Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasikan akses ke Konsol EC2 Serial
Untuk mengonfigurasi akses ke konsol serial, Anda harus memberikan akses konsol serial di tingkat akun dan kemudian mengonfigurasi IAM kebijakan untuk memberikan akses ke pengguna Anda. Untuk instance Linux, Anda juga harus mengonfigurasi pengguna berbasis kata sandi pada setiap instance sehingga pengguna Anda dapat menggunakan konsol serial untuk pemecahan masalah.
Sebelum memulai, pastikan untuk memeriksa prasyarat.
Topik
Tingkat akses ke Konsol EC2 Serial
Secara default, tidak ada akses ke konsol serial pada tingkat akun. Anda perlu secara eksplisit memberikan akses ke konsol serial pada tingkat akun. Untuk informasi selengkapnya, lihat Mengelola akses akun ke Konsol EC2 Serial.
Anda dapat menggunakan kebijakan kontrol layanan (SCP) untuk mengizinkan akses ke konsol serial dalam organisasi Anda. Anda kemudian dapat memiliki kontrol akses terperinci di tingkat pengguna dengan menggunakan IAM kebijakan untuk mengontrol akses. Dengan menggunakan kombinasi SCP dan IAM kebijakan, Anda memiliki tingkat kontrol akses yang berbeda ke konsol serial.
- Tingkat organisasi
-
Anda dapat menggunakan kebijakan kontrol layanan (SCP) untuk mengizinkan akses ke konsol serial untuk akun anggota dalam organisasi Anda. Untuk informasi selengkapnyaSCPs, lihat Kebijakan kontrol layanan di Panduan AWS Organizations Pengguna.
- Tingkat instans
-
Anda dapat mengonfigurasi kebijakan akses konsol serial dengan menggunakan IAM PrincipalTag dan ResourceTag konstruksi dan dengan menentukan instance berdasarkan ID mereka. Untuk informasi selengkapnya, lihat Mengonfigurasi IAM kebijakan untuk akses Konsol EC2 Serial.
- Tingkat pengguna
-
Anda dapat mengonfigurasi akses di tingkat pengguna dengan mengonfigurasi IAM kebijakan untuk mengizinkan atau menolak izin pengguna tertentu untuk mendorong kunci SSH publik ke layanan konsol serial instance tertentu. Untuk informasi selengkapnya, lihat Mengonfigurasi IAM kebijakan untuk akses Konsol EC2 Serial.
- Tingkat OS (hanya instance Linux)
-
Anda dapat mengatur kata sandi pengguna pada tingkat OS tamu. Tingkat ini menyediakan akses ke konsol serial untuk beberapa kasus penggunaan. Namun, untuk memantau log, Anda tidak memerlukan pengguna berbasis kata sandi. Untuk informasi selengkapnya, lihat Tetapkan kata sandi pengguna OS pada instance Linux.
Mengelola akses akun ke Konsol EC2 Serial
Secara default, tidak ada akses ke konsol serial pada tingkat akun. Anda perlu secara eksplisit memberikan akses ke konsol serial pada tingkat akun.
Topik
Memberikan izin kepada pengguna untuk mengelola akses akun
Untuk memungkinkan pengguna mengelola akses akun ke konsol EC2 serial, Anda harus memberi mereka IAM izin yang diperlukan.
Kebijakan berikut memberikan izin untuk melihat status akun, dan untuk mengizinkan serta mencegah akses akun ke konsol EC2 serial.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:GetSerialConsoleAccessStatus", "ec2:EnableSerialConsoleAccess", "ec2:DisableSerialConsoleAccess" ], "Resource": "*" } ] }
Untuk informasi selengkapnya, lihat Membuat IAM kebijakan di Panduan IAM Pengguna.
Melihat status akses akun ke konsol serial
Untuk melihat status akses akun ke konsol serial (konsol)
Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/
. -
Di panel navigasi kiri, pilih EC2Dasbor.
-
Dari atribut Akun, pilih Konsol EC2 Serial.
Bidang akses Konsol EC2 Serial menunjukkan apakah akses akun Diizinkan atau Dicegah.
Tangkapan layar berikut menunjukkan bahwa akun dicegah menggunakan konsol EC2 serial.
Untuk melihat status akses akun ke konsol serial (AWS CLI)
Gunakan perintah get-serial-console-access-status untuk melihat status akses akun ke konsol serial.
aws ec2 get-serial-console-access-status --regionus-east-1
Dalam output berikut, true menunjukkan bahwa akun diizinkan mengakses konsol serial.
{ "SerialConsoleAccessEnabled": true }
Memberikan akses akun ke konsol serial
Untuk memberikan akses akun ke konsol serial (konsol)
Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/
. -
Di panel navigasi kiri, pilih EC2Dasbor.
-
Dari atribut Akun, pilih Konsol EC2 Serial.
-
Pilih Kelola.
-
Untuk mengizinkan akses ke konsol EC2 serial semua instance di akun, pilih kotak centang Izinkan.
-
Pilih Perbarui.
Untuk memberikan akses akun ke konsol serial (AWS CLI)
Gunakan enable-serial-console-accessperintah untuk mengizinkan akses akun ke konsol serial.
aws ec2 enable-serial-console-access --regionus-east-1
Dalam output berikut, true menunjukkan bahwa akun diizinkan mengakses konsol serial.
{ "SerialConsoleAccessEnabled": true }
Menolak akses akun ke konsol serial
Untuk memberikan akses akun ke konsol serial (konsol)
Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/
. -
Di panel navigasi kiri, pilih EC2Dasbor.
-
Dari atribut Akun, pilih Konsol EC2 Serial.
-
Pilih Kelola.
-
Untuk mencegah akses ke konsol EC2 serial dari semua instance di akun, kosongkan kotak centang Izinkan.
-
Pilih Perbarui.
Untuk menolak akses akun ke konsol serial (AWS CLI)
Gunakan disable-serial-console-accessperintah untuk mencegah akses akun ke konsol serial.
aws ec2 disable-serial-console-access --regionus-east-1
Dalam output berikut, false menunjukkan bahwa akun ditolak untuk mengakses konsol serial.
{ "SerialConsoleAccessEnabled": false }
Mengonfigurasi IAM kebijakan untuk akses Konsol EC2 Serial
Secara default, pengguna Anda tidak memiliki akses ke konsol serial. Organisasi Anda harus mengonfigurasi IAM kebijakan untuk memberi pengguna akses yang diperlukan. Untuk informasi selengkapnya, lihat Membuat IAM kebijakan di Panduan IAM Pengguna.
Untuk akses konsol serial, buat dokumen JSON kebijakan yang menyertakan ec2-instance-connect:SendSerialConsoleSSHPublicKey tindakan. Tindakan ini memberi pengguna izin untuk mendorong kunci publik ke layanan konsol serial, yang memulai sesi konsol serial. Kami merekomendasikan untuk membatasi akses ke EC2 instance tertentu. Jika tidak, semua pengguna dengan izin ini dapat terhubung ke konsol serial dari semua EC2 instance.
Contoh kebijakan IAM
Secara eksplisit mengizinkan akses ke konsol serial
Secara default, tidak ada yang memiliki akses ke konsol serial. Untuk memberikan akses ke konsol serial, Anda perlu mengonfigurasi kebijakan untuk secara eksplisit mengizinkan akses. Sebaiknya konfigurasikan kebijakan yang membatasi akses ke instans tertentu.
Kebijakan berikut memungkinkan akses ke konsol serial instans tertentu, diidentifikasi berdasarkan ID instansnya.
Perhatikan bahwa tindakan DescribeInstances, DescribeInstanceTypes, dan GetSerialConsoleAccessStatus tidak mendukung izin tingkat sumber daya, dan oleh karena itu semua sumber daya, yang ditunjukkan oleh * (tanda bintang), harus ditentukan untuk tindakan ini.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribeInstances", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "AllowinstanceBasedSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7" } ] }
Secara eksplisit mengizinkan akses ke konsol serial
IAMKebijakan berikut memungkinkan akses ke konsol serial dari semua instance, dilambangkan dengan * (tanda bintang), dan secara eksplisit menolak akses ke konsol serial dari instance tertentu, yang diidentifikasi oleh ID-nya.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey", "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "DenySerialConsoleAccess", "Effect": "Deny", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7" } ] }
Gunakan tanda sumber daya untuk mengontrol akses ke konsol serial
Anda dapat menggunakan tanda sumber daya untuk mengontrol akses ke konsol serial dari sebuah instans.
Kontrol akses berbasis atribut adalah strategi otorisasi yang mendefinisikan izin berdasarkan tag yang dapat dilampirkan ke pengguna dan sumber daya. AWS Misalnya, kebijakan berikut ini mengizinkan pengguna untuk memulai koneksi konsol serial untuk sebuah instans hanya jika tanda sumber daya instans dan tanda pengguna utama memiliki nilai SerialConsole yang sama untuk kunci tanda tersebut.
Untuk informasi selengkapnya tentang penggunaan tag untuk mengontrol akses ke AWS sumber daya Anda, lihat Mengontrol akses ke AWS sumber daya di Panduan IAM Pengguna.
Perhatikan bahwa tindakan DescribeInstances, DescribeInstanceTypes, dan GetSerialConsoleAccessStatus tidak mendukung izin tingkat sumber daya, dan oleh karena itu semua sumber daya, yang ditunjukkan oleh * (tanda bintang), harus ditentukan untuk tindakan ini.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribeInstances", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "AllowTagBasedSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/*", "Condition": { "StringEquals": { "aws:ResourceTag/SerialConsole": "${aws:PrincipalTag/SerialConsole}" } } } ] }
Tetapkan kata sandi pengguna OS pada instance Linux
catatan
Bagian ini hanya berlaku untuk instance Linux.
Anda dapat terhubung ke konsol serial tanpa kata sandi. Namun, untuk menggunakan konsol serial untuk memecahkan masalah instance Linux, instance harus memiliki pengguna OS berbasis kata sandi.
Anda dapat mengatur kata sandi untuk pengguna OS apa pun, termasuk pengguna root. Perhatikan bahwa pengguna root dapat memodifikasi semua file, sementara setiap pengguna OS mungkin memiliki izin terbatas.
Anda harus mengatur kata sandi pengguna pada setiap instans untuk konsol serial yang akan Anda gunakan. Ini adalah persyaratan satu kali untuk setiap instans.
catatan
Petunjuk berikut hanya berlaku jika Anda meluncurkan instans menggunakan Linux yang AMI disediakan oleh AWS karena, secara default, AMIs disediakan oleh tidak AWS dikonfigurasi dengan pengguna berbasis kata sandi. Jika Anda meluncurkan instans Anda menggunakan kata sandi pengguna root AMI yang sudah dikonfigurasi, Anda dapat melewati petunjuk ini.
Untuk mengatur kata sandi pengguna OS pada instance Linux
-
Terhubung ke instans Anda. Anda dapat menggunakan metode apa pun untuk menghubungkan ke instans Anda, kecuali metode koneksi Konsol EC2 Serial.
-
Untuk mengatur kata sandi pengguna, gunakan perintah passwd. Pada contoh berikut, pengguna adalah
root.[ec2-user ~]$sudo passwd rootBerikut ini adalah output contoh.
Changing password for user root. New password: -
Pada perintah
New password, masukkan kata sandi baru. -
Pada perintah, masukkan kembali kata sandinya.
