Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration de la protection de l’intégrité du système pour les instances Mac Amazon EC2
<a name="mac-sip-settings"></a>

Vous pouvez configurer les paramètres SIP (System Integrity Protection) pour les instances Mac x86 et les instances Mac Apple silicon. Le protocole SIP est une fonctionnalité de sécurité essentielle de macOS qui permet d’empêcher l’exécution non autorisée de code et les modifications au niveau du système. Pour plus d’informations, veuillez consulter la section [À propos de la fonctionnalité Protection de l’intégrité du système sur votre Mac](https://support.apple.com/en-us/102149).

Vous pouvez soit activer ou désactiver complètement le protocole SIP, soit activer ou désactiver des paramètres SIP spécifiques de manière sélective. Il est recommandé de ne désactiver le protocole SIP que temporairement pour effectuer les tâches nécessaires, puis de le réactiver dès que possible. En laissant le SIP désactivé, votre instance pourrait être vulnérable au code malveillant.

La configuration SIP est prise en charge dans toutes les AWS régions où les instances Mac Amazon EC2 sont prises en charge.

**Topics**
+ [Considérations](#mac-sip-considerations)
+ [Configurations SIP par défaut](#mac-sip-defaults)
+ [Vérifiez votre configuration SIP](#mac-sip-check-settings)
+ [Conditions préalables pour les instances Mac Apple silicon](#mac-sip-prereqs)
+ [Configurer les paramètres SIP](#mac-sip-configure)
+ [Vérification de l’état de la tâche de configuration SIP](#mac-sip-state)

## Considérations
<a name="mac-sip-considerations"></a>
+ Les types d’instances Mac Amazon EC2 et les versions macOS suivants sont pris en charge :
  + **Mac1 \$1 Mac2 \$1 Mac2-m1ultra** : macOS Ventura (version 13.0 ou ultérieure)
  + **Mac2-m2 \$1 Mac2-m2pro** : macOS Ventura (version 13.2 ou ultérieure)
  + **Mac-m4 \$1 Mac-m4pro** : macOS Sequoia (version 15.6 ou ultérieure)
**Note**  
Les versions bêta et préliminaire de macOS ne sont pas prises en charge.
+ Vous pouvez spécifier une configuration SIP personnalisée pour activer ou désactiver de manière sélective des paramètres SIP individuels. Si vous implémentez une configuration personnalisée, [connectez-vous à l’instance et vérifiez les paramètres](#mac-sip-check-settings) pour vous assurer que vos exigences sont correctement mises en œuvre et fonctionnent comme prévu.

  Les configurations SIP peuvent changer avec les mises à jour de macOS. Nous vous recommandons de vérifier les paramètres SIP personnalisés après toute mise à niveau de version de macOS afin de garantir la compatibilité continue et le bon fonctionnement de vos configurations de sécurité.
+ Pour les instances Mac x86, les paramètres SIP sont appliqués au niveau de l’instance. Tout volume racine attaché à l’instance héritera automatiquement des paramètres SIP configurés.

  Pour les instances Mac Apple silicon, les paramètres SIP sont appliqués au niveau du volume. Les volumes racine attachés à l’instance n’héritent pas des paramètres SIP. Si vous connectez un autre volume racine, vous devez reconfigurer les paramètres SIP à l’état requis.
+ L’exécution des tâches de configuration SIP peut prendre jusqu’à 90 minutes. L’instance reste inaccessible lorsque la tâche de configuration SIP est en cours.
+ Les configurations SIP ne sont pas transférées vers les instantanés ou ceux AMIs que vous créez ultérieurement à partir de l'instance.
+ Les instances Mac Apple silicon ne doivent comporter qu’un seul volume de démarrage, et chaque volume attaché ne peut avoir qu’un seul utilisateur administrateur supplémentaire.

## Configurations SIP par défaut
<a name="mac-sip-defaults"></a>

Le tableau suivant répertorie la configuration SIP par défaut pour les instances Mac x86 et les instances Mac Apple silicon.


|  | Instances Mac Apple silicon | Instances Mac x86 | 
| --- | --- | --- | 
| Apple interne | Activé | Désactivé | 
| Protections du système de fichiers | Activé | Désactivé | 
| Système de base | Activé | Activé | 
| Restrictions de débogage | Activé | Activé | 
| Restrictions Dtrace | Activé | Activé | 
| Signature Kext | Activé | Activé | 
| Protections Nvram | Activé | Activé | 

## Vérifiez votre configuration SIP
<a name="mac-sip-check-settings"></a>

Nous vous recommandons de vérifier votre configuration SIP avant et après les modifications afin de vous assurer qu’elle est configurée comme prévu.

**Pour vérifier la configuration SIP d’une instance Mac Amazon EC2**  
[Connectez-vous à l’instance via SSH](connect-to-mac-instance.md#mac-instance-ssh), puis exécutez la commande suivante sur la ligne de commande.

```
$ csrutil status
```

Voici un exemple de sortie.

```
System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled
```

## Conditions préalables pour les instances Mac Apple silicon
<a name="mac-sip-prereqs"></a>

Avant de configurer les paramètres SIP pour les instances Mac Apple silicon, vous devez définir un mot de passe et activer le jeton sécurisé pour l’utilisateur administratif du volume racine Amazon EBS (`ec2-user`).

**Note**  
Le mot de passe et le jeton sécurisé sont définis la première fois que vous vous connectez à une instance Mac Apple silicon à l’aide de l’interface graphique. Si vous vous êtes déjà [connecté à l’instance à l’aide de l’interface graphique](connect-to-mac-instance.md#mac-instance-vnc) ou si vous utilisez une instance Mac x86, vous **n’avez pas** besoin d’effectuer ces étapes.

**Note**  
Tous les noms d'utilisateur et mots de passe macOS utilisés pour l'authentification macOS doivent comporter entre 4 et 16 caractères pour être utilisés avec les appels d'API relatifs aux paramètres SIP.

**Pour définir un mot de passe et activer le jeton sécurisé pour l’utilisateur administratif du volume racine EBS**

1. [Connectez-vous à l'instance via SSH.](connect-to-mac-instance.md#mac-instance-ssh)

1. Définissez le mot de passe de l’utilisateur `ec2-user`.

   ```
   $ sudo /usr/bin/dscl . -passwd /Users/ec2-user
   ```

1. Activez le jeton sécurisé pour l’utilisateur `ec2-user`. Pour `-oldPassword`, spécifiez le même mot de passe de l’étape précédente. Pour `-newPassword`, spécifiez un autre mot de passe. La commande suivante suppose que vos anciens et nouveaux mots de passe sont enregistrés dans des fichiers `.txt`.

   ```
   $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`
   ```

1. Vérifiez que le jeton sécurisé est activé.

   ```
   $ sysadminctl -secureTokenStatus ec2-user
   ```

## Configurer les paramètres SIP
<a name="mac-sip-configure"></a>

Lorsque vous configurez les paramètres SIP de votre instance, vous pouvez activer ou désactiver tous les paramètres SIP, ou vous pouvez spécifier une configuration personnalisée qui active ou désactive de manière sélective des paramètres SIP spécifiques.

**Note**  
Si vous implémentez une configuration personnalisée, [connectez-vous à l’instance et vérifiez les paramètres](#mac-sip-check-settings) pour vous assurer que vos exigences sont correctement mises en œuvre et fonctionnent comme prévu.  
Les configurations SIP peuvent changer avec les mises à jour de macOS. Nous vous recommandons de vérifier les paramètres SIP personnalisés après toute mise à niveau de version de macOS afin de garantir la compatibilité continue et le bon fonctionnement de vos configurations de sécurité.

Pour configurer les paramètres SIP de votre instance, vous devez créer une tâche de configuration SIP. La tâche de configuration SIP spécifie les paramètres SIP de votre instance.

Lorsque vous créez une configuration SIP pour une instance Mac Apple silicon, vous devez indiquer les informations d’identification suivantes :
+ **Utilisateur administratif du disque interne**
  + Nom d’utilisateur : seul l’utilisateur administratif par défaut (`aws-managed-user`) est pris en charge et il est utilisé par défaut. Vous ne pouvez pas spécifier un autre utilisateur administratif.
  + Mot de passe : si vous n’avez pas modifié le mot de passe par défaut pour `aws-managed-user`, spécifiez-le, à savoir un mot de passe *vide*. Dans le cas contraire, spécifiez votre mot de passe.
+ **Utilisateur administrateur du volume racine Amazon EBS**
  + Nom d’utilisateur : si vous n’avez pas modifié l’utilisateur administratif par défaut, spécifiez `ec2-user`. Dans le cas contraire, spécifiez le nom d’utilisateur de votre utilisateur administratif.
  + Mot de passe : vous devez toujours spécifier le mot de passe.

Utilisez les méthodes suivantes pour créer une tâche de la configuration SIP.

------
#### [ Console ]

**Pour créer une tâche de configuration SIP à l’aide de la console**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation de gauche, choisissez **Instances**, puis sélectionnez l’instance Amazon EC2 Mac.

1. Dans l’onglet **Sécurité**, choisissez **Modifier le Mac, Modifier la protection de l’intégrité du système**.

1. Pour activer tous les paramètres SIP, sélectionnez **Activer SIP**. Pour désactiver tous les paramètres SIP, décochez **Activer SIP**.

1. Pour spécifier une configuration personnalisée qui active ou désactive de manière sélective des paramètres SIP spécifiques, sélectionnez **Spécifier une configuration SIP personnalisée**, puis sélectionnez les paramètres SIP à activer ou décochez les paramètres SIP pour les désactiver.

1. Spécifiez les informations d’identification de l’utilisateur du volume racine et du propriétaire du disque interne.

1. Choisissez **Créer une tâche de modification SIP**.

------
#### [ AWS CLI ]

**Pour créer une tâche de configuration SIP à l'aide du AWS CLI**  
Utilisez la protection-modification-task commande [ create-mac-system-integrity-](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-mac-system-integrity-protection-modification-task.html).

**Activation ou désactivation de tous les paramètres**  
Pour activer ou désactiver complètement tous les paramètres SIP, utilisez uniquement le paramètre `--mac-system-integrity-protection-status`.

L’exemple de commande suivant active tous les paramètres SIP.

```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
```

**Spécification d’une configuration SIP personnalisée**  
Pour spécifier une configuration SIP personnalisée qui active ou désactive de manière sélective des paramètres SIP spécifiques, spécifiez les paramètres `--mac-system-integrity-protection-status` et `--mac-system-integrity-protection-configuration`. Dans ce cas, utilisez `mac-system-integrity-protection-status` pour spécifier l’état global du SIP et `mac-system-integrity-protection-configuration` pour activer ou désactiver de manière sélective les paramètres SIP individuels.

L’exemple de commande suivant crée une tâche de configuration SIP pour activer tous les paramètres SIP, sauf `NvramProtections` et `FilesystemProtections`.

```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json
```

L’exemple de commande suivant crée une tâche de configuration SIP pour désactiver tous les paramètres SIP, sauf `DtraceRestrictions`.

```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
```

**Contenu du fichier `mac-credentials.json`**  
Voici le contenu du fichier `mac-credentials.json` référencé dans les exemples précédents.

```
{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}
```

------

## Vérification de l’état de la tâche de configuration SIP
<a name="mac-sip-state"></a>

Utilisez l’une des méthodes suivantes pour vérifier l’état des tâches de configuration SIP.

------
#### [ Console ]

**Pour consulter vos tâches de configuration SIP à l’aide de la console**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation de gauche, choisissez **Instances**, puis sélectionnez l’instance Amazon EC2 Mac.

1. Dans l’onglet **Sécurité**, faites défiler l’écran jusqu’à la section **Tâches de modification du Mac**.

------
#### [ AWS CLI ]

**Pour vérifier l'état des tâches de configuration SIP à l'aide du AWS CLI**  
Utilisez la commande [ describe-mac-modification-tasks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-mac-modification-tasks.html).

------