Tutoriel : terminer la configuration requise pour établir la connexion à votre instance à l'aide de EC2 Instance Connect - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : terminer la configuration requise pour établir la connexion à votre instance à l'aide de EC2 Instance Connect

Pour vous connecter à votre instance à l'aide d'EC2Instance Connect dans la EC2 console Amazon, vous devez d'abord effectuer la configuration préalable qui vous permettra de vous connecter correctement à votre instance. Le but de ce didacticiel est de vous guider à travers les tâches nécessaires à la réalisation de la configuration préalable.

Aperçu du didacticiel

Dans ce didacticiel, vous effectuerez les quatre tâches suivantes :

  • Tâche 1 : accorder les autorisations requises pour utiliser EC2 Instance Connect

    Vous allez d'abord créer une IAM politique contenant les IAM autorisations vous permettant d'envoyer une clé publique aux métadonnées de l'instance. Vous attacherez cette politique à votre IAM identité (utilisateur, groupe d'utilisateurs ou rôle) de sorte que votre IAM identité obtienne ces autorisations.

  • Tâche 2 : Autoriser le trafic entrant du service EC2 Instance Connect vers votre instance

    Vous allez ensuite créer un groupe de sécurité qui autorise le trafic du service EC2 Instance Connect vers votre instance. Cela est nécessaire lorsque vous utilisez EC2 Instance Connect dans la EC2 console Amazon pour vous connecter à votre instance.

  • Tâche 3 : Lancer votre instance

    Vous lancerez ensuite une EC2 instance à l'aide d'une AMI EC2 instance préinstallée avec Instance Connect et vous ajouterez le groupe de sécurité que vous avez créé à l'étape précédente.

  • Tâche 4 : Connexion à votre instance

    Enfin, vous utiliserez EC2 Instance Connect dans la EC2 console Amazon pour vous connecter à votre instance. Si vous pouvez vous connecter, vous pouvez être sûr que la configuration préalable que vous avez effectuée dans les tâches 1, 2 et 3 a été effectuée correctement.

Tâche 1 : accorder les autorisations requises pour utiliser EC2 Instance Connect

Lorsque vous vous connectez à une instance à l'aide d'EC2Instance Connect, EC2 Instance Connect API envoie en mode push une clé SSH publique vers les métadonnées de l'instance, où elle demeure pendant 60 secondes. Vous avez besoin d'une IAM politique attachée à votre IAM identité (utilisateur, groupe d'utilisateurs ou rôle) pour vous accorder l'autorisation requise pour envoyer en mode push la clé publique vers les métadonnées de l'instance.

Objectif de la tâche

Vous allez créer la IAM politique qui accorde l'autorisation d'envoyer la clé publique en mode push à l'instance. L'action spécifique à autoriser estec2-instance-connect:SendSSHPublicKey. Vous devez également autoriser l'ec2:DescribeInstancesaction afin de pouvoir afficher et sélectionner votre instance dans la EC2 console Amazon.

Après avoir créé la politique, vous l'attacherez à votre IAM identité (utilisateur, groupe d'utilisateurs ou rôle) de sorte que votre IAM identité obtient les autorisations.

Vous allez créer une politique configurée comme suit :

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2-instance-connect:SendSSHPublicKey", "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DescribeInstances", "Resource": "*" } ] }
Important

La IAM politique créée dans ce didacticiel est très permissive ; elle vous permet de vous connecter à n'importe quelle instance en utilisant n'importe quel nom d'utilisateur. AMI Nous utilisons cette politique hautement permissive pour que le didacticiel reste simple et se concentre sur les configurations spécifiques enseignées dans ce didacticiel. Toutefois, dans un environnement de production, nous recommandons que votre IAM politique soit configurée de manière à fournir des autorisations de moindre privilège. Pour des exemples IAM de politiques, voirAccorder IAM des autorisations pour EC2 Instance Connect.

Pour créer et associer une IAM politique vous permettant d'utiliser EC2 Instance Connect pour vous connecter à vos instances
  1. Créez d'abord la IAM politique

    1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

    2. Dans le panneau de navigation, choisissez Politiques.

    3. Sélectionnez Create policy (Créer une politique).

    4. Sur la page Définir les autorisations, procédez comme suit :

      1. Pour Service, choisissez EC2Instance Connect.

      2. Sous Actions autorisées, dans le champ de recherche, commencez send à taper pour afficher les actions pertinentes, puis sélectionnez S endSSHPublic Key.

      3. Sous Ressources, sélectionnez Tout. Pour un environnement de production, nous vous recommandons de spécifier l'instance par son ARN nom, mais pour ce didacticiel, vous autorisez toutes les instances.

      4. Choisissez Ajouter d'autres autorisations.

      5. Pour Service , choisissez EC2.

      6. Sous Actions autorisées, dans le champ de recherche, commencez describein à taper pour afficher les actions pertinentes, puis sélectionnez DescribeInstances.

      7. Choisissez Suivant.

    5. Sur la page Vérifier et créer, procédez comme suit :

      1. Pour Policy name (Nom de la stratégie), attribuez un nom à cette stratégie.

      2. Choisissez Create Policy (Créer une politique).

  2. Attachez ensuite la politique à votre identité

    1. Dans le panneau de navigation de la IAM console cliquez sur Stratégies.

    2. Dans la liste des politiques, sélectionnez la case d'option en regard du nom de la politique que vous avez créée. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

    3. Sélectionnez Actions, puis Attach (Attacher).

    4. Sous IAMentités, cochez la case à côté de votre identité (utilisateur, groupe d'utilisateurs ou rôle). Vous pouvez utiliser la zone de recherche pour filtrer la liste des entités.

    5. Choisissez Attach policy (Attacher une politique).

Cette animation montre comment créer une IAM politique. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.
Cette animation montre comment associer une IAM politique à une IAM identité. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.

Tâche 2 : Autoriser le trafic entrant du service EC2 Instance Connect vers votre instance

Lorsque vous utilisez EC2 Instance Connect dans la EC2 console Amazon pour vous connecter à une instance, le trafic qui doit être autorisé à atteindre l'instance est le trafic provenant du service EC2 Instance Connect. Cela est différent de la connexion de votre ordinateur local à une instance ; dans ce cas, vous devez autoriser le trafic entre votre ordinateur local et votre instance. Pour autoriser le trafic provenant du service EC2 Instance Connect, vous devez créer un groupe de sécurité qui autorise le SSH trafic entrant depuis la plage d'adresses IP du service EC2 Instance Connect.

AWS utilise des listes de préfixes pour gérer les plages d'adresses IP. Les noms des listes de préfixes EC2 Instance Connect sont les suivants, avec region remplacé par le code de région :

  • IPv4nom de la liste de préfixes : com.amazonaws.region.ec2-instance-connect

  • IPv6nom de la liste de préfixes : com.amazonaws.region.ipv6.ec2-instance-connect

Objectif de la tâche

Vous allez créer un groupe de sécurité qui autorise le SSH trafic entrant sur le port 22 à partir de la liste des IPv4 préfixes de la région dans laquelle se trouve votre instance.

Pour créer un groupe de sécurité autorisant le trafic entrant du service EC2 Instance Connect vers votre instance
  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Security Groups (Groupes de sécurité).

  3. Sélectionnez Create security group (Créer un groupe de sécurité).

  4. Sous Basic details (Détails de base), procédez comme suit :

    1. Pour Security group name (Nom du groupe de sécurité), saisissez un nom significatif pour votre groupe de sécurité.

    2. Pour Description, saisissez une description significative de votre groupe de sécurité.

  5. Sous la rubrique Règles entrantes, procédez comme suit :

    1. Choisissez Ajouter une règle.

    2. Pour Type, sélectionnez SSH.

    3. Pour Source, laissez Personnalisé.

    4. Dans le champ situé à côté de Source, sélectionnez la liste des préfixes pour EC2 Instance Connect.

      Par exemple, si votre instance est située dans la région USA Est (Virginie du Nord) (us-east-1) et que vos utilisateurs se connecteront à son IPv4 adresse publique, choisissez la liste de préfixes suivante : com.amazonaws.us-east-1.ec2-instance-connect

  6. Sélectionnez Create security group (Créer un groupe de sécurité).

Cette animation montre comment configurer un groupe de sécurité. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.

Tâche 3 : Lancer votre instance

Lorsque vous lancez une instance, vous devez en spécifier une AMI qui contient les informations requises pour lancer l'instance. Vous pouvez choisir de lancer une instance avec ou sans EC2 Instance Connect préinstallé. Dans cette tâche, nous indiquons un AMI préinstallé avec EC2 Instance Connect.

Si vous lancez votre EC2 instance sans Instance Connect préinstallé et que vous souhaitez utiliser EC2 Instance Connect pour vous connecter à votre instance, vous devrez effectuer des étapes de configuration supplémentaires. Ces étapes ne sont pas présentées dans ce didacticiel.

Objectif de la tâche

Vous allez lancer une instance avec Amazon Linux 2023AMI, qui est préinstallé avec EC2 Instance Connect. Vous allez également spécifier le groupe de sécurité que vous avez créé précédemment afin de pouvoir utiliser EC2 Instance Connect dans la EC2 console Amazon pour vous connecter à votre instance. Comme vous utiliserez EC2 Instance Connect pour vous connecter à votre instance, ce qui envoie une clé publique aux métadonnées de votre instance, vous n'aurez pas besoin de spécifier de SSH clé lorsque vous lancerez votre instance.

Pour lancer une instance qui peut utiliser EC2 Instance Connect dans la EC2 console Amazon pour la connexion
  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation en haut de l'écran, la AWS région actuelle est affichée (par exemple, l'Irlande). Sélectionnez une région dans laquelle vous souhaitez lancer votre instance. Ce choix est important car vous avez créé un groupe de sécurité qui autorise le trafic pour une région spécifique. Vous devez donc sélectionner la même région dans laquelle lancer votre instance.

  3. Sur le tableau de bord de la EC2 console Amazon, sélectionnez Launch instance (Lancer une instance).

  4. (Facultatif) Sous Name and tags (Noms et identifications), pour Name (Nom), saisissez un nom descriptif pour votre instance.

  5. Sous Images de l'application et du système d'exploitation (Amazon Machine Image), choisissez Quick Start. Amazon Linux est sélectionné par défaut. Sous Amazon Machine Image (AMI), Amazon Linux 2023 AMI est sélectionné par défaut. Conservez la sélection par défaut pour cette tâche.

  6. Sous Type d'instance, pour Type d'instance, conservez la sélection par défaut ou choisissez un autre type d'instance.

  7. Sous Paire de clés (connexion), pour Nom de la paire de clés, choisissez Procéder sans paire de clés (Non recommandé). Lorsque vous utilisez EC2 Instance Connect pour vous connecter à une EC2 instance, Instance Connect envoie une paire de clés aux métadonnées de l'instance, et c'est cette paire de clés qui est utilisée pour la connexion.

  8. Sous Network settings (Paramètres réseau), effectuez les opérations suivantes :

    1. Pour Attribuer automatiquement une adresse IP publique, laissez Activer.

      Note

      Pour utiliser EC2 Instance Connect dans la EC2 console Amazon afin de se connecter à une instance, celle-ci doit avoir une IPv6 adresse publique IPv4 ou publique.

    2. Pour Pare-feu (groupes de sécurité), choisissez Sélectionner un groupe de sécurité existant.

    3. Sous Groupes de sécurité communs, choisissez le groupe de sécurité que vous avez créé précédemment.

  9. Dans le panneau Summary (Récapitulatif), sélectionnez Launch instance (Lancer l’instance).

Cette animation montre comment lancer une instance. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.

Tâche 4 : Connexion à votre instance

Lorsque vous vous connectez à une instance à l'aide d'EC2Instance Connect, EC2 Instance Connect API envoie en mode push une clé SSH publique vers les métadonnées de l'instance, où elle demeure pendant 60 secondes. Le SSH démon utilise AuthorizedKeysCommand et AuthorizedKeysCommandUser pour rechercher la clé publique à partir des métadonnées de l'instance en vue de son authentification, et vous connecte à l'instance.

Objectif de la tâche

Dans cette tâche, vous allez vous connecter à votre instance à l'aide d'EC2Instance Connect dans la EC2 console Amazon. Si vous avez effectué les tâches 1, 2 et 3 requises, la connexion devrait réussir.

Étapes pour vous connecter à votre instance

Suivez les étapes suivantes pour vous connecter à votre instance. Pour voir une animation des étapes, consultezVoir une animation : connexion de votre instance.

Pour connecter une instance à l'aide d'EC2Instance Connect dans la EC2 console Amazon
  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation en haut de l'écran, la AWS région actuelle est affichée (par exemple, l'Irlande). Sélectionnez la région dans laquelle votre instance se trouve.

  3. Dans le panneau de navigation, choisissez Instances.

  4. Sélectionnez votre instance et choisissez Connect.

  5. Choisissez l'onglet EC2Instance Connect.

  6. Pour le type de connexion, choisissez Connect using EC2 Instance Connect.

  7. Choisissez Se connecter.

    Une fenêtre de terminal s'ouvre dans le navigateur et vous êtes connecté à votre instance.

Cette animation montre comment connecter une instance à l'aide de EC2 Instance Connect. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.