Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasikan Perlindungan Integritas Sistem untuk instans Amazon EC2 Mac
Anda dapat mengonfigurasi pengaturan Perlindungan Integritas Sistem (SIP) untuk instans Mac x86 dan instans Apple silicon Mac. SIP adalah fitur keamanan macOS penting yang membantu mencegah eksekusi kode yang tidak sah dan modifikasi tingkat sistem. Untuk informasi selengkapnya, lihat [Tentang Perlindungan Integritas Sistem](https://support.apple.com/en-us/102149).
Anda dapat mengaktifkan atau menonaktifkan SIP sepenuhnya, atau Anda dapat mengaktifkan atau menonaktifkan pengaturan SIP tertentu secara selektif. Disarankan agar Anda menonaktifkan SIP hanya sementara untuk melakukan tugas-tugas yang diperlukan, dan kemudian mengaktifkannya kembali sesegera mungkin. Meninggalkan SIP dinonaktifkan dapat membuat instance Anda rentan terhadap kode berbahaya.
Konfigurasi SIP didukung di semua AWS Wilayah di mana instans Amazon EC2 Mac didukung.
**Topics**
+ [Pertimbangan-pertimbangan](#mac-sip-considerations)
+ [Konfigurasi SIP default](#mac-sip-defaults)
+ [Periksa konfigurasi SIP Anda](#mac-sip-check-settings)
+ [Prasyarat untuk instance Apple silicon Mac](#mac-sip-prereqs)
+ [Konfigurasikan pengaturan SIP](#mac-sip-configure)
+ [Periksa status tugas konfigurasi SIP](#mac-sip-state)
## Pertimbangan-pertimbangan
+ Jenis instans Amazon EC2 Mac berikut dan versi macOS didukung:
+ **Mac1 \$1 Mac2 \$1 Mac2-M1Ultra - macOS Ventura (versi 13.0** atau yang lebih baru)
+ **Mac2-m2 \$1 Mac2-M2Pro - macOS** Ventura (versi 13.2 atau yang lebih baru)
+ **Mac-M4 \$1 Mac-M4Pro** - macOS Sequoia (versi 15.6 atau yang lebih baru)
**catatan**
Versi beta dan pratinjau macOS tidak didukung.
+ Anda dapat menentukan konfigurasi SIP khusus untuk mengaktifkan atau menonaktifkan pengaturan SIP individual secara selektif. Jika Anda menerapkan konfigurasi kustom, [sambungkan ke instans dan verifikasi pengaturan](#mac-sip-check-settings) untuk memastikan bahwa persyaratan Anda diterapkan dengan benar dan berfungsi sebagaimana dimaksud.
Konfigurasi SIP mungkin berubah dengan pembaruan macOS. Kami menyarankan Anda meninjau pengaturan SIP khusus setelah upgrade versi macOS apa pun untuk memastikan kompatibilitas berkelanjutan dan fungsionalitas yang tepat dari konfigurasi keamanan Anda.
+ Untuk instance Mac x86, pengaturan SIP diterapkan pada tingkat instans. Setiap volume root yang melekat pada instance akan secara otomatis mewarisi pengaturan SIP yang dikonfigurasi.
Untuk instance Apple silicon Mac, pengaturan SIP diterapkan pada tingkat volume. Volume root yang dilampirkan ke instance tidak mewarisi pengaturan SIP. Jika Anda melampirkan volume root lain, Anda harus mengkonfigurasi ulang pengaturan SIP ke status yang diperlukan.
+ Diperlukan waktu hingga 90 menit untuk menyelesaikan tugas konfigurasi SIP. Instance tetap tidak dapat dijangkau saat tugas konfigurasi SIP sedang berlangsung.
+ Konfigurasi SIP tidak ditransfer ke snapshot atau AMIs yang kemudian Anda buat dari instance.
+ Instans Apple silicon Mac harus memiliki hanya satu volume yang dapat di-boot, dan setiap volume terlampir hanya dapat memiliki satu pengguna admin tambahan.
## Konfigurasi SIP default
Tabel berikut mencantumkan konfigurasi SIP default untuk instance Mac x86 dan instance Apple silicon Mac.
| | Instans Apple silikon Mac | contoh x86 Mac |
| --- | --- | --- |
| Apple Internal | Diaktifkan | Dinonaktifkan |
| Perlindungan Sistem File | Diaktifkan | Dinonaktifkan |
| Sistem Dasar | Diaktifkan | Diaktifkan |
| Pembatasan Debugging | Diaktifkan | Diaktifkan |
| Pembatasan Dtrace | Diaktifkan | Diaktifkan |
| Penandatanganan Kext | Diaktifkan | Diaktifkan |
| Perlindungan Nvram | Diaktifkan | Diaktifkan |
## Periksa konfigurasi SIP Anda
Kami menyarankan Anda memeriksa konfigurasi SIP Anda sebelum dan sesudah membuat perubahan untuk memastikan bahwa konfigurasi tersebut dikonfigurasi seperti yang diharapkan.
**Untuk memeriksa konfigurasi SIP untuk instans Amazon EC2 Mac**
[Connect ke instance menggunakan SSH](connect-to-mac-instance.md#mac-instance-ssh), dan kemudian jalankan perintah berikut di baris perintah.
```
$ csrutil status
```
Berikut ini adalah output contoh.
```
System Integrity Protection status: enabled.
Configuration:
Apple Internal: enabled
Kext Signing: disabled
Filesystem Protections: enabled
Debugging Restrictions: enabled
DTrace Restrictions: enabled
NVRAM Protections: enabled
BaseSystem Verification: disabled
```
## Prasyarat untuk instance Apple silicon Mac
Sebelum Anda dapat mengonfigurasi pengaturan SIP untuk instance Apple silicon Mac, Anda harus mengatur kata sandi dan mengaktifkan token aman untuk pengguna administratif volume root Amazon EBS ()`ec2-user`.
**catatan**
Kata sandi dan token aman disetel saat pertama kali Anda terhubung ke instans Apple silikon Mac menggunakan GUI. Jika sebelumnya Anda [terhubung ke instans menggunakan GUI](connect-to-mac-instance.md#mac-instance-vnc), atau jika Anda menggunakan instance Mac x86, Anda **tidak** perlu melakukan langkah-langkah ini.
**catatan**
Semua nama pengguna dan kata sandi macOS yang digunakan untuk otentikasi macOS harus antara 4 dan 16 karakter untuk digunakan dengan panggilan API pengaturan SIP.
**Untuk mengatur kata sandi dan mengaktifkan token aman untuk pengguna administratif volume root EBS**
1. [Connect ke instance menggunakan SSH](connect-to-mac-instance.md#mac-instance-ssh).
1. Atur kata sandi untuk `ec2-user` pengguna.
```
$ sudo /usr/bin/dscl . -passwd /Users/ec2-user
```
1. Aktifkan token aman untuk `ec2-user` pengguna. Untuk`-oldPassword`, tentukan kata sandi yang sama dari langkah sebelumnya. Untuk`-newPassword`, tentukan kata sandi yang berbeda. Perintah berikut mengasumsikan bahwa Anda memiliki kata sandi lama dan baru yang disimpan dalam `.txt` file.
```
$ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`
```
1. Verifikasi bahwa token aman diaktifkan.
```
$ sysadminctl -secureTokenStatus ec2-user
```
## Konfigurasikan pengaturan SIP
Saat Anda mengonfigurasi pengaturan SIP untuk instans Anda, Anda dapat mengaktifkan atau menonaktifkan semua pengaturan SIP, atau Anda dapat menentukan konfigurasi khusus yang secara selektif mengaktifkan atau menonaktifkan pengaturan SIP tertentu.
**catatan**
Jika Anda menerapkan konfigurasi kustom, [sambungkan ke instans dan verifikasi pengaturan](#mac-sip-check-settings) untuk memastikan bahwa persyaratan Anda diterapkan dengan benar dan berfungsi sebagaimana dimaksud.
Konfigurasi SIP mungkin berubah dengan pembaruan macOS. Kami menyarankan Anda meninjau pengaturan SIP khusus setelah upgrade versi macOS apa pun untuk memastikan kompatibilitas berkelanjutan dan fungsionalitas yang tepat dari konfigurasi keamanan Anda.
Untuk mengkonfigurasi pengaturan SIP untuk instance Anda, Anda harus membuat tugas konfigurasi SIP. Tugas konfigurasi SIP menentukan pengaturan SIP untuk instance Anda.
Saat membuat konfigurasi SIP untuk instance Apple silicon Mac, Anda harus menentukan kredensi berikut:
+ **Pengguna administratif disk internal**
+ Nama pengguna - Hanya pengguna administratif default (`aws-managed-user`) yang didukung dan digunakan secara default. Anda tidak dapat menentukan pengguna administratif yang berbeda.
+ Kata sandi — Jika Anda tidak mengubah kata sandi default untuk`aws-managed-user`, tentukan kata sandi default, yang *kosong*. Jika tidak, tentukan kata sandi Anda.
+ **Pengguna administratif volume root Amazon EBS**
+ Nama pengguna — Jika Anda tidak mengubah pengguna administratif default, tentukan`ec2-user`. Jika tidak, tentukan nama pengguna untuk pengguna administratif Anda.
+ Kata sandi — Anda harus selalu menentukan kata sandi.
Gunakan metode berikut untuk membuat tugas konfigurasi SIP.
------
#### [ Console ]
**Untuk membuat tugas konfigurasi SIP menggunakan konsol**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Instans** dan kemudian pilih instans Amazon EC2 Mac.
1. Di tab **Keamanan**, pilih **Ubah Mac, Ubah Perlindungan Integritas Sistem**.
1. Untuk mengaktifkan semua pengaturan SIP, pilih **Aktifkan SIP**. Untuk menonaktifkan semua pengaturan SIP, hapus **Aktifkan SIP**.
1. Untuk menentukan konfigurasi khusus yang secara selektif mengaktifkan atau menonaktifkan pengaturan SIP tertentu, pilih **Tentukan konfigurasi SIP khusus**, lalu pilih pengaturan SIP untuk mengaktifkan, atau hapus pengaturan SIP untuk menonaktifkan.
1. Tentukan kredensil untuk pengguna volume root dan pemilik disk internal.
1. Pilih **Buat tugas modifikasi SIP**.
------
#### [ AWS CLI ]
**Untuk membuat tugas konfigurasi SIP menggunakan AWS CLI**
Gunakan protection-modification-task perintah [ create-mac-system-integrity-](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-mac-system-integrity-protection-modification-task.html).
**Aktifkan atau nonaktifkan semua pengaturan SIP**
Untuk sepenuhnya mengaktifkan atau menonaktifkan semua pengaturan SIP, gunakan hanya `--mac-system-integrity-protection-status` parameter.
Contoh perintah berikut memungkinkan semua pengaturan SIP.
```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
```
**Tentukan konfigurasi SIP khusus**
Untuk menentukan konfigurasi SIP khusus yang secara selektif mengaktifkan atau menonaktifkan pengaturan SIP tertentu, tentukan `--mac-system-integrity-protection-status` dan `--mac-system-integrity-protection-configuration` parameter. Dalam hal ini, gunakan `mac-system-integrity-protection-status` untuk menentukan status SIP keseluruhan, dan gunakan `mac-system-integrity-protection-configuration` untuk mengaktifkan atau menonaktifkan pengaturan SIP individu secara selektif.
Contoh perintah berikut membuat tugas konfigurasi SIP untuk mengaktifkan semua pengaturan SIP, kecuali `NvramProtections` dan`FilesystemProtections`.
```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json
```
Contoh perintah berikut membuat tugas konfigurasi SIP untuk menonaktifkan semua pengaturan SIP, kecuali`DtraceRestrictions`.
```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
```
**Isi `mac-credentials.json` file**
Berikut ini adalah isi dari `mac-credentials.json` file yang direferensikan dalam contoh sebelumnya.
```
{
"internalDiskPassword":"internal-disk-admin_password",
"rootVolumeUsername":"root-volume-admin_username",
"rootVolumepassword":"root-volume-admin_password"
}
```
------
## Periksa status tugas konfigurasi SIP
Gunakan salah satu metode berikut untuk memeriksa status tugas konfigurasi SIP.
------
#### [ Console ]
**Untuk melihat tugas konfigurasi SIP menggunakan konsol**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Instans** dan kemudian pilih instans Amazon EC2 Mac.
1. Di tab **Keamanan**, gulir ke bawah ke bagian **tugas modifikasi Mac**.
------
#### [ AWS CLI ]
**Untuk memeriksa status tugas konfigurasi SIP menggunakan AWS CLI**
Gunakan perintah [ describe-mac-modification-tasks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-mac-modification-tasks.html).
------