Setel ulang kata sandi dan SSH kunci pada EC2 instance - AWS Systems Manager
Cara kerjanyaSebelum Anda mulaiMenjalankan Otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Setel ulang kata sandi dan SSH kunci pada EC2 instance

Anda dapat menggunakan AWSSupport-ResetAccess runbook untuk mengaktifkan kembali pembuatan kata sandi Administrator lokal secara otomatis di instans Amazon Elastic Compute Cloud (AmazonEC2) untuk Windows Server dan untuk menghasilkan SSH kunci baru pada EC2 instance untuk Linux. AWSSupport-ResetAccessRunbook dirancang untuk melakukan kombinasi AWS Systems Manager tindakan, AWS CloudFormation tindakan, dan AWS Lambda fungsi yang mengotomatiskan langkah-langkah yang biasanya diperlukan untuk mengatur ulang kata sandi administrator lokal.

Anda dapat menggunakan Otomasi, kemampuan AWS Systems Manager, dengan AWSSupport-ResetAccess runbook untuk memecahkan masalah berikut:

Windows

Anda kehilangan EC2 key pair: Untuk mengatasi masalah ini, Anda dapat menggunakan AWSSupport- ResetAccess runbook untuk membuat password-enabled AMI dari instance Anda saat ini, meluncurkan instance baru dariAMI, dan memilih key pair yang Anda miliki.

Anda kehilangan kata sandi Administrator lokal: Untuk mengatasi masalah ini, Anda dapat menggunakan AWSSupport-ResetAccess runbook untuk menghasilkan kata sandi baru yang dapat Anda dekripsi dengan key pair EC2 saat ini.

Linux

Anda kehilangan EC2 key pair, atau Anda mengonfigurasi SSH akses ke instance dengan kunci yang hilang: Untuk mengatasi masalah ini, Anda dapat menggunakan AWSSupport-ResetAccess runbook untuk membuat SSH kunci baru untuk instance Anda saat ini, yang memungkinkan Anda untuk terhubung ke instance lagi.

catatan

Jika EC2 instans for Anda Windows Server dikonfigurasi untuk Systems Manager, Anda juga dapat mengatur ulang kata sandi Administrator lokal Anda dengan menggunakan EC2Rescue dan AWS Systems Manager Run Command. Untuk informasi selengkapnya, lihat Menggunakan EC2Rescue Windows Server dengan Systems Manager Run Command di Panduan EC2 Pengguna Amazon.

Informasi terkait

Connect ke instans Linux Anda dari Windows menggunakan Pu TTY di Panduan EC2 Pengguna Amazon

Cara kerjanya

Pemecahan masalah instans dengan otomatisasi dan AWSSupport-ResetAccess runbook bekerja sebagai berikut:

  • Anda menentukan ID instans yang tidak dapat dijangkau dan menjalankan runbook.

  • Sistem membuat sementaraVPC, dan kemudian menjalankan serangkaian fungsi Lambda untuk mengkonfigurasi. VPC

  • Sistem mengidentifikasi subnet untuk sementara Anda VPC di Availability Zone yang sama dengan instans asli Anda.

  • Sistem meluncurkan instans pembantu sementara SSM yang diaktifkan.

  • Sistem mengentikan instans asli Anda, dan membuat cadangan. Selanjutanya, sistem akan melampirkan volume akar asli untuk instans pembantu.

  • Sistem menggunakan Run Command untuk berjalan EC2Rescue pada instance helper. Pada Windows, EC2Rescue memungkinkan pembuatan kata sandi untuk Administrator lokal dengan menggunakan EC2Config atau EC2Launch pada volume root asli yang terlampir. Di Linux, EC2Rescue menghasilkan dan menyuntikkan SSH kunci baru dan menyimpan kunci pribadi, dienkripsi, di. Parameter Store Setelah selesai, EC2Rescue pasang kembali volume root ke instance asli.

  • Sistem membuat Amazon Machine Image (AMI) baru dari instance Anda, sekarang pembuatan kata sandi diaktifkan. Anda dapat menggunakan ini AMI untuk membuat EC2 instance baru, dan mengaitkan key pair baru jika diperlukan.

  • Sistem memulai ulang instans asli Anda, dan mengakhiri instans sementara. Sistem ini juga menghentikan fungsi sementara VPC dan Lambda yang dibuat pada awal otomatisasi.

  • Windows: Instans Anda menghasilkan kata sandi baru yang dapat Anda dekode dari EC2 konsol Amazon menggunakan key pair saat ini yang ditetapkan ke instance.

    Linux: Anda dapat SSH ke instance dengan menggunakan SSH kunci yang disimpan di Systems Manager Parameter Store sebagai /ec2rl/openssh/instance ID/kunci.

Sebelum Anda mulai

Sebelum Anda menjalankan otomatisasi berikut, lakukan solusi berikut:

  • Salin ID instans tempat Anda ingin menyetel ulang kata sandi Administrator. Anda akan menentukan ID ini dalam prosedur.

  • Opsional, kumpulkan ID subnet di zona ketersediaan yang sama sebagai instans yang dapat dijangkau. EC2RescueInstance akan dibuat di subnet ini. Jika Anda tidak menentukan subnet, maka Automation membuat sementara baru VPC di Anda Akun AWS. Verifikasi bahwa Anda Akun AWS memiliki setidaknya satu VPC yang tersedia. Secara default, Anda dapat membuat lima VPCs di Wilayah. Jika Anda sudah membuat lima VPCs di Wilayah, otomatisasi gagal tanpa membuat perubahan pada instans Anda. Untuk informasi selengkapnya tentang VPC kuota Amazon, lihat VPCdan Subnet di VPCPanduan Pengguna Amazon.

  • Secara opsional, Anda dapat membuat dan menentukan peran AWS Identity and Access Management (IAM) untuk Otomasi. Jika Anda tidak menentukan peran ini, Otomatisasi beroperasi dalam konteks pengguna yang dipanggil otomatisasi.

Pemberian AWSSupport - EC2Rescue izin untuk melakukan tindakan pada instans Anda

EC2Rescuememerlukan izin untuk melakukan serangkaian tindakan pada instans Anda selama otomatisasi. Tindakan ini meminta EC2 layanan AWS Lambda,IAM, dan Amazon untuk mencoba memperbaiki masalah dengan instans Anda dengan aman dan aman. Jika Anda memiliki izin tingkat Administrator di Akun AWS dan/atauVPC, Anda mungkin dapat menjalankan otomatisasi tanpa mengonfigurasi izin, seperti yang dijelaskan di bagian ini. Jika Anda tidak memiliki izin tingkat administrator, maka Anda atau administrator harus mengonfigurasi izin dengan menggunakan salah satu opsi berikut.

Memberikan izin dengan menggunakan kebijakan IAM

Anda dapat melampirkan IAM kebijakan berikut ke pengguna, grup, atau peran Anda sebagai kebijakan sebaris; atau, Anda dapat membuat kebijakan IAM terkelola baru dan melampirkannya ke pengguna, grup, atau peran Anda. Untuk informasi selengkapnya tentang menambahkan kebijakan sebaris ke pengguna, grup, atau peran Anda, lihat Bekerja Dengan Kebijakan Sebaris. Untuk informasi lebih lanjut tentang membuat kebijakan terkelola baru, lihat Bekerja Dengan Kebijakan Terkelola.

catatan

Jika Anda membuat kebijakan IAM terkelola baru, Anda juga harus melampirkan kebijakan yang dikelola mazonSSMAutomation Peran agar instans Anda dapat berkomunikasi dengan Systems ManagerAPI.

IAMKebijakan untuk AWSSupport-ResetAccess

Ganti account ID dengan informasi Anda sendiri.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "lambda:InvokeFunction",
            "lambda:DeleteFunction",
            "lambda:GetFunction"
         ],
         "Resource": "arn:aws:lambda:*:account ID:function:AWSSupport-EC2Rescue-*",
         "Effect": "Allow"
      },
      {
         "Action": [
            "s3:GetObject",
            "s3:GetObjectVersion"
         ],
         "Resource": [
            "arn:aws:s3:::awssupport-ssm.*/*.template",
            "arn:aws:s3:::awssupport-ssm.*/*.zip"
         ],
         "Effect": "Allow"
      },
      {
         "Action": [
            "iam:CreateRole",
            "iam:CreateInstanceProfile",
            "iam:GetRole",
            "iam:GetInstanceProfile",
            "iam:PutRolePolicy",
            "iam:DetachRolePolicy",
            "iam:AttachRolePolicy",
            "iam:PassRole",
            "iam:AddRoleToInstanceProfile",
            "iam:RemoveRoleFromInstanceProfile",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DeleteInstanceProfile"
         ],
         "Resource": [
            "arn:aws:iam::account ID:role/AWSSupport-EC2Rescue-*",
            "arn:aws:iam::account ID:instance-profile/AWSSupport-EC2Rescue-*"
         ],
         "Effect": "Allow"
      },
      {
         "Action": [
            "lambda:CreateFunction",
            "ec2:CreateVpc",
            "ec2:ModifyVpcAttribute",
            "ec2:DeleteVpc",
            "ec2:CreateInternetGateway",
            "ec2:AttachInternetGateway",
            "ec2:DetachInternetGateway",
            "ec2:DeleteInternetGateway",
            "ec2:CreateSubnet",
            "ec2:DeleteSubnet",
            "ec2:CreateRoute",
            "ec2:DeleteRoute",
            "ec2:CreateRouteTable",
            "ec2:AssociateRouteTable",
            "ec2:DisassociateRouteTable",
            "ec2:DeleteRouteTable",
            "ec2:CreateVpcEndpoint",
            "ec2:DeleteVpcEndpoints",
            "ec2:ModifyVpcEndpoint",
            "ec2:Describe*"
         ],
         "Resource": "*",
         "Effect": "Allow"
      }
   ]
}

Memberikan izin dengan menggunakan template AWS CloudFormation

AWS CloudFormation mengotomatiskan proses pembuatan IAM peran dan kebijakan dengan menggunakan templat yang telah dikonfigurasi sebelumnya. Gunakan prosedur berikut untuk membuat IAM peran dan kebijakan yang diperlukan untuk EC2Rescue Otomasi dengan menggunakan AWS CloudFormation.

Untuk membuat IAM peran dan kebijakan yang diperlukan untuk EC2Rescue

  1. Unduh AWSSupport-EC2RescueRole.zip dan ekstrak AWSSupport-EC2RescueRole.json file ke direktori pada mesin lokal Anda.

  2. Jika Anda Akun AWS berada di partisi khusus, edit template untuk mengubah ARN nilai-nilai untuk partisi Anda.

    Misalnya, untuk Wilayah Cina, ubah semua kasus arn:aws ke arn:aws-cn.

  3. Masuk ke AWS Management Console dan buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

  4. Pilih Buat tumpukan, Dengan sumber daya baru (standar).

  5. Pada halaman Buat tumpukan, untuk Prasyarat - Siapkan templat, pilih Templat sudah siap.

  6. Untuk Tentukan templat, pilih Unggah file templat.

  7. Pilih Pilih file, lalu telusuri ke dan pilih AWSSupport-EC2RescueRole.json file dari direktori tempat Anda mengekstraknya.

  8. Pilih Berikutnya.

  9. Pada halaman Tentukan detail tumpukan, untuk bidang Nama tumpukan, masukkan nama untuk mengidentifikasi tumpukan ini, dan kemudian pilih Berikutnya.

  10. (Opsional) Dalam area Tag, terapkan satu pasangan nilai kunci tag atau lebih ke parameter.

    Tag adalah metadata opsional yang Anda tetapkan ke sumber daya. Tanda memungkinkan Anda untuk mengategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Misalnya, Anda mungkin ingin menandai tumpukan untuk mengidentifikasi jenis tugas yang dijalankannya, jenis target atau sumber daya lainnya, dan lingkungan tempat ia dijalankan.

  11. Pilih Berikutnya

  12. Pada halaman Ulasan, tinjau detail tumpukan, lalu gulir ke bawah dan pilih opsi Saya akui yang AWS CloudFormation mungkin membuat IAM sumber daya.

  13. AWS CloudFormation menunjukkan PROGRESS status CREATE_IN_ selama beberapa menit. Status berubah menjadi CREATE_ COMPLETE setelah tumpukan dibuat. Anda juga dapat memilih ikon refresh untuk memeriksa status proses pembuatan.

  14. Dalam daftar tumpukan, pilih opsi di samping tumpukan yang baru saja Anda buat, lalu pilih tab Output.

  15. Salin Nilai. Itu adalah ARN dari AssumeRole. Anda akan menentukan ini ARN ketika Anda menjalankan Otomasi.

Menjalankan Otomatisasi

Prosedur berikut menjelaskan cara menjalankan AWSSupport-ResetAccess runbook dengan menggunakan AWS Systems Manager konsol.

penting

Otomatisasi berikut menghentikan instans. Menghentikan contoh dapat mengakibatkan hilangnya data pada volume penyimpanan instans terlampir (jika ada). Menghentikan instans juga dapat menyebabkan IP publik berubah, jika tidak ada Elastic IP terkait. Untuk menghindari perubahan konfigurasi ini, gunakan Run Command untuk mengatur ulang akses. Untuk informasi selengkapnya, lihat Menggunakan EC2Rescue Windows Server dengan Systems Manager Run Command di Panduan EC2 Pengguna Amazon.

Untuk menjalankan AWSSupport - ResetAccess Otomasi

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Pada panel navigasi, pilih Otomatisasi.

  3. Pilih Eksekusi otomatisasi.

  4. Di bagian Dokumen otomatisasi, pilih Dimiliki oleh Amazon dari daftar.

  5. Dalam daftar runbook, pilih tombol di kartu untuk AWSSupport- ResetAccess, lalu pilih Berikutnya.

  6. Pada halaman Eksekusi dokumen otomatisasi, pilih Eksekusi sederhana.

  7. Di bagian Detail dokumen verifikasi bahwa Versi dokumen diatur ke versi default tertinggi. Misalnya, $ DEFAULT atau 3 (default).

  8. Di bagian Parameter input, tentukan parameter berikut:

    1. Untuk InstanceID, tentukan ID instans yang tidak terjangkau.

    2. Untuk SubnetId, tentukan subnet di zona ketersediaan yang ada VPC di zona ketersediaan yang sama dengan instance yang Anda tentukan. Secara default, Systems Manager membuat yang baruVPC, tetapi Anda dapat menentukan subnet yang sudah ada VPC jika Anda mau.

      catatan

      Jika Anda tidak melihat opsi untuk menentukan ID subnet, verifikasi bahwa Anda menggunakan versi Default terbaru dari runbook.

    3. Untuk EC2RescueInstanceType, tentukan jenis instance untuk EC2Rescue instance. Nilai instans default adalah t2.medium.

    4. Untuk AssumeRole, jika Anda membuat peran untuk Otomasi ini dengan menggunakan AWS CloudFormation prosedur yang dijelaskan sebelumnya dalam topik ini, maka tentukan AssumeRole ARN yang Anda catat di AWS CloudFormation konsol.

  9. (Opsional) Dalam area Tag, terapkan satu pasangan nama/nilai kunci tag atau lebih untuk membantu mengidentifikasi otomatisasi, misalnya Key=Purpose,Value=ResetAccess.

  10. Pilih Eksekusi.

  11. Untuk memantau kemajuan otomatisasi, pilih otomatisasi berjalan, dan kemudian pilih tab Langkah. Setelah otomatisasi selesai, pilih tab Deskripsi, dan kemudian pilih Tampilkan output untuk melihat hasilnya. Untuk menampilkan output langkah-langkah individual, pilih tab Langkah, dan kemudian pilih Tampilkan Output di samping satu langkah.

Runbook membuat cadangan AMI dan kata sandi yang diaktifkan AMI sebagai bagian dari otomatisasi. Semua sumber lain yang dibuat oleh otomatisasi dihapus secara otomatis, tetapi ini AMIs tetap ada di akun Anda. AMIs Dinamai menggunakan konvensi berikut:

  • CadanganAMI: AWSSupport-EC2Rescue:InstanceID

  • Diaktifkan kata sandiAMI: AWSSupport -EC2Rescue: Diaktifkan kata sandi dari AMI Instance ID

Anda dapat menemukan ini AMIs dengan mencari ID eksekusi Otomatisasi.

Untuk Linux, kunci SSH pribadi baru untuk instans Anda disimpan, dienkripsi, di. Parameter Store Nama parameternya adalah /ec2rl/openssh/instance ID/kunci.