Tutoriel : complétez la configuration requise pour vous connecter à votre instance à l'aide d'EC2Instance Connect - Amazon Elastic Compute Cloud
Tâche 1 : accorder les autorisations requises pour utiliser EC2 Instance ConnectTâche 2 : Autoriser le trafic entrant du service EC2 Instance Connect vers votre instanceTâche 3 : Lancer votre instanceTâche 4 : Se connecter à votre instance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : complétez la configuration requise pour vous connecter à votre instance à l'aide d'EC2Instance Connect

Pour vous connecter à votre instance à l'aide d'EC2Instance Connect dans la EC2 console Amazon, vous devez d'abord effectuer la configuration préalable qui vous permettra de vous connecter correctement à votre instance. Le but de ce didacticiel est de vous guider à travers les tâches nécessaires à la réalisation de la configuration préalable.

Aperçu du didacticiel

Dans ce didacticiel, vous allez effectuer les quatre tâches suivantes :

  • Tâche 1 : accorder les autorisations requises pour utiliser EC2 Instance Connect

    Vous allez d'abord créer une IAM politique contenant les IAM autorisations vous permettant d'envoyer une clé publique aux métadonnées de l'instance. Vous allez associer cette politique à votre IAM identité (utilisateur, groupe d'utilisateurs ou rôle) afin que votre IAM identité obtienne ces autorisations.

  • Tâche 2 : Autoriser le trafic entrant du service EC2 Instance Connect vers votre instance

    Vous allez ensuite créer un groupe de sécurité qui autorise le trafic du service EC2 Instance Connect vers votre instance. Cela est nécessaire lorsque vous utilisez EC2 Instance Connect dans la EC2 console Amazon pour vous connecter à votre instance.

  • Tâche 3 : Lancer votre instance

    Vous lancerez ensuite une EC2 instance à l'aide d'une AMI EC2 instance préinstallée avec Instance Connect et vous ajouterez le groupe de sécurité que vous avez créé à l'étape précédente.

  • Tâche 4 : Se connecter à votre instance

    Enfin, vous utiliserez EC2 Instance Connect dans la EC2 console Amazon pour vous connecter à votre instance. Si vous pouvez vous connecter, vous pouvez être sûr que la configuration préalable que vous avez effectuée dans les tâches 1, 2 et 3 est réussie.

Tâche 1 : accorder les autorisations requises pour utiliser EC2 Instance Connect

Lorsque vous vous connectez à une instance à l'aide d'EC2Instance Connect, EC2 Instance API Connect envoie une clé SSH publique aux métadonnées de l'instance, où elle reste pendant 60 secondes. Vous avez besoin d'une IAM politique associée à votre IAM identité (utilisateur, groupe d'utilisateurs ou rôle) pour vous accorder l'autorisation requise pour transmettre la clé publique aux métadonnées de l'instance.

Objectif de la tâche

Vous allez créer la IAM politique qui autorise l'envoi de la clé publique à l'instance. L'action spécifique à autoriser estec2-instance-connect:SendSSHPublicKey. Vous devez également autoriser l'ec2:DescribeInstancesaction afin de pouvoir afficher et sélectionner votre instance dans la EC2 console Amazon.

Après avoir créé la politique, vous l'associerez à votre IAM identité (utilisateur, groupe d'utilisateurs ou rôle) afin que votre IAM identité obtienne les autorisations.

Vous allez créer une politique configurée comme suit :

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
Important

La IAM politique créée dans ce didacticiel est très permissive ; elle vous permet de vous connecter à n'importe quelle instance en utilisant n'importe quel nom d'utilisateur. AMI Nous utilisons cette politique hautement permissive pour que le didacticiel reste simple et se concentre sur les configurations spécifiques enseignées dans ce didacticiel. Toutefois, dans un environnement de production, nous recommandons que votre IAM politique soit configurée de manière à fournir des autorisations de moindre privilège. Pour des exemples IAM de politiques, voirAccorder IAM des autorisations pour EC2 Instance Connect.

Pour créer et associer une IAM politique vous permettant d'utiliser EC2 Instance Connect pour vous connecter à vos instances

  1. Créez d'abord la IAM politique

    1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

    2. Dans le panneau de navigation, choisissez Politiques.

    3. Sélectionnez Create policy (Créer une politique).

    4. Sur la page Spécifier l'autorisation, procédez comme suit :

      1. Pour Service, choisissez EC2Instance Connect.

      2. Sous Actions autorisées, dans le champ de recherche, commencez send à taper pour afficher les actions pertinentes, puis sélectionnez S endSSHPublic Key.

      3. Sous Ressources, sélectionnez Tout. Pour un environnement de production, nous vous recommandons de spécifier l'instance par son ARN nom, mais pour ce didacticiel, vous autorisez toutes les instances.

      4. Choisissez Ajouter d'autres autorisations.

      5. Pour Service , choisissez EC2.

      6. Sous Actions autorisées, dans le champ de recherche, commencez describein à taper pour afficher les actions pertinentes, puis sélectionnez DescribeInstances.

      7. Choisissez Suivant.

    5. Sur la page Réviser et créer, procédez comme suit :

      1. Pour Policy name (Nom de la stratégie), attribuez un nom à cette stratégie.

      2. Choisissez Create Policy (Créer une politique).

  2. Attachez ensuite la politique à votre identité

    1. Dans le volet de navigation de la IAM console, sélectionnez Policies.

    2. Dans la liste des politiques, sélectionnez le bouton d'option à côté du nom de la politique que vous avez créée. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

    3. Sélectionnez Actions, puis Attach (Attacher).

    4. Sous IAMentités, cochez la case à côté de votre identité (utilisateur, groupe d'utilisateurs ou rôle). Vous pouvez utiliser le champ de recherche pour filtrer la liste des entités.

    5. Choisissez Attach policy (Attacher une politique).

Cette animation montre comment créer une IAM politique. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.
Cette animation montre comment associer une IAM politique à une IAM identité. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.

Tâche 2 : Autoriser le trafic entrant du service EC2 Instance Connect vers votre instance

Lorsque vous utilisez EC2 Instance Connect dans la EC2 console Amazon pour vous connecter à une instance, le trafic qui doit être autorisé à atteindre l'instance est le trafic provenant du service EC2 Instance Connect. Cela est différent de la connexion de votre ordinateur local à une instance ; dans ce cas, vous devez autoriser le trafic entre votre ordinateur local et votre instance. Pour autoriser le trafic provenant du service EC2 Instance Connect, vous devez créer un groupe de sécurité qui autorise le SSH trafic entrant depuis la plage d'adresses IP du service EC2 Instance Connect.

Les plages d'adresses IP pour AWS les services sont disponibles sur https://ip-ranges.amazonaws.com/ip-ranges.json. Les plages d'adresses IP d'EC2Instance Connect sont identifiées par"service": "EC2_INSTANCE_CONNECT".

Objectif de la tâche

Vous trouverez d'abord la plage d'adresses IP pour EC2_INSTANCE_CONNECT Région AWS dans lequel se trouve votre instance. Vous allez ensuite créer un groupe de sécurité qui autorise le SSH trafic entrant sur le port 22 à partir de cette plage d'adresses IP.

Pour créer un groupe de sécurité qui autorise le trafic entrant du service EC2 Instance Connect vers votre instance

  1. Obtenez d'abord la plage d'adresses IP pour le service EC2 Instance Connect

    1. Ouvrez le fichier AWS JSONFichier de plages d'adresses IP dans https://ip-ranges.amazonaws.com/ip-ranges.json.

    2. Choisissez Raw Data.

    3. Trouvez la plage d'adresses IP EC2_INSTANCE_CONNECT pour Région AWS dans lequel se trouve votre instance. Vous pouvez utiliser le champ de recherche du navigateur pour rechercher le service EC2_INSTANCE_CONNECT et poursuivre votre recherche jusqu'à ce que vous trouviez la région dans laquelle se trouve votre instance.

      Par exemple, si votre instance est située dans la région USA Est (Virginie du Nordus-east-1) (), la plage d'adresses IP pour EC2_INSTANCE_CONNECT cette région est18.206.107.24/29.

      Note

      Les plages d'adresses IP sont différentes pour chacun Région AWS.

    4. Copiez la plage d'adresses IP qui apparaît à côté deip_prefix. Vous utiliserez cette plage d'adresses IP ultérieurement dans cette procédure.

    Pour plus d'informations sur le téléchargement du AWS Plages d'adresses IP, JSON fichiers et filtrage par service, voir AWS Les plages d'adresses IP sont indiquées dans le guide de VPC l'utilisateur Amazon.

  2. Créez ensuite le groupe de sécurité avec une règle entrante pour autoriser le trafic provenant de la plage d'adresses IP copiée

    1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

    2. Dans le panneau de navigation, choisissez Security Groups (Groupes de sécurité).

    3. Sélectionnez Create security group (Créer un groupe de sécurité).

    4. Sous Basic details (Détails de base), procédez comme suit :

      1. Dans Nom du groupe de sécurité, entrez un nom significatif pour votre groupe de sécurité.

      2. Dans Description, entrez une description significative pour votre groupe de sécurité.

    5. Dans Règles de trafic entrant, procédez comme suit :

      1. Choisissez Ajouter une règle.

      2. Pour Type, sélectionnez SSH.

      3. Pour Source, laissez Personnalisé.

      4. Dans le champ situé à côté de Source, collez la plage d'adresses IP du service EC2 Instance Connect que vous avez copiée plus tôt dans cette procédure.

        Par exemple, si votre instance est située dans la région USA Est (Virginie du Nord) (us-east-1), collez la plage d'adresses IP suivante dans le champ : 18.206.107.24/29

    6. Sélectionnez Create security group (Créer un groupe de sécurité).

Cette animation montre comment obtenir la plage d'adresses IP pour EC2 Instance Connect pour une région spécifique. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.
Cette animation montre comment configurer un groupe de sécurité. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.

Tâche 3 : Lancer votre instance

Lorsque vous lancez une instance, vous devez en spécifier une AMI contenant les informations requises pour lancer l'instance. Vous pouvez choisir de lancer une instance avec ou sans EC2 Instance Connect préinstallé. Dans cette tâche, nous indiquons un AMI préinstallé avec EC2 Instance Connect.

Si vous lancez votre EC2 instance sans Instance Connect préinstallé et que vous souhaitez utiliser EC2 Instance Connect pour vous connecter à votre instance, vous devrez effectuer des étapes de configuration supplémentaires. Ces étapes n'entrent pas dans le cadre de ce didacticiel.

Objectif de la tâche

Vous allez lancer une instance avec Amazon Linux 2023AMI, qui est préinstallé avec EC2 Instance Connect. Vous allez également spécifier le groupe de sécurité que vous avez créé précédemment afin de pouvoir utiliser EC2 Instance Connect dans la EC2 console Amazon pour vous connecter à votre instance. Comme vous utiliserez EC2 Instance Connect pour vous connecter à votre instance, ce qui envoie une clé publique aux métadonnées de votre instance, vous n'aurez pas besoin de spécifier de SSH clé lorsque vous lancerez votre instance.

Pour lancer une instance qui peut utiliser EC2 Instance Connect dans la EC2 console Amazon pour la connexion

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation en haut de l'écran, le AWS La région est affichée (par exemple, Irlande). Sélectionnez la région dans laquelle vous souhaitez lancer votre instance. Ce choix est important car vous avez créé un groupe de sécurité qui autorise le trafic pour une région spécifique. Vous devez donc sélectionner la même région dans laquelle lancer votre instance.

  3. Dans le tableau de bord de EC2 la console Amazon, choisissez Launch instance.

  4. (Facultatif) Sous Name and tags (Noms et identifications), pour Name (Nom), saisissez un nom descriptif pour votre instance.

  5. Sous Images de l'application et du système d'exploitation (Amazon Machine Image), choisissez Quick Start. Amazon Linux est sélectionné par défaut. Sous Amazon Machine Image (AMI), Amazon Linux 2023 AMI est sélectionné par défaut. Conservez la sélection par défaut pour cette tâche.

  6. Sous Type d'instance, pour Type d'instance, conservez la sélection par défaut ou choisissez un autre type d'instance.

  7. Sous Paire de clés (connexion), pour Nom de la paire de clés, choisissez Procéder sans paire de clés (Non recommandé). Lorsque vous utilisez EC2 Instance Connect pour vous connecter à une EC2 instance, Instance Connect envoie une paire de clés aux métadonnées de l'instance, et c'est cette paire de clés qui est utilisée pour la connexion.

  8. Sous Network settings (Paramètres réseau), effectuez les opérations suivantes :

    1. Pour Attribuer automatiquement une adresse IP publique, laissez Activer.

      Note

      Pour utiliser EC2 Instance Connect dans la EC2 console Amazon afin de se connecter à une instance, celle-ci doit avoir une IPv4 adresse publique.

    2. Pour Pare-feu (groupes de sécurité), choisissez Sélectionner un groupe de sécurité existant.

    3. Sous Groupes de sécurité communs, choisissez le groupe de sécurité que vous avez créé précédemment.

  9. Dans le panneau Summary (Récapitulatif), sélectionnez Launch instance (Lancer l’instance).

Cette animation montre comment lancer une instance. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.

Tâche 4 : Se connecter à votre instance

Lorsque vous vous connectez à une instance à l'aide d'EC2Instance Connect, EC2 Instance API Connect envoie une clé SSH publique aux métadonnées de l'instance, où elle reste pendant 60 secondes. Le SSH démon utilise AuthorizedKeysCommand et AuthorizedKeysCommandUser pour rechercher la clé publique dans les métadonnées de l'instance à des fins d'authentification, puis vous connecte à l'instance.

Objectif de la tâche

Dans cette tâche, vous allez vous connecter à votre instance à l'aide d'EC2Instance Connect dans la EC2 console Amazon. Si vous avez effectué les tâches 1, 2 et 3 requises, la connexion devrait réussir.

Étapes pour vous connecter à votre instance

Suivez les étapes ci-dessous pour vous connecter à votre instance. Pour visionner une animation des étapes, voirAfficher une animation : Connectez-vous à votre instance.

Pour connecter une instance à l'aide d'EC2Instance Connect dans la EC2 console Amazon

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation en haut de l'écran, le AWS La région est affichée (par exemple, Irlande). Sélectionnez la région dans laquelle se trouve votre instance.

  3. Dans le panneau de navigation, choisissez Instances.

  4. Sélectionnez votre instance et choisissez Connect.

  5. Choisissez l'onglet EC2Instance Connect.

  6. Pour le type de connexion, choisissez Connect using EC2 Instance Connect.

  7. Choisissez Se connecter.

    Une fenêtre de terminal s'ouvre dans le navigateur et vous êtes connecté à votre instance.

Cette animation montre comment connecter une instance à l'aide d'EC2Instance Connect. Pour la version texte de cette animation, veuillez consulter les étapes de la procédure précédente.