEC2InstanceConnect** approuve le fait que le service suivant endosse le rôle :
+ `ec2-instance-connect.amazonaws.com`
Le rôle **AWSServiceRoleForEC2InstanceConnect**lié à un service utilise la politique gérée suivante :
+ **Eco 2 InstanceConnectEndpoint**
Pour consulter les autorisations associées à la politique gérée, consultez [Ec2 InstanceConnectEndpoint](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2InstanceConnectEndpoint.html) dans le manuel *AWS Managed Policy Reference*.
## Créer un rôle lié à un service pour le point de terminaison EC2 Instance Connect
Vous n'avez pas besoin de créer manuellement ce rôle lié à un service. Lorsque vous créez un point de terminaison EC2 Instance Connect, Amazon EC2 crée le rôle lié au service pour vous.
## Modifier un rôle lié à un service pour le point de terminaison EC2 Instance Connect
Le point de terminaison EC2 Instance Connect ne vous permet pas de modifier le rôle lié au **AWSServiceRoleForEC2InstanceConnect**service.
## Supprimer un rôle lié à un service pour le point de terminaison EC2 Instance Connect
Si vous n'avez plus besoin d'utiliser le point de terminaison EC2 Instance Connect, nous vous recommandons de supprimer le rôle lié au **AWSServiceRoleForEC2InstanceConnect**service.
Vous devez supprimer toutes les ressources du point de terminaison EC2 Instance Connect avant de pouvoir supprimer le rôle lié au service.
Pour supprimer le rôle lié à un service, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete-slr) dans le *Guide de l’utilisateur IAM*.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
# Quotas pour le point de terminaison EC2 Instance Connect
Vous Compte AWS disposez de quotas par défaut, anciennement appelés limites, pour chaque AWS service. Sauf indication contraire, chaque quota est spécifique à une région.
Vous disposez Compte AWS des quotas suivants relatifs au point de terminaison EC2 Instance Connect.
| Nom | Par défaut | Ajustable |
| --- | --- | --- |
| Nombre maximal de points de terminaison EC2 Instance Connect par personne Compte AWS Région AWS | 5 | Non |
| Nombre maximum de points de terminaison EC2 Instance Connect par VPC | 1 | Non |
| Nombre maximum de points de terminaison EC2 Instance Connect par sous-réseau | 1 | Non |
| Nombre maximal de connexions simultanées par point de terminaison EC2 Instance Connect | 20 | Non |