Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Connettiti all’istanza EC2
<a name="connect"></a>

La tua istanza Amazon EC2 è un server virtuale in Cloud AWS. Per accedere alla tua istanza, devi stabilire una connessione all’istanza. La modalità di connessione all’istanza dipende dal sistema operativo dell’istanza e dal sistema operativo del computer utilizzato per connettersi all’istanza. Nella tabella seguente, vengono descritti in dettaglio i requisiti per ciascun metodo di connessione.


| Opzione di connessione | Sistema operativo dell’istanza. | Regola del traffico in entrata | autorizzazioni IAM | Ruolo del profilo dell’istanza | Software sull’istanza | Software sul sistema di connessione | Coppia di chiavi | 
| --- | --- | --- | --- | --- | --- | --- | --- | 
|  Client SSH  |  Linux  |  Sì  |  No  |  No  |  No  |  Sì  |  Sì  | 
|  EC2 Instance Connect  |  Linux  |  Sì   |  Sì  |  No  |  Sì ¹  |  No  |  No  | 
| PuTTY |  Linux  |  Sì  |  No  |  No  |  No  |  Sì  |  Sì  | 
| Client RDP |  Windows  |  Sì  |  No  |  No  |  No  |  Sì  |  Sì ²  | 
| Fleet Manager |  Windows  |  No  |  Sì  |  Sì  |  Sì ¹  |  No  |  Sì  | 
| Session Manager |  Linux, Windows  |  No  |  Sì  |  Sì  |  Sì ¹  |  No  |  No  | 
| Endpoint EC2 Instance Connect |  Linux, Windows  |  Sì   |  Sì  |  No  |  No  |  No  |  No ³  | 

¹ Il software richiesto è preinstallato solo su alcuni AMIs. Puoi installare manualmente il software richiesto, se necessario, sui sistemi operativi supportati.

² La coppia di chiavi è obbligatoria solo se si utilizza la password generata casualmente per l’account utente dell’amministratore locale.

³ È necessaria una coppia di chiavi se utilizzi il metodo di connessione SSH.

Per ulteriori informazioni, consulta la documentazione relativa all’opzione di connessione che intendi usare.

**Opzioni di connessione**
+ [Connessione all'istanza Linux tramite un client SSH](connect-linux-inst-ssh.md)
+ [Connessione a un’istanza Linux tramite PuTTY](connect-linux-inst-from-windows.md)
+ [Connettiti alla tua istanza Windows utilizzando un client RDP](connect-rdp.md)
+ [Connessione a un'istanza Windows utilizzando Fleet Manager](connect-rdp-fleet-manager.md)
+ [Connessione tramite Session Manager](connect-with-systems-manager-session-manager.md)
+ [Connettiti tramite un IP pubblico ed EC2 Instance Connect](connect-linux-inst-eic.md)
+ [Connessione usando un IP privato e l’endpoint EC2 Instance Connect](connect-with-ec2-instance-connect-endpoint.md)

# Prerequisiti generali per la connessione
<a name="connection-prereqs-general"></a>

Di seguito sono riportati i prerequisiti generali per connettersi a un’istanza. Potrebbero esserci prerequisiti aggiuntivi specifici per l’opzione di connessione scelta.

**Prerequisiti generali**
+ Verifica che l’istanza abbia superato i controlli dello stato. Possono essere necessari alcuni minuti affinché un’istanza sia pronta ad accettare richieste di connessione. Per ulteriori informazioni, consulta [Visualizzazione dei controlli di stato](viewing_status.md).
+ [Ottieni i dettagli richiesti sull’istanza](#connection-prereqs-get-info-about-instance).
+ [Individuazione della chiave privata e impostazione delle autorizzazioni](#connection-prereqs-private-key).
+ [(Opzionale) Ottenimento dell’impronta dell’istanza](#connection-prereqs-fingerprint).

## Ottieni i dettagli richiesti sull’istanza
<a name="connection-prereqs-get-info-about-instance"></a>

Per prepararti a connetterti alla tua istanza, ottieni le seguenti informazioni dalla console Amazon EC2 o utilizzando la riga di comando.

![\[Il riquadro Istanze della console Amazon EC2.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/connection-prereqs-console2.png)

+ **Ottieni il nome DNS pubblico dell’istanza.**

  Puoi ottenere il DNS pubblico dell’istanza dalla console Amazon EC2. Controlla la colonna ** IPv4 DNS pubblico** del riquadro **Istanze.** **Se questa colonna è nascosta, scegli l'icona delle impostazioni (![\[The gear icon.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/settings-icon.png)) nell'angolo in alto a destra dello schermo e seleziona DNS pubblico. IPv4 ** Puoi anche trovare il DNS pubblico nella sezione delle informazioni sull’istanza del riquadro **Istanze**. Quando selezioni l’istanza nel riquadro **Istanze** della console Amazon EC2, le informazioni su quell’istanza verranno visualizzate nella metà inferiore della pagina. Nella scheda **Dettagli**, cerca **Public IPv4** DNS.

  Se preferisci, puoi usare i comandi [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) (AWS CLI) o (). [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)AWS Tools for Windows PowerShell

  Se non viene visualizzato alcun ** IPv4 DNS pubblico**, verificate che **lo stato dell'istanza** sia **in esecuzione** e che non abbiate avviato l'istanza in una sottorete privata. Se hai avviato l’istanza utilizzando la [Procedura guidata di avvio dell’istanza](ec2-launch-instance-wizard.md), potresti aver modificato il campo **Assegna automaticamente IP pubblico** in **Impostazioni di rete** e modificato il valore in **Disabilita**. Se disabiliti l’opzione **Assegna automaticamente IP pubblico**, all’istanza non viene assegnato un indirizzo IP pubblico quando viene avviata. 
+ **(IPv6 solo istanze) Ottieni l' IPv6 indirizzo dell'istanza.**

  Se hai assegnato un indirizzo IPv6 all’istanza, puoi facoltativamente connetterti all’istanza utilizzando il relativo indirizzo IPv6 anziché un indirizzo IPv4 pubblico o un nome host DNS IPv4 pubblico. Il tuo computer locale deve avere un indirizzo IPv6 ed essere configurato per utilizzare IPv6. Puoi ottenere l’indirizzo IPv6 dell’istanza dalla console Amazon EC2. Controlla la **IPv6 IPs**colonna del riquadro **Istanze.** In alternativa, puoi trovare l' IPv6 indirizzo nella sezione delle informazioni sull'istanza. Quando selezioni l’istanza nel riquadro **Istanze** della console Amazon EC2, le informazioni su quell’istanza verranno visualizzate nella metà inferiore della pagina. Nella scheda **Dettagli**, cerca l'**IPv6indirizzo**.

  Se preferisci, puoi usare i comandi [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) (AWS CLI) o [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)().AWS Tools for Windows PowerShell Per ulteriori informazioni su, consulta. IPv6 [IPv6 indirizzi](using-instance-addressing.md#ipv6-addressing)
+ **(Istanze Linux) Ottieni il nome utente per la tua istanza.**

  È possibile connettersi all’istanza utilizzando il nome utente dell’account utente o il nome utente predefinito per l’AMI utilizzato per avviare l’istanza.
  + **Ottenere il nome utente per il proprio account utente.**

    Per ulteriori informazioni su come creare un account utente, consulta [Gestisci gli utenti di sistema sulla tua istanza Amazon EC2 Linux](managing-users.md).
  + **Ottieni il nome utente predefinito per l’AMI che hai utilizzato per avviare l’istanza.**
    + **Amazon Linux** – `ec2-user`
    + **CentOS** – `centos` oppure `ec2-user`
    + **Debian** – `admin`
    + **Fedora** – `fedora` oppure `ec2-user`
    + **FreeBSD** – `ec2-user`
    + **RHEL** – `ec2-user` oppure `root`
    + **SUSE** – `ec2-user` oppure `root`
    + **Ubuntu** – `ubuntu`
    + **Oracle**: `ec2-user`
    + **Bitnami** – `bitnami`
    + **Rocky Linux** – `rocky`
    + **Altro** – Verifica con il provider dell’AMI

## Individuazione della chiave privata e impostazione delle autorizzazioni
<a name="connection-prereqs-private-key"></a>

Per effettuare la connessione iniziale a un’istanza Linux tramite SSH o a istanze Windows tramite RDP, devi conoscere la posizione del file della chiave privata. Per le connessioni SSH, devi impostare le autorizzazioni dei file in modo che tu sia l’unico a poter leggere la chiave privata.

Per informazioni su come funzionano le coppie di chiavi quando si utilizza Amazon EC2, consulta [Coppie di chiavi Amazon EC2 e istanze Amazon EC2](ec2-key-pairs.md).
+ **Individuazione della chiave privata.**

  Ottieni il percorso pienamente qualificato alla posizione nel tuo computer del file `.pem` per una coppia di chiavi che hai specificato quando hai avviato l’istanza. Per ulteriori informazioni, consulta [Identificazione della chiave pubblica specificata al momento dell'avvio](describe-keys.md#identify-key-pair-specified-at-launch).

  Se non riesci a trovare il file della chiave privata, consulta [Ho perso la mia chiave privata. Come posso connettermi alla mia istanza?](TroubleshootingInstancesConnecting.md#replacing-lost-key-pair)

  (Istanze Linux) Se ti stai connettendo alla tua istanza usando PuTTY e devi convertire il file `.pem` in `.ppk`, consulta [Converti la tua chiave privata usando Pu TTYgen](connect-linux-inst-from-windows.md#putty-private-key).
+ **(Istanze Linux) Imposta le autorizzazioni della tua chiave privata in modo che solo tu possa leggerla.**
  + **Connessione da macOS o Linux**

    Se prevedi di utilizzare un client SSH su un computer macOS o Linux per connetterti all’istanza Linux, utilizza il comando seguente per impostare le autorizzazioni del file della chiave privata per essere l’unico a poterlo leggere.

    ```
    chmod 400 key-pair-name.pem
    ```

    Se non imposti queste autorizzazioni, allora non puoi connetterti alle tue istanze usando questa coppia di chiavi. Per ulteriori informazioni, consulta [Errore: Unprotected Private Key File (File della chiave privata non protetto)](TroubleshootingInstancesConnecting.md#troubleshoot-unprotected-key).
  + **Connessione da Windows**

    Apri Esplora file e fai clic con il pulsante destro del mouse sul file `.pem`. Seleziona la **scheda **Proprietà** > Sicurezza** e scegli **Avanzate**. Scegli **Disabilita l’ereditarietà**. Rimuovi l’accesso a tutti gli utenti tranne l’utente corrente. 

## (Opzionale) Ottenimento dell’impronta dell’istanza
<a name="connection-prereqs-fingerprint"></a>

Per proteggerti dagli man-in-the-middle attacchi, puoi verificare l'autenticità dell'istanza a cui stai per connetterti verificando l'impronta digitale visualizzata. La verifica dell’impronta risulta utile se hai avviato l’istanza da un’AMI pubblica fornita da terzi.

**Panoramica delle attività**  
In primo luogo, ottieni l’impronta dell’istanza basandoti sull’istanza. Successivamente, quando ti connetti all’istanza e ti viene richiesta la verifica dell’impronta digitale, confronta l’impronta digitale ottenuta in questa procedura con l’impronta digitale visualizzata. Se le impronte digitali non corrispondono, qualcuno potrebbe tentare un attacco. man-in-the-middle Se tali impronte corrispondono, puoi collegarti in modo sicuro alla tua istanza.

**Prerequisiti per ottenere l’impronta dell’istanza**
+ L’istanza non deve essere nello stato `pending`. L’impronta è disponibile solo al termine del primo avvio dell’istanza.
+ Per ottenere l’output della console, devi essere il proprietario dell’istanza.
+ Vi sono vari metodi per ottenere l’impronta digitale dell’istanza. Se vuoi utilizzare AWS CLI, deve essere installato sul computer locale. Per informazioni sull'installazione di AWS CLI, consulta la [Guida introduttiva alla AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) Guida per l'*AWS Command Line Interface utente*.

**Per ottenere l’impronta dell’istanza**

Nella fase 1, viene visualizzato l’output della console, che include l’impronta digitale dell’istanza. Nella fase 2, individui l’impronta digitale dell’istanza nell’output della console.

1. Ottieni l’output della console usando uno dei seguenti metodi.

------
#### [ Console ]

   1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

   1. Nel riquadro di navigazione sinistro, scegli **Istanze**.

   1. Seleziona l’istanza e poi scegli **Operazioni**, **Monitoraggio e risoluzione dei problemi**, **Ottieni il log di sistema**.

------
#### [ AWS CLI ]

   Sul computer locale (non sull'istanza a cui ti stai connettendo), usa il [get-console-output](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-console-output.html)comando. Se l’output è grande, [puoi reindirizzarlo a un file di testo](https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-output-format.html) per agevolarne la lettura.

   ```
   aws ec2 get-console-output \
       --instance-id i-1234567890abcdef0 \
       --query Output \
       --output text > temp.txt
   ```

------
#### [ PowerShell ]

   Sul computer locale, utilizzare il [Get-EC2ConsoleOutput](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ConsoleOutput.html)cmdlet seguente.

   ```
   $encodedOutput = (Get-EC2ConsoleOutput -InstanceId i-1234567890abcdef0).Output
   [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedOutput))
   ```

------

1. Nell’output della console, individua l’impronta digitale dell’istanza (host), che si trova in `BEGIN SSH HOST KEY FINGERPRINTS`. Potrebbero esserci diverse impronte digitali dell’istanza. Quando effettui la connessione all’istanza, questa visualizzerà solo una delle impronte digitali.

   L’output esatto può variare in base al sistema operativo, alla versione AMI e al fatto che AWS crei o meno la coppia di chiavi. Di seguito è riportato un output di esempio.

   ```
   ec2:#############################################################
   ec2: -----BEGIN SSH HOST KEY FINGERPRINTS-----
   ec2: 256 SHA256:l4UB/neBad9tvkgJf1QZWxheQmR59WgrgzEimCG6kZY no comment (ECDSA)
   ec2: 256 SHA256:kpEa+rw/Uq3zxaYZN8KT501iBtJOIdHG52dFi66EEfQ no comment (ED25519)
   ec2: 2048 SHA256:L8l6pepcA7iqW/jBecQjVZClUrKY+o2cHLI0iHerbVc no comment (RSA)
   ec2: -----END SSH HOST KEY FINGERPRINTS-----
   ec2: #############################################################
   ```
**Nota**  
Farai riferimento a questa impronta digitale quando ti connetti all'istanza.

# Connessione a un’istanza Linux tramite SSH
<a name="connect-to-linux-instance"></a>

Ci sono tanti modi per connettersi alla propria istanza Linux tramite SSH. Alcuni modi dipendono dal sistema operativo del computer locale da cui ti connetti. Altri metodi sono basati su browser, come Instance EC2 Connect o AWS Systems Manager Session Manager, e possono essere utilizzati da qualsiasi computer. Puoi usare SSH per connetterti alla tua istanza Linux ed eseguire comandi, oppure utilizzare SSH per trasferire file tra il tuo computer locale e l'istanza.

Prima di connetterti a un'istanza Linux tramite SSH, è necessario soddisfare i prerequisiti seguenti:
+ Verifica che l’istanza abbia superato i controlli dello stato. Possono essere necessari alcuni minuti affinché un’istanza sia pronta ad accettare richieste di connessione. Per ulteriori informazioni, consulta [Visualizzazione dei controlli di stato](viewing_status.md).
+ Verificare che il gruppo di sicurezza associato alla tua istanza consenta il traffico SSH in entrata dal tuo indirizzo IP. Per ulteriori informazioni, consulta [Regole per la connessione alle istanze dal computer in uso](security-group-rules-reference.md#sg-rules-local-access).
+ [Ottieni i dettagli richiesti sull’istanza](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Individuazione della chiave privata e impostazione delle autorizzazioni](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Opzionale) Ottenimento dell’impronta dell’istanza](connection-prereqs-general.md#connection-prereqs-fingerprint).

Quindi, scegli una delle seguenti opzioni per connetterti alla tua istanza Linux tramite SSH.
+ [Connettiti utilizzando un client SSH](connect-linux-inst-ssh.md)
+ [Collegamento tramite PuTTY](connect-linux-inst-from-windows.md) 
+ [Trasferisci file tramite SCP](linux-file-transfer-scp.md)

Se non riesci a collegarti all'istanza e hai bisogno di assistenza per la risoluzione dei problemi, consulta [Risoluzione dei problemi di connessione all'istanza Linux di Amazon EC2](TroubleshootingInstancesConnecting.md).

# Connessione all'istanza Linux tramite un client SSH
<a name="connect-linux-inst-ssh"></a>

Puoi usare Secure Shell (SSH) per connetterti all'istanza Linux dal tuo computer locale. Per ulteriori informazioni su altre opzioni, consulta [Connettiti all’istanza EC2](connect.md).

**Nota**  
Se compare un errore mentre tenti di connetterti alla tua istanza, assicurati che l’istanza soddisfi tutti i [Prerequisiti per la connessione SSH](#ssh-prereqs-linux-from-linux-macos). Se soddisfa tutti i prerequisiti e non riesci ancora a connetterti alla tua istanza Linux, consulta [Risoluzione dei problemi di connessione all'istanza Linux di Amazon EC2](TroubleshootingInstancesConnecting.md).

**Topics**
+ [Prerequisiti per la connessione SSH](#ssh-prereqs-linux-from-linux-macos)
+ [Connessione all'istanza Linux tramite un client SSH](#connect-linux-inst-sshClient)

## Prerequisiti per la connessione SSH
<a name="ssh-prereqs-linux-from-linux-macos"></a>

Prima di poterti connettere a un'istanza Linux tramite SSH, completa le seguenti attività.

**Completa i prerequisiti generali.**  
+ Verifica che l’istanza abbia superato i controlli dello stato. Possono essere necessari alcuni minuti affinché un’istanza sia pronta ad accettare richieste di connessione. Per ulteriori informazioni, consulta [Visualizzazione dei controlli di stato](viewing_status.md).
+ [Ottieni i dettagli richiesti sull’istanza](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Individuazione della chiave privata e impostazione delle autorizzazioni](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Opzionale) Ottenimento dell’impronta dell’istanza](connection-prereqs-general.md#connection-prereqs-fingerprint).

**Consenti il traffico SSH in entrata dall’indirizzo IP.**  
Verificare che il gruppo di sicurezza associato alla tua istanza consenta il traffico SSH in entrata dal tuo indirizzo IP. Per ulteriori informazioni, consulta [Regole per la connessione alle istanze dal computer in uso](security-group-rules-reference.md#sg-rules-local-access).

**Installare un client SSH sul computer locale, se necessario.**  
Il computer locale potrebbe avere un client SSH installato per impostazione predefinita. Puoi verificarlo immettendo il seguente comando in una finestra del terminale. Se il computer non riconosce il comando, devi installare un client SSH.  

```
ssh
```
Di seguito sono riportate alcune delle possibili opzioni per Windows. Se il computer è dotato di un sistema operativo diverso, consulta la documentazione relativa a quel sistema operativo per le opzioni del client SSH.

## Installare OpenSSH su Windows
<a name="openssh"></a>

Dopo aver installato OpenSSH su Windows, puoi connetterti all'istanza Linux dal tuo computer Windows tramite SSH. Prima di iniziare, assicurati che siano soddisfatti i seguenti requisiti.

**Versione Windows**  
La versione di Windows sul tuo computer deve essere Windows Server 2019 o successiva.  
Per le versioni precedenti di Windows, scarica e installa [Win32-OpenSSH](https://github.com/PowerShell/Win32-OpenSSH/wiki).

**PowerShell requisiti**  
Per installare OpenSSH sul tuo sistema operativo Windows PowerShell utilizzando, devi PowerShell eseguire la versione 5.1 o successiva e il tuo account deve essere membro del gruppo Administrators integrato. Esegui `$PSVersionTable.PSVersion` da PowerShell per verificare la tua versione. PowerShell   
Per verificare se sei un membro del gruppo Administrators integrato, esegui il PowerShell comando seguente:  

```
(New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)
```
Se sei un membro del gruppo Amministratori integrato, l'output è `True`.

Per installare OpenSSH per Windows PowerShell utilizzando, esegui il comando seguente. PowerShell 

```
Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
```

Di seguito è riportato un output di esempio.

```
Path          :
Online        : True
RestartNeeded : False
```

Per disinstallare OpenSSH da Windows PowerShell utilizzando, esegui il comando seguente. PowerShell 

```
Remove-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0
```

Di seguito è riportato un output di esempio.

```
Path          :
Online        : True
RestartNeeded : True
```

## Installare il Sottosistema Windows per Linux (WSL)
<a name="WSL"></a>

Dopo aver installato WSL su Windows, puoi connetterti all'istanza Linux dal tuo computer Windows tramite gli strumenti a riga di comando di Linux, come un client SSH.

Segui le istruzioni in [Installazione del sottosistema Windows per Linux sulla tua istanza EC2 Windows](install-wsl-on-ec2-windows-instance.md). Se segui le istruzioni nella guida all'installazione di Microsoft, viene installata la distribuzione Ubuntu di Linux. Se preferisci, puoi installare una distribuzione Linux diversa.

In una finestra del terminale WSL, copia il file `.pem` (per la coppia di chiavi da te specificata per l'istanza all'avvio) da Windows a WSL. Prendi nota del percorso completo al file `.pem` su WSL da utilizzare nella connessione all'istanza. Per informazioni su come specificare il percorso al disco rigido Windows, consultare [Come faccio ad accedere alla mia unità C?](https://learn.microsoft.com/en-us/windows/wsl/faq#how-do-i-access-my-c--drive-).

```
cp /mnt/<Windows drive letter>/path/my-key-pair.pem ~/WSL-path/my-key-pair.pem
```

Per informazioni su come disinstallare Windows Subsystem per Linux, consultare [Come faccio a disinstallare una distribuzione WSL?](https://learn.microsoft.com/en-us/windows/wsl/faq#how-do-i-uninstall-a-wsl-distribution-).

## Connessione all'istanza Linux tramite un client SSH
<a name="connect-linux-inst-sshClient"></a>

Utilizza la seguente procedura per stabilire una connessione a un'istanza Linux tramite un client SSH.

**Per connettersi all'istanza tramite un client SSH**

1. Apri una finestra del terminale sul tuo computer.

1. Per connetterti all'istanza, utilizza il comando **ssh**. Ti servono i dettagli sull'istanza che hai raccolto come parte dei prerequisiti. Ad esempio, è necessaria la posizione della chiave privata (`.pem`file), il nome utente e il nome o l'indirizzo DNS pubblico. IPv6 Di seguito sono riportati comandi di esempio.
   + (DNS pubblico) Per utilizzare il nome DNS pubblico, inserisci il seguente comando.

     ```
     ssh -i /path/key-pair-name.pem instance-user-name@instance-public-dns-name
     ```
   + (IPv6) In alternativa, se l'istanza ha un IPv6 indirizzo, inserisci il seguente comando per utilizzare l' IPv6 indirizzo.

     ```
     ssh -i /path/key-pair-name.pem instance-user-name@2001:db8::1234:5678:1.2.3.4
     ```

   Di seguito è riportata una risposta di esempio.

   ```
   The authenticity of host 'ec2-198-51-100-1.compute-1.amazonaws.com (198-51-100-1)' can't be established.
   ECDSA key fingerprint is l4UB/neBad9tvkgJf1QZWxheQmR59WgrgzEimCG6kZY.
   Are you sure you want to continue connecting (yes/no)?
   ```

1. (Opzionale) Verificare che l'impronta riportata nell'avviso di sicurezza corrisponda all'impronta. Se queste impronte digitali non corrispondono, qualcuno potrebbe tentare un man-in-the-middle attacco. Se invece corrispondono, passare alla fase successiva. Per ulteriori informazioni, consulta [Ottieni l'impronta dell'istanza](connection-prereqs-general.md#connection-prereqs-fingerprint).

1. Specificare (sì **yes**.

   La risposta visualizzata sarà simile alla seguente:

   ```
   Warning: Permanently added 'ec2-198-51-100-1.compute-1.amazonaws.com' (ECDSA) to the list of known hosts.
   ```

# Connessione a un’istanza Linux tramite PuTTY
<a name="connect-linux-inst-from-windows"></a>

Puoi connetterti all’istanza Linux tramite PuTTY, un client SSH gratuito per Windows.

Se utilizzi Windows Server 2019 o versione successiva, ti consigliamo di utilizzare OpenSSH, uno strumento di connettività open source per l’accesso remoto con il protocollo SSH.

**Nota**  
Se compare un errore mentre tenti di connetterti alla tua istanza, assicurati che l’istanza soddisfi tutti i [Prerequisiti per la connessione SSH](connect-linux-inst-ssh.md#ssh-prereqs-linux-from-linux-macos). Se soddisfa tutti i prerequisiti e non riesci ancora a connetterti alla tua istanza Linux, consulta [Risoluzione dei problemi di connessione all'istanza Linux di Amazon EC2](TroubleshootingInstancesConnecting.md).

**Topics**
+ [Prerequisiti](#putty-prereqs)
+ [Converti la tua chiave privata usando Pu TTYgen](#putty-private-key)
+ [Connessione all’istanza di Linux](#putty-ssh)

## Prerequisiti
<a name="putty-prereqs"></a>

Prima di connetterti a un’istanza Linux tramite PuTTY, completa le seguenti attività.

**Completa i prerequisiti generali.**  
+ Verifica che l’istanza abbia superato i controlli dello stato. Possono essere necessari alcuni minuti affinché un’istanza sia pronta ad accettare richieste di connessione. Per ulteriori informazioni, consulta [Visualizzazione dei controlli di stato](viewing_status.md).
+ [Ottieni i dettagli richiesti sull’istanza](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
+ [Individuazione della chiave privata e impostazione delle autorizzazioni](connection-prereqs-general.md#connection-prereqs-private-key).
+ [(Opzionale) Ottenimento dell’impronta dell’istanza](connection-prereqs-general.md#connection-prereqs-fingerprint).

**Consenti il traffico SSH in entrata dall’indirizzo IP.**  
Verificare che il gruppo di sicurezza associato alla tua istanza consenta il traffico SSH in entrata dal tuo indirizzo IP. Per ulteriori informazioni, consulta [Regole per la connessione alle istanze dal computer in uso](security-group-rules-reference.md#sg-rules-local-access).

**Installare PuTTY sul computer locale (se necessario).**  
Scarica e installa PuTTY dalla [pagina di download di PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/). Se è già installata una versione precedente di PuTTY, ti consigliamo di scaricare la versione più aggiornata. Assicurarsi di installare l’intera suite.

**Converti la tua chiave privata in formato PPK usando PuTTYgen.**  
Devi specificare la chiave privata per la coppia di chiavi specificata al momento dell’avvio dell’istanza. Se hai creato la chiave privata in formato .pem, devi convertirla in un file PPK per utilizzarla con PuTTY. Individua la chiave privata (file .pem), poi segui i passaggi in [Converti la tua chiave privata usando Pu TTYgen](#putty-private-key).

## (Facoltativo) Converti la tua chiave privata usando Pu TTYgen
<a name="putty-private-key"></a>

PuTTY non supporta a livello nativo il formato PEM per le chiavi SSH. PuTTY fornisce uno strumento chiamato TTYgen Pu, che converte le chiavi PEM nel formato PPK richiesto per PuTTY. Se hai creato la chiave utilizzando il formato PEM anziché il formato PPK, devi convertire la chiave privata (file .pem) in questo formato (file .ppk) per l’utilizzo con PuTTY.

**Per convertire la chiave privata dal formato PEM a PPK**

1. **Dal menu **Start**, scegli **Tutti i programmi**, **PuTTY**, Pu. TTYgen**

1. In **Type of key to generate (Tipo di chiave da generare)** scegliere **RSA**. Se la tua versione di Pu TTYgen non include questa opzione, scegli **SSH-2** RSA.  
![\[Chiave RSA in Pu. TTYgen\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/puttygen-key-type.png)

1. Scegli **Carica**. Per impostazione predefinita, Pu TTYgen visualizza solo i file con l'estensione`.ppk`. Per individuare il file `.pem`, scegli l’opzione per visualizzare tutti i tipi di file.  
![\[Seleziona tutti i tipi di file.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/puttygen-load-key.png)

1. Selezionare il file `.pem` per la coppia di chiavi specificata all’avvio dell’istanza, quindi scegliere **Open (Apri)**. Pu TTYgen visualizza un avviso che indica che il `.pem` file è stato importato correttamente. Seleziona **OK**.

1. Per salvare la chiave privata in un formato che può essere utilizzato con PuTTY, scegliere **Save private key (Salva chiave privata)**. Pu TTYgen visualizza un avviso relativo al salvataggio della chiave senza una passphrase. Scegliere **Yes (Sì)**.
**Nota**  
Le chiavi private con passphrase dispongono di un ulteriore livello di sicurezza. Anche se la chiave privata dovesse venire scoperta, non sarebbe possibile utilizzarla senza la passphrase. L’unico inconveniente dell’utilizzo di una passphrase è che complica l’automazione, in quanto è necessario l’intervento dell’utente per eseguire l’accesso all’istanza o per copiare i file in un’istanza.

1. Specificare per la chiave lo stesso nome usato per la coppia di chiavi (ad esempio, `key-pair-name`) e selezionare **Save (Salva)**. PuTTY; aggiunge automaticamente l’estensione di file `.ppk`. 

La chiave privata ora ha il formato corretto per l’utilizzo con PuTTY. A questo punto è possibile connettersi all’istanza utilizzando il client SSH di PuTTY.

## Connessione all’istanza di Linux
<a name="putty-ssh"></a>

Utilizza la seguente procedura per stabilire una connessione a un’istanza Linux tramite PuTTY. Devi disporre del file `.ppk` creato per la chiave privata. Per maggiori informazioni, consulta [(Facoltativo) Converti la tua chiave privata usando Pu TTYgen](#putty-private-key) nella sezione precedente. Se si verifica un errore mentre tenti di connetterti alla tua istanza, consulta [Risoluzione dei problemi di connessione all'istanza Linux di Amazon EC2](TroubleshootingInstancesConnecting.md).

**Ultima versione testata** – PuTTY .78

**Per connettersi all’istanza tramite PuTTY**

1. Avvia PuTTY (dal menu **Start**, cerca **PuTTY** e scegli **Apri**).

1. Nel riquadro **Category (Categoria)**, scegliere **Session (Sessione)** e completare i seguenti campi:

   1. Nella casella **Host Name (Nome host)** eseguire una delle operazioni seguenti:
      + Per connettersi utilizzando il nome DNS pubblico dell'istanza, immettere *instance-user-name*@*instance-public-dns-name*.
      + (IPv6) In alternativa, se l'istanza ha un IPv6 indirizzo, per connetterti utilizzando l' IPv6 indirizzo dell'istanza, inserisci @. *instance-user-name* *2001:db8::1234:5678:1.2.3.4*

      Per informazioni su come ottenere il nome utente dell'istanza e il nome o l' IPv6 indirizzo DNS pubblico dell'istanza, consulta[Ottieni i dettagli richiesti sull’istanza](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).

   1. Assicurarsi che il valore specificato per la **Porta** sia 22.

   1. In **Connection type (Tipo di connessione)**, selezionare **SSH**.  
![\[Configurazione di PuTTY: sessione.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/putty-session-config.png)

1. (Opzionale) È possibile configurare PuTTY in modo che invii automaticamente dati ’keepalive’ a intervalli regolari per mantenere attiva la sessione. Ciò risulta utile per evitare la disconnessione dall’istanza a causa dell’inattività della sessione. Nel riquadro **Categoria**, scegli **Connessione**, quindi immettere l’intervallo richiesto nel campo **Secondi tra dati keepalive**. Ad esempio, se la sessione si disconnette dopo 10 minuti di inattività, immettere 180 per configurare PuTTY per l’invio di dati keepalive ogni 3 minuti.

1. Nel riquadro **Categoria**, espandere **Connessione**, **SSH** e **Autenticazione**. Scegli **Credenziali**. 

1. Accanto a **File della chiave privata per l’autenticazione**, scegli **Sfoglia**. Nella finestra di dialogo **Seleziona file chiave privata**, seleziona il file `.ppk` che hai generato per la tua coppia di chiavi. Puoi fare doppio clic sul file o scegliere **Apri** nella finestra di dialogo **Seleziona file chiave privata**.

1. (Opzionale) Se si prevede di connetterti di nuovo dopo questa sessione, puoi salvare le informazioni sulla sessione per uso futuro. Nel riquadro **Categoria**, scegli **Sessione**. Immetti un nome per la sessione in **Sessioni salvate** e quindi scegli **Salva**.

1. Per connetterti all’istanza, scegli **Apri**.

1. Se è la prima volta che si stabilisce una connessione a questa istanza, PuTTY visualizza una finestra di dialogo contenente un avviso di sicurezza che richiede di confermare l’affidabilità dell’host a cui ci si sta connettendo.

   1. (Opzionale) Verificare che l’impronta riportata nella finestra di dialogo dell’avviso di sicurezza corrisponda all’impronta precedentemente ottenuta in [(Opzionale) Ottenimento dell’impronta dell’istanza](connection-prereqs-general.md#connection-prereqs-fingerprint). Se queste impronte digitali non corrispondono, qualcuno potrebbe tentare un attacco "»man-in-the-middle. Se invece corrispondono, passare alla fase successiva.

   1. Scegliere **Accept (Accetta)**. Viene visualizzata una finestra e a questo punto si è connessi all’istanza.
**Nota**  
Se hai specificato una passphrase quando hai convertito la chiave privata nel formato PuTTY, devi specificare tale passphrase quando accedi all’istanza.

Se si verifica un errore mentre tenti di connetterti alla tua istanza, consulta [Risoluzione dei problemi di connessione all'istanza Linux di Amazon EC2](TroubleshootingInstancesConnecting.md).

# Trasferimento di file a un'istanza Linux tramite SCP
<a name="linux-file-transfer-scp"></a>

Un modo per trasferire file tra il computer locale e un'istanza Linux è utilizzare il protocollo secure copy (SCP). La policy di controllo dei servizi (SCP) è una buona opzione per operazioni semplici, ad esempio copie di file una tantum. L’SCP protegge i trasferimenti di file utilizzando lo stesso file .pem utilizzato per connetterti a un’istanza tramite SSH. Se devi mantenere i file sincronizzati o se i file sono di grandi dimensioni, **rsync** è più veloce ed efficiente di SCP. Per motivi di sicurezza, utilizza **rsync** tramite SSH, poiché **rsync** trasferisce i dati utilizzando testo semplice per impostazione predefinita.

Prima di connetterti a un'istanza Linux tramite SCP, completa le seguenti attività:
+ **Completa i prerequisiti generali.**
  + Verifica che l’istanza abbia superato i controlli dello stato. Possono essere necessari alcuni minuti affinché un’istanza sia pronta ad accettare richieste di connessione. Per ulteriori informazioni, consulta [Visualizzazione dei controlli di stato](viewing_status.md).
  + [Ottieni i dettagli richiesti sull’istanza](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
  + [Individuazione della chiave privata e impostazione delle autorizzazioni](connection-prereqs-general.md#connection-prereqs-private-key).
  + [(Opzionale) Ottenimento dell’impronta dell’istanza](connection-prereqs-general.md#connection-prereqs-fingerprint).
+ **Consenti il traffico SSH in entrata dall'indirizzo IP.**

  Verificare che il gruppo di sicurezza associato alla tua istanza consenta il traffico SSH in entrata dal tuo indirizzo IP. Per ulteriori informazioni, consulta [Regole per la connessione alle istanze dal computer in uso](security-group-rules-reference.md#sg-rules-local-access).
+ **Installare un client SCP.**

  La maggior parte dei computer Linux, Unix e Apple includono un client SCP per impostazione di default. Se il computer in uso non dispone di questo client, il progetto OpenSSH fornisce un'implementazione gratuita della suite completa di strumenti SSH, incluso un client SCP. Per ulteriori informazioni, consulta [https://www.openssh.com](https://www.openssh.com).

La procedura seguente illustra come utilizzare SCP per trasferire un file utilizzando il nome DNS pubblico dell'istanza o l' IPv6 indirizzo se l'istanza ne ha uno.

**Per utilizzare SCP per trasferire file tra il computer e l'istanza**

1. Determina la posizione del file di origine nel computer e il percorso di destinazione nell'istanza. Negli esempi seguenti, il nome del file della chiave privata è`key-pair-name.pem`, il file da trasferire`my-file.txt`, il nome utente dell'istanza èec2-user, il nome DNS pubblico dell'istanza è `instance-public-dns-name` e l' IPv6 indirizzo dell'istanza è. `2001:db8::1234:5678:1.2.3.4`
   + (DNS pubblico) Per trasferire un file nella destinazione sull'istanza, immetti il seguente comando dal computer.

     ```
     scp -i /path/key-pair-name.pem /path/my-file.txt ec2-user@instance-public-dns-name:path/
     ```
   + (IPv6) Per trasferire un file nella destinazione dell'istanza, se l'istanza ha un IPv6 indirizzo, immettete il seguente comando dal computer. L' IPv6 indirizzo deve essere racchiuso tra parentesi quadre (`[ ]`), che devono essere escluse (). `\`

     ```
     scp -i /path/key-pair-name.pem /path/my-file.txt ec2-user@\[2001:db8::1234:5678:1.2.3.4\]:path/
     ```

1. Se non hai già effettuato la connessione all'istanza utilizzando SSH, viene visualizzata una risposta simile alla seguente:

   ```
   The authenticity of host 'ec2-198-51-100-1.compute-1.amazonaws.com (10.254.142.33)'
   can't be established.
   RSA key fingerprint is 1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f.
   Are you sure you want to continue connecting (yes/no)?
   ```

   (Facoltativo) È possibile verificare se l'impronta nell'avviso di sicurezza corrisponde all'impronta dell'istanza. Per ulteriori informazioni, consulta [(Opzionale) Ottenimento dell’impronta dell’istanza](connection-prereqs-general.md#connection-prereqs-fingerprint).

   Specificare **yes**.

1. Se il trasferimento ha esito positivo, la risposta è simile alla seguente:

   ```
   Warning: Permanently added 'ec2-198-51-100-1.compute-1.amazonaws.com' (RSA) 
   to the list of known hosts.
   my-file.txt                                100%   480     24.4KB/s   00:00
   ```

1. Per trasferire un file nella direzione opposta (dall' EC2 istanza Amazon al computer), inverti l'ordine dei parametri dell'host. Ad esempio, puoi trasferire `my-file.txt` dall' EC2 istanza a una destinazione sul tuo computer locale come `my-file2.txt` illustrato negli esempi seguenti.
   + (DNS pubblico) Per trasferire un file a una destinazione del computer, immetti il seguente comando dal computer.

     ```
     scp -i /path/key-pair-name.pem ec2-user@instance-public-dns-name:path/my-file.txt path/my-file2.txt
     ```
   + (IPv6) Per trasferire un file verso una destinazione sul computer, se l'istanza ha un IPv6 indirizzo, immettete il seguente comando dal computer. L' IPv6 indirizzo deve essere racchiuso tra parentesi quadre (`[ ]`), che devono essere escluse (). `\`

     ```
     scp -i /path/key-pair-name.pem ec2-user@\[2001:db8::1234:5678:1.2.3.4\]:path/my-file.txt path/my-file2.txt
     ```

# Gestisci gli utenti di sistema sulla tua istanza Amazon EC2 Linux
<a name="managing-users"></a>

Ogni istanza Linux viene avviata con un utente predefinito del sistema Linux. Puoi aggiungere utenti alla tua istanza ed eliminare utenti.

Per l'utente predefinito, il [nome utente predefinito](#ami-default-user-names) viene determinato dall'AMI specificata all'avvio dell'istanza. 

**Nota**  
Per impostazione predefinita, l'autenticazione tramite password e l'accesso root sono disabilitati e sudo è abilitato. Per accedere alla tua istanza, devi usare una coppia di chiavi. Per ulteriori informazioni sull'accesso, consulta [Connessione a un’istanza Linux tramite SSH](connect-to-linux-instance.md).  
Puoi consentire l'autenticazione tramite password e l'accesso root per la tua istanza. Per ulteriori informazioni, consulta la documentazione relativa al sistema operativo in uso.

**Nota**  
Gli utenti del sistema Linux non devono essere confusi con gli utenti IAM. Per ulteriori informazioni, consulta [Utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_iam-users) nella *Guida per l'utente di IAM*.

**Topics**
+ [Nomi utente predefiniti](#ami-default-user-names)
+ [Considerazioni](#add-user-best-practice)
+ [Creazione di un utente](#create-user-account)
+ [Rimuovere un utente](#delete-user-account)

## Nomi utente predefiniti
<a name="ami-default-user-names"></a>

Il nome utente predefinito per l' EC2 istanza è determinato dall'AMI specificato all'avvio dell'istanza.

I nomi utente predefiniti sono:
+ Per un'AMI Amazon Linux, il nome utente è `ec2-user`.
+ Per un'AMI CentOS, il nome utente è `centos` o `ec2-user`.
+ Per un'AMI Debian, il nome utente è `admin`.
+ Per un'AMI Fedora, il nome utente è `fedora` o `ec2-user`.
+ Per un’AMI FreeBSD, il nome utente è `ec2-user`.
+ Per un'AMI RHEL, il nome utente è `ec2-user` o `root`.
+ Per un'AMI SUSE, il nome utente è `ec2-user` o `root`.
+ Per un'AMI Ubuntu, il nome utente è `ubuntu`.
+ Per un'AMI Oracle, il nome utente è `ec2-user`.
+ Per un'AMI Bitnami, il nome utente è `bitnami`.

**Nota**  
Per trovare il nome utente predefinito per altre distribuzioni Linux, contattare il fornitore di AMI.

## Considerazioni
<a name="add-user-best-practice"></a>

L'utilizzo dell'utente di default è adeguato per numerose applicazioni, ma puoi aggiungere altri utenti in modo tale che possano disporre di propri file e WorkSpace. Inoltre, la creazione di utenti per i nuovi utenti è una procedura più sicura rispetto alla concessione a più utenti (spesso inesperti) dell'accesso all'utente predefinito, dal momento che tale utente può causare seri problemi al sistema se viene utilizzato in modo inappropriato. Per ulteriori informazioni, consulta [Suggerimenti per proteggere l' EC2 istanza](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/).

Per consentire agli utenti di accedere tramite SSH all' EC2 istanza utilizzando un utente del sistema Linux, è necessario condividere la chiave SSH con l'utente. In alternativa, puoi utilizzare EC2 Instance Connect per fornire l'accesso agli utenti senza la necessità di condividere e gestire le chiavi SSH. Per ulteriori informazioni, consulta [Connettiti all’istanza Linux usando un indirizzo IP pubblico ed EC2 Instance Connect](connect-linux-inst-eic.md).

## Creazione di un utente
<a name="create-user-account"></a>

Prima crea l'utente e in seguito aggiungi la chiave pubblica SSH che permette all'utente di connettersi e accedere all'istanza.

**Importante**  
Nella fase 1 di questa procedura, viene creata una nuova coppia di chiavi. Una coppia di chiavi funziona come una password, perciò è fondamentale gestirla in modo sicuro. Se si crea una coppia di chiavi per un utente, è necessario assicurarsi che l'invio della chiave privata venga effettuato in modo sicuro. In alternativa, l'utente può completare le fasi 1 e 2 creando la propria coppia di chiavi, mantenendo la propria chiave privata al sicuro sulla macchina, e poi inviare la chiave pubblica per completare la procedura dalla Fase 3.

**Come creare un utente**

1. [Creazione di una nuova coppia di chiavi](create-key-pairs.md#having-ec2-create-your-key-pair). È necessario fornire il file `.pem` all'utente per il quale si sta creando l'utente. Gli utenti devono utilizzare questo file per connettersi all'istanza.

1. Recuperare la chiave pubblica dalla coppia di chiavi creata nella fase precedente.

   ```
   $ ssh-keygen -y -f /path_to_key_pair/key-pair-name.pem
   ```

   Il comando restituisce la chiave pubblica, come illustrato nell'esempio seguente.

   ```
   ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6Vhz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXrlsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZqaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3RbBQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE
   ```

1. Collegati all'istanza.

1. Utilizzare il comando **adduser** per creare l'utente e aggiungerlo al sistema (con una voce nel file `/etc/passwd`). Il comando crea anche un gruppo e una home directory per l'utente. In questo esempio, l'utente viene chiamato `newuser`.
   + AL2023 e Amazon Linux 2

     Con AL2 023 e Amazon Linux 2, l'utente viene creato con l'autenticazione tramite password disabilitata per impostazione predefinita.

     ```
     [ec2-user ~]$ sudo adduser newuser
     ```
   + Ubuntu

     Includi il parametro `--disabled-password` per creare l'utente con l'autenticazione tramite password disabilitata.

     ```
     [ubuntu ~]$ sudo adduser newuser --disabled-password
     ```

1. Passare al nuovo utente in modo che la directory e il file che verranno creati siano associati a una proprietà idonea.

   ```
   [ec2-user ~]$ sudo su - newuser
   ```

   Il prompt cambia da `ec2-user` in `newuser` per indicare che si è passati dalla sessione di shell (interprete dei comandi) al nuovo utente.

1. Aggiungi la chiave pubblica SSH all'utente. Creare prima una directory nella home directory dell'utente per il file della chiave SSH, in seguito creare il file della chiave e infine incollare la chiave pubblica nel file della chiave, come descritto nelle seguenti fasi secondarie.

   1. Creare una directory `.ssh` nella home directory `newuser` e modificare le relative autorizzazioni file in `700` (solo il proprietario può leggere, scrivere o aprire la directory).

      ```
      [newuser ~]$ mkdir .ssh
      ```

      ```
      [newuser ~]$ chmod 700 .ssh
      ```
**Importante**  
Senza queste precise autorizzazioni file l'utente non sarà in grado di eseguire l'accesso.

   1. Creare un file denominato `authorized_keys` nella home directory `.ssh` e modificare le relative autorizzazioni file in `600` (solo il proprietario può leggere o scrivere nel file).

      ```
      [newuser ~]$ touch .ssh/authorized_keys
      ```

      ```
      [newuser ~]$ chmod 600 .ssh/authorized_keys
      ```
**Importante**  
Senza queste precise autorizzazioni file l'utente non sarà in grado di eseguire l'accesso.

   1. <a name="edit_auth_keys"></a>Aprire il file `authorized_keys` con l'editor di testo preferito (ad esempio **vim** o **nano**).

      ```
      [newuser ~]$ nano .ssh/authorized_keys
      ```

      Incollare la chiave pubblica recuperata nella **fase 2** nel file e salvare le modifiche.
**Importante**  
Assicurarsi di incollare la chiave pubblica in una riga continua. La chiave pubblica non deve essere divisa su più righe.

      L'utente ora dovrebbe essere in grado di eseguire l'accesso all'istanza tramite l'utente `newuser` utilizzando la chiave privata corrispondente alla chiave pubblica aggiunta al file `authorized_keys`. Per ulteriori informazioni sui diversi metodi di connessione a un'istanza Linux, vedere [Connessione a un’istanza Linux tramite SSH](connect-to-linux-instance.md).

## Rimuovere un utente
<a name="delete-user-account"></a>

Se un utente non è più necessario, puoi rimuoverlo in modo che non possa più essere utilizzato.

Utilizza il comando **userdel** per rimuovere l'utente dal sistema. Quando si specifica il parametro `-r`, la home directory e lo spool di posta dell'utente vengono eliminati. Per conservare la home directory e lo spool di posta dell'utente, omettere il parametro `-r`.

```
[ec2-user ~]$ sudo userdel -r olduser
```

# Connessione all’istanza Windows con il protocollo RDP
<a name="connecting_to_windows_instance"></a>

Puoi connetterti alle istanze Amazon EC2 create dalla maggior parte delle Amazon Machine Images di Windows (AMIs) utilizzando Remote Desktop. Desktop remoto utilizza il protocollo RDP (Remote Desktop Protocol) per connettersi e utilizzare l'istanza con le stesse procedure usate per un computer vero e proprio. È disponibile per la maggior parte delle versioni di Windows e anche per Mac OS.

La licenza per il sistema operativo di Windows Server consente due connessioni remote simultanee per attività amministrative. Il costo della licenza per Windows Server è incluso nel costo della tua istanza Windows. Se servono più di due connessioni remote simultanee, devi acquistare una licenza di Remote Desktop Services (RDS). Se tenti di stabilire una terza connessione, si verifica un errore.

**Suggerimento**  
Se è necessario collegarsi alla tua istanza per risolvere problemi di avvio, configurazione di rete e altri problemi per le istanze basate su [AWS Nitro System](https://aws.amazon.com/ec2/nitro/), puoi utilizzare [Console seriale EC2 per istanze](ec2-serial-console.md).

**Topics**
+ [Connettiti alla tua istanza Windows utilizzando un client RDP](connect-rdp.md)
+ [Connessione a un'istanza Windows utilizzando Fleet Manager](connect-rdp-fleet-manager.md)
+ [Trasferire file a un'istanza Windows tramite RDP](connect-to-linux-instanceWindowsFileTransfer.md)

# Connettiti alla tua istanza Windows utilizzando un client RDP
<a name="connect-rdp"></a>

Puoi connetterti alla tua istanza Windows utilizzando un client RDP nel modo seguente.

**Suggerimento**  
In alternativa, puoi connetterti alla tua istanza Windows con [Systems Manager Fleet Manager](connect-rdp-fleet-manager.md) o [Endpoint EC2 Instance Connect](connect-with-ec2-instance-connect-endpoint.md).

## Prerequisiti
<a name="rdp-prereqs"></a>

Devi soddisfare i seguenti prerequisiti per connetterti all'istanza Windows utilizzando un client RDP.
+ **Completa i prerequisiti generali.**
  + Verifica che l’istanza abbia superato i controlli dello stato. Possono essere necessari alcuni minuti affinché un’istanza sia pronta ad accettare richieste di connessione. Per ulteriori informazioni, consulta [Visualizzazione dei controlli di stato](viewing_status.md).
  + [Ottieni i dettagli richiesti sull’istanza](connection-prereqs-general.md#connection-prereqs-get-info-about-instance).
  + [Individuazione della chiave privata e impostazione delle autorizzazioni](connection-prereqs-general.md#connection-prereqs-private-key).
  + [(Opzionale) Ottenimento dell’impronta dell’istanza](connection-prereqs-general.md#connection-prereqs-fingerprint).
+ **Installare un client RDP.**
  + (Windows) Windows include un client RDP per default. Per verificare, digitare **mstsc** nella finestra del prompt dei comandi. Se il tuo computer non riconosce questo comando, scarica l’[app Desktop remoto Microsoft](https://apps.microsoft.com/detail/9wzdncrfj3ps) da Microsoft Store.
  + (macOS X) [Scarica l’app Windows per Mac (precedentemente denominata Desktop remoto di Microsoft)](https://apps.apple.com/us/app/windows-app/id1295203466?mt=12) dal Mac App Store.
  + (Linux) Usare [Remmina](https://remmina.org/).
+ **Consenti il traffico RDP in entrata dall'indirizzo IP.**

  Verifica che il gruppo di sicurezza associato alla tua istanza consenta il traffico RDP in entrata dal tuo indirizzo IP. Per ulteriori informazioni, consulta [Regole per la connessione alle istanze dal computer in uso](security-group-rules-reference.md#sg-rules-local-access).

## Recuperare la password amministratore
<a name="retrieve-initial-admin-password"></a>

Se hai aggiunto la tua istanza a un dominio, puoi connetterti all'istanza utilizzando le credenziali di dominio di. Directory Service Nella schermata di accesso a Desktop remoto, anziché utilizzare il nome del computer locale e la password generata, utilizzare il nome utente completo per l'amministratore (ad esempio, **corp.example.com\$1Admin**) e la password per questo account.

Per connettersi a un'istanza di Windows usando RDP, è necessario recuperare la password iniziale dell'amministratore e immetterla quando ci si connette all'istanza. Dopo l'avvio dell'istanza, dovrai attendere alcuni minuti prima che la password sia disponibile. Il tuo account deve avere l'autorizzazione per avviare l'[GetPasswordData](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetPasswordData.html)azione. Per ulteriori informazioni, consulta [Policy di esempio da utilizzare all'API Amazon EC2](ExamplePolicies_EC2.md).

Il nome utente predefinito per l'account amministratore dipende dalla lingua del sistema operativo (OS) contenuto nell'AMI. Per verificare il nome utente corretto, identifica la lingua del sistema operativo, poi scegli il nome utente corrispondente. Ad esempio, per un sistema operativo in inglese, il nome utente è `Administrator`, per un sistema operativo in francese è `Administrateur` e per un sistema operativo portoghese è `Administrador`. Se una versione di lingua del sistema operativo non ha un nome utente nella stessa lingua, scegli il nome utente `Administrator (Other)`. Per ulteriori informazioni, consulta [Nomi localizzati dell’account amministratore in Windows](https://learn.microsoft.com/en-us/archive/technet-wiki/13813.localized-names-for-administrator-account-in-windows) nel sito Web di Microsoft.

**Per recuperare la password dell'amministratore iniziale**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

1. Seleziona l'istanza quindi scegli **Connect** (Connetti).

1. Nella pagina **Connettiti all'istanza**, scegli la scheda **Client RDP**.

1. Per **Nome utente**, scegli il nome utente predefinito per l'account amministratore. Il nome utente scelto deve corrispondere alla lingua del sistema operativo (OS) contenuto nell'AMI utilizzata per avviare l'istanza. Se non esiste un nome utente nella stessa lingua del sistema operativo, scegli **Amministratore (Altro)**.

1. Scegliere **Ottieni password**.

1. Nella pagina **Ottieni password di Windows**, procedi nel modo seguente:

   1. Scegli **Carica file della chiave privata** e individua il file della chiave privata (`.pem`) da te specificato al momento dell'avvio dell'istanza. Selezionare il file e scegliere **Open (Apri)** per copiare l'intero contenuto del file in questa finestra.

   1. Selezionare **Decifra password**. La pagina **Ottieni password Windows si chiude** e la password di amministratore predefinita per l'istanza viene visualizzata in **Password**, sostituendo il link **Ottieni password** mostrato in precedenza.

   1. Copia la password e salvala in un luogo sicuro. Questa password ti servirà per connetterti all'istanza.

## Connessione all’istanza Windows
<a name="connecting-to-windows-instance-rdp-client"></a>

La procedura seguente utilizza il client Remote Desktop Connection per Windows (MSTSC). Se utilizzi un client RDP diverso, scarica il file RDP e consulta la documentazione per il client RDP per i passaggi necessari per stabilire la connessione RDP.

**Per connetterti a un'istanza Windows utilizzando un client RDP**

1. Nella pagina **Connettiti all'istanza**, scegli **Scarica file desktop remoto**. Al termine del download del file, scegli **Annulla** per tornare alla pagina **Istanze**. Il file RDP viene scaricato nella tua cartella `Downloads`.

1. Esegui `mstsc.exe` per aprire il client RDP.

1. Espandi **Mostra opzioni**, scegli **Apri** e seleziona il file.rdp dalla cartella `Downloads`.

1. Per impostazione predefinita, **Computer** è il nome IPv4 DNS pubblico dell'istanza e **Nome utente** è l'account dell'amministratore. Per connetterti all'istanza utilizzando IPv6 invece, sostituisci il nome IPv4 DNS pubblico dell'istanza con il relativo IPv6 indirizzo. Rivedi le impostazioni predefinite e modificale come necessario.

1. Scegli **Connetti**. Se ricevi un avviso che il publisher della connessione remota non è noto, scegli **Connetti** per continuare.

1. Inserisci la password salvata in precedenza, poi scegli **OK**.

1. Data la natura dei certificati autofirmati, è possibile che venga visualizzato un avviso relativo all'impossibilità di autenticare il certificato di sicurezza. Esegui una delle seguenti operazioni:
   + Se consideri attendibile il certificato, scegli **Sì** per connetterti all'istanza.
   + [Windows] Prima di procedere, confronta l'impronta digitale del certificato con il valore nel log di sistema per confermare l'identità del computer remoto. Scegli **Visualizza certificato** e poi seleziona **Identificazione personale** dalla scheda **Dettagli**. Confronta questo valore con il valore di `RDPCERTIFICATE-THUMBPRINT` in **Operazioni**, **Monitoraggio e risoluzione dei problemi**, **Ottieni log di sistema**.
   + [Mac OS X] Prima di procedere, confronta l'impronta del certificato con il valore nel log di sistema per confermare l'identità del computer remoto. Scegli **Mostra certificato**, espandi **Dettagli** e scegli **SHA1 Impronte digitali**. Confronta questo valore con il valore di `RDPCERTIFICATE-THUMBPRINT` in **Operazioni**, **Monitoraggio e risoluzione dei problemi**, **Ottieni log di sistema**.

1. Se la connessione RDP ha esito positivo, il client RDP visualizza la schermata di accesso di Windows e poi il desktop di Windows. Se invece ricevi un messaggio di errore, consulta [Il desktop remoto non può connettersi al computer remoto](troubleshoot-connect-windows-instance.md#rdp-issues). Quando hai completato la connessione RDP, puoi chiudere il client RDP.

## Configurazione degli account utente
<a name="configure-admin-accounts"></a>

Dopo aver stabilito la connessione all'istanza tramite RDP, ti consigliamo di svolgere le seguenti attività:
+ Modificare la password dell'amministratore rispetto al valore di default. [Modificare la password mentre si è connessi all'istanza](https://support.microsoft.com/en-us/windows/change-or-reset-your-windows-password-8271d17c-9f9e-443f-835a-8318c8f68b9c), usando le stesse procedure valide per qualsiasi computer che esegua Windows Server.
+ Crea un altro utente con privilegi di amministratore sull'istanza. Questo rappresenta una garanzia se ci si dimentica la password dell'amministratore o se si verifica un problema a livello di account dell'amministratore. Il nuovo account deve essere autorizzato ad accedere all'istanza da remoto. Aprire **System Properties (Proprietà di sistema)** facendo clic con il tasto destro sull'icona **Questo PC** sul desktop Windows o su File Explorer e selezionare **Properties (Proprietà)**. Scegliere **Remote settings (Impostazioni remote)**, quindi **Select Users (Seleziona utenti)** per aggiungere l'utente al gruppo **Utenti desktop remoti**.  
![\[Finestra Proprietà di sistema.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/windows-connect-properties-rdp.png)

# Connessione a un'istanza Windows utilizzando Fleet Manager
<a name="connect-rdp-fleet-manager"></a>

Puoi utilizzare Fleet Manager, una funzionalità di AWS Systems Manager, per connetterti a istanze Windows utilizzando il Remote Desktop Protocol (RDP) e visualizzare fino a quattro istanze Windows sulla stessa pagina di. Console di gestione AWS Puoi connetterti alla prima istanza nel desktop remoto della Gestione dei gruppi di nodi direttamente dalla pagina **Istanze** nella console Amazon EC2. Per ulteriori informazioni su Fleet Manager, consulta [Connect to a managed instance using Remote Desktop](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html) nella *Guida per l’utente di AWS Systems Manager *.

Nello specifico, non è necessario che tu consenta il traffico RDP in entrata dal tuo indirizzo IP, se utilizzi Fleet Manager per la connessione. Fleet Manager lo gestisce al posto tuo.

**Prerequisiti**  
Prima di tentare di connetterti a un'istanza tramite Fleet Manager, devi configurare l'ambiente. Per ulteriori informazioni, consulta [Configurare l'ambiente](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html#rdp-prerequisites) nella *Guida per l'utente di AWS Systems Manager *.

**Per connettersi a un'istanza Windows tramite Fleet Manager**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegli **Instances** (Istanze).

1. Seleziona l'istanza quindi scegli **Connect** (Connetti).

1. Nella scheda **Client RDP**, per **Tipo di connessione**, scegli **Connettiti tramite Fleet Manager**.

1. Scegliere **Desktop remoto di Fleet Manager**. Si apre la pagina **Fleet Manager Remote Desktop** nella console AWS Systems Manager .

1. Inserisci le credenziali e poi scegli **Connettiti**.

1. Se la connessione RDP ha esito positivo, Fleet Manager visualizza il desktop di Windows. Al termine della sessione, scegli **Operazioni**, **Termina sessione**.

Per ulteriori informazioni, consulta [Connessione a un'istanza gestita da Windows Server tramite Desktop remoto](https://docs.aws.amazon.com/systems-manager/latest/userguide/fleet-manager-remote-desktop-connections.html) nella *Guida per l'utente di AWS Systems Manager *.

# Trasferire file a un'istanza Windows tramite RDP
<a name="connect-to-linux-instanceWindowsFileTransfer"></a>

Puoi usare l'istanza Windows con le stesse procedure valide per qualsiasi server Windows. Ad esempio, puoi trasferire file tra un'istanza Windows e il computer locale tramite la caratteristica di condivisione di file locale del software Connessione desktop remoto (RDP) Microsoft. Puoi accedere ai file locali su unità disco rigido (HDD), unità DVD, unità audio/video portatili e unità di rete mappate.

Per accedere ai file locali dalle istanze di Windows, devi abilitare la caratteristica di condivisione file locale mappando l'unità di sessione remota sull'unità locale. I passaggi sono leggermente diversi, a seconda che il sistema operativo del computer locale sia Windows o macOS X.

Per ulteriori informazioni sui prerequisiti per connettersi tramite RDP, consulta [Prerequisiti](connect-rdp.md#rdp-prereqs).

------
#### [ Windows ]

**Per mappare l'unità di sessione remota all'unità locale sul computer Windows locale**

1. Apri il client di connessione remota desktop.

1. Scegliere **Show options (Mostra opzioni)**.

1. Aggiungi il nome host dell'istanza al campo **Computer** e il nome utente al campo **Nome utente**, come riportato di seguito:

   1. Nella sezione **Connection settings** (Impostazioni connessione), scegli **Open...** (Apri...) e passa al file di collegamento RDP scaricato dalla console Amazon EC2. Il file contiene il nome host IPv4 DNS pubblico, che identifica l'istanza, e il nome utente dell'amministratore.

   1. Scegli il file e seleziona **Open** (Apri). I campi **Computer** e **User name** (Nome utente) vengono compilati con i valori del file di collegamento RDP.

   1. Scegli **Save** (Salva).

1. Scegliere la scheda **Local Resources (Risorse locali)**.

1. In **Local Devices and resources** (Dispositivi e risorse locali), scegli **More...** (Altro...).  
![\[Finestra Risorse locali RDP.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/windows-connect-rdp-local-resources.png)

1. Apri **Drives (Unità)** e seleziona l'unità locale per mappare la tua istanza di Windows.

1. Seleziona **OK**.  
![\[Finestra RDP Local devices and resources (Dispositivi e risorse locali RDP).\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/windows-connect-rdp-drives.png)

1. Scegli **Connect (Connetti)** per collegarti all'istanza di Windows.

------
#### [ macOS X ]

**Per mappare l'unità di sessione remota alla cartella locale sul computer macOS X locale**

1. Apri il client di connessione remota desktop.

1. Individua il file RDP scaricato dalla console Amazon EC2 (quando ti sei connesso inizialmente all'istanza) e trascinalo sul client di Connessione Desktop remoto.

1. Fai clic con il pulsante destro del mouse sul file RDP e scegli **Edit** (Modifica). 

1. Seleziona la scheda **Cartelle** e poi la casella di spunta **Reindirizza cartelle**.  
![\[Finestra di Microsoft Remote Desktop Edit PC.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/mac-map-folder-1.png)

1. Seleziona l'icona **\$1** in basso a sinistra, vai alla cartella da mappare e scegli **Open** (Apri). Ripeti questo passaggio per eseguire la mappatura di ogni cartella da mappare.

1. Scegli **Save** (Salva).

1. Scegli **Connect (Connetti)** per collegarti all'istanza di Windows. Ti verrà richiesta la password.

1. Nell'istanza, in Esplora file espandi **This PC** (Questo PC) e cerca la cartella condivisa da cui puoi accedere ai file locali. Nello screenshot seguente, la cartella **Desktop** del computer locale è stata mappata all'unità di sessione remota sull'istanza.  
![\[Finestra di Microsoft Remote Desktop Edit PC.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/mac-map-folder-2.png)

Per ulteriori informazioni su come rendere disponibili i dispositivi locali per una sessione remota su un computer Mac, consulta [Get started with the macOS client](https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/remote-desktop-mac) (Nozioni di base sul client macOS).

------

# Connect alla tua EC2 istanza Amazon utilizzando Session Manager
<a name="connect-with-systems-manager-session-manager"></a>

Session Manager è una AWS Systems Manager funzionalità completamente gestita per la gestione delle EC2 istanze Amazon tramite una shell interattiva, con un solo clic, basata su browser o tramite. AWS CLI Puoi utilizzare Session Manager per avviare una sessione con un'istanza nel tuo account. Dopo l'avvio della sessione, puoi eseguire comandi interattivi sull'istanza come faresti con qualsiasi altro tipo di connessione. Per ulteriori informazioni su Session Manager, consulta [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) nella *Guida per l'utente di AWS Systems Manager *. 

**Prerequisiti**  
Prima di tentare di connetterti a un'istanza utilizzando Session Manager, devi completare le fasi di installazione richieste. Ad esempio, l'istanza deve essere gestita da SSM e deve avere un ruolo IAM associato alla SSMManaged InstanceCore policy di **Amazon**. Per ulteriori informazioni e istruzioni, consulta [Setting up Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started.html) (Impostazione di Session Manager).

**Per connettersi a un' EC2 istanza Amazon utilizzando Session Manager sulla EC2 console Amazon**

1. Apri la EC2 console Amazon all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

1. Selezionare l’istanza, quindi scegliere **Collegarsi**.

1. Per il metodo di connessione, seleziona **Session Manager**.

1. Scegli **Connetti** per iniziare la sessione.  
![\[Il pulsante Connect nella scheda Session Manager.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/connect-method-session-manager.png)

**Risoluzione dei problemi**  
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire una o più azioni di Systems Manager (`ssm:command-name`), devi aggiornare le tue policy per consentirti di avviare sessioni dalla EC2 console Amazon. Per ulteriori informazioni e istruzioni, consulta [Guida rapida sulle policy IAM predefinite per Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/getting-started-restrict-access-quickstart.html) nella *Guida per l'utente di AWS Systems Manager *.

# Connettiti all’istanza Linux usando un indirizzo IP pubblico ed EC2 Instance Connect
<a name="connect-linux-inst-eic"></a>

Con Amazon EC2 Instance Connect, puoi connetterti in modo sicuro alle istanze Linux con Secure Shell (SSH). Con EC2 Instance Connect, utilizzi [policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) e [principi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) (IAM) per controllare l'accesso SSH alle tue istanze, eliminando la necessità di condividere e gestire le chiavi SSH. Tutte le richieste di connessione effettuate tramite EC2 Instance Connect vengono [registrate su AWS CloudTrail](monitor-with-cloudtrail.md#ec2-instance-connect-cloudtrail) per consentirti di verificarle.

Puoi utilizzare EC2 Instance Connect per collegarti alle istanze Linux tramite la console Amazon EC2 o il client SSH di tua scelta.

Quando ti connetti a un’istanza tramite EC2 Instance Connect, l’API di EC2 Instance Connect invia una chiave pubblica SSH ai [metadati dell’istanza](ec2-instance-metadata.md), dove rimane per 60 secondi. Una policy IAM collegata al tuo utente autorizza quest’ultimo a inserire la chiave pubblica tra i metadati dell’istanza. Il daemon SSH utilizza `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser`, configurati al momento dell’installazione di EC2 Instance Connect, per recuperare la chiave pubblica dai metadati dell’istanza al fine effettuare l’autenticazione e ti permette di collegarti all’istanza.

**Suggerimento**  
EC2 Instance Connect è una delle opzioni per la connessione all’istanza Linux. Per altre opzioni, vedi [Connessione a un’istanza Linux tramite SSH](connect-to-linux-instance.md) Per effettuare la connessione a un’istanza Windows, consulta [Connessione all’istanza Windows con il protocollo RDP](connecting_to_windows_instance.md).

**Prezzi**  
EC2 Instance Connect è disponibile senza costi aggiuntivi.

**Disponibilità nelle regioni**  
EC2 Instance Connect è disponibile in tutti i paesi Regioni AWS, ad eccezione dell'Asia Pacifico (Taipei). Non è supportato nelle zone locali.

**Topics**
+ [Tutorial](ec2-instance-connect-tutorial.md)
+ [Prerequisiti](ec2-instance-connect-prerequisites.md)
+ [Permissions](ec2-instance-connect-configure-IAM-role.md)
+ [Installazione di EC2 Instance Connect](ec2-instance-connect-set-up.md)
+ [Connessione a un’istanza](ec2-instance-connect-methods.md)
+ [Disinstallazione di EC2 Instance Connect](ec2-instance-connect-uninstall.md)

Per un post del blog che illustra come migliorare la sicurezza degli host bastione utilizzando EC2 Instance Connect, consulta [Securing your bastion hosts with Amazon EC2 Instance Connect](https://aws.amazon.com/blogs/infrastructure-and-automation/securing-your-bastion-hosts-with-amazon-ec2-instance-connect/).

# Tutorial: Completa la configurazione richiesta per connettersi all’istanza tramite EC2 Instance Connect
<a name="ec2-instance-connect-tutorial"></a>

Per connetterti alla tua istanza tramite EC2 Instance Connect nella console Amazon EC2, devi prima completare la configurazione dei prerequisiti che ti consentirà di connetterti con successo all’istanza. Lo scopo di questo tutorial è di guidarti attraverso le attività per completare la configurazione dei prerequisiti.

**Panoramica del tutorial**

In questo tutorial, completerai le quattro seguenti attività:
+ [Attività 1: Concessione delle autorizzazioni necessarie per utilizzare EC2 Instance Connect](#eic-tut1-task1)

  Per prima cosa, creerai una policy IAM che contenga le autorizzazioni IAM che ti consentono di inviare una chiave pubblica ai metadati dell’istanza. Collegherai questa policy alla tua identità IAM (utente, gruppo di utenti o ruolo) in modo tale che la tua identità IAM ottenga tali autorizzazioni.
+ [Attività 2: Consenti il traffico in entrata dal servizio EC2 Instance Connect all’istanza in uso](#eic-tut1-task2)

  Creerai un gruppo di sicurezza che consenta il traffico dal servizio EC2 Instance Connect verso la tua istanza. Questa funzionalità è obbligatoria quando utilizzi EC2 Instance Connect nella console Amazon EC2 per collegarti all’istanza.
+ [Attività 3: Avvia la tua istanza](#eic-tut1-task3)

  Avvierai un’istanza EC2 utilizzando un’AMI preinstallata con EC2 Instance Connect e aggiungerai il gruppo di sicurezza da te creato nella fase precedente.
+ [Attività 4: Connessione all’istanza](#eic-tut1-task4)

  Infine, utilizzerai EC2 Instance Connect nella console Amazon EC2 per collegarti all’istanza. Se riesci a connetterti, puoi essere certo che la configurazione dei prerequisiti da te completata nelle Attività 1, 2 e 3 ha avuto successo.

## Attività 1: Concessione delle autorizzazioni necessarie per utilizzare EC2 Instance Connect
<a name="eic-tut1-task1"></a>

Quando ti connetti a un’istanza tramite EC2 Instance Connect, l’API di EC2 Instance Connect invia una chiave pubblica SSH ai [metadati dell’istanza](ec2-instance-metadata.md), dove rimane per 60 secondi. Hai bisogno di una policy IAM collegata alla tua identità IAM (utente, gruppo di utenti o ruolo) per concederti l’autorizzazione richiesta per inviare la chiave pubblica ai metadati dell’istanza.

**Obiettivo dell’attività**

Creerai la policy IAM che concede l’autorizzazione per inviare la chiave pubblica all’istanza. L’azione specifica da consentire è `ec2-instance-connect:SendSSHPublicKey`. Devi anche consentire l’azione `ec2:DescribeInstances` in modo da poter visualizzare e selezionare l’istanza nella console Amazon EC2.

Dopo aver creato la policy, la collegherai alla tua identità IAM (utente, gruppo di utenti o ruolo) in modo tale che la tua identità IAM ottenga le autorizzazioni.

Creerai una policy configurata come indicato di seguito:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

**Importante**  
La policy IAM creata in questo tutorial è una politica altamente permissiva; consente di connettersi a qualsiasi istanza utilizzando qualsiasi nome utente dell’AMI. Stiamo usando questa politica altamente permissiva per mantenere il tutorial semplice e focalizzato sulle configurazioni specifiche illustrate da questo tutorial. Tuttavia, in un ambiente di produzione, consigliamo di configurare la policy IAM in modo da fornire [autorizzazioni con privilegi minimi.](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) Per esempi di policy IAM, consulta [Concessione di un’autorizzazione IAM per EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).

**Per creare e collegare una policy IAM che consenta di utilizzare EC2 Instance Connect per connetterti alle istanze**

1. **Innanzitutto, crea la policy IAM**

   1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. Nel riquadro di navigazione, scegli **Policy**.

   1. Scegli **Create Policy** (Crea policy).

   1. Nella pagina **Specifica autorizzazione**, procedi nel modo seguente:

      1. Per **Servizio**, scegli **EC2 Instance Connect**.

      1. **In **Azioni consentite**, nel campo di ricerca inizia a digitare **send** per mostrare le azioni pertinenti, quindi seleziona Invia chiave. SSHPublic**

      1. In **Risorse**, scegli **Tutte**. Per un ambiente di produzione, consigliamo di specificare l’istanza tramite il relativo ARN, ma per questo tutorial, consentirai tutte le istanze.

      1. Scegli **Aggiungere più autorizzazioni**.

      1. Per **Servizio**, scegli **EC2**.

      1. In **Azioni consentite**, nel campo di ricerca inizia **describein** a digitare per mostrare le azioni pertinenti, quindi seleziona. **DescribeInstances**

      1. Scegli **Next (Successivo)**.

   1. Nella pagina **Rivedi e crea**, effettua le operazioni seguenti:

      1. In **Policy name (Nome policy)**, immettere un nome per la policy.

      1. Scegli **Crea policy**.

1. **Poi collega la policy alla tua identità**

   1. Nel pannello di navigazione della console IAM seleziona **Policy**.

   1. Nell’elenco di policy, seleziona il pulsante di opzione accanto al nome della policy da te creata. Puoi utilizzare la casella di ricerca per filtrare l’elenco di policy.

   1. Seleziona **Operazioni**, **Collega**.

   1. In **Entità IAM**, seleziona la casella di spunta accanto alla tua identità (utente, gruppo di utenti o ruolo). Puoi utilizzare la casella di ricerca per filtrare l’elenco di entità.

   1. Scegli **Collega policy**.

### Visualizzazione di un’animazione: Crea una policy IAM
<a name="eic-tut1-task1-animation1"></a>

![\[Questa animazione mostra come creare una policy IAM. Per la versione testuale di questa animazione consulta i passaggi della procedura precedente.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/eic-tut1-task1-create-iam-policy.gif)


### Visualizzazione di un’animazione: Collega una policy IAM
<a name="eic-tut1-task1-animation2"></a>

![\[Questa animazione mostra come collegare una policy IAM a un’identità IAM. Per la versione testuale di questa animazione consulta i passaggi della procedura precedente.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/eic-tut1-task1-attach-iam-policy.gif)


## Attività 2: Consenti il traffico in entrata dal servizio EC2 Instance Connect all’istanza in uso
<a name="eic-tut1-task2"></a>

Quando utilizzi EC2 Instance Connect nella console Amazon EC2 per connetterti a un’istanza, il traffico a cui deve essere consentito di raggiungere l’istanza è il traffico proveniente dal servizio EC2 Instance Connect. Questa operazione è diversa dalla connessione dal computer locale a un’istanza; in quel caso, devi consentire il traffico dal computer locale all’istanza. Per consentire il traffico dal servizio EC2 Instance Connect, devi creare un gruppo di sicurezza che consenta il traffico SSH in entrata dall’intervallo di indirizzi IP per il servizio EC2 Instance Connect.

AWS utilizza elenchi di prefissi per gestire gli intervalli di indirizzi IP. I nomi degli elenchi di prefissi EC2 Instance Connect sono i seguenti, *region* sostituiti dal codice Region:
+ IPv4 nome dell'elenco di prefissi: `com.amazonaws.region.ec2-instance-connect`
+ IPv6 nome dell'elenco di prefissi: `com.amazonaws.region.ipv6.ec2-instance-connect`

**Obiettivo dell’attività**

Creerai un gruppo di sicurezza che consente il traffico SSH in entrata sulla porta 22 dall'elenco dei IPv4 prefissi nella regione in cui si trova l'istanza.

**Per creare un gruppo di sicurezza che consenta il traffico in entrata dal servizio EC2 Instance Connect verso la tua istanza**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Fare clic su **Security Groups (Gruppi di sicurezza)** nel pannello di navigazione.

1. Scegliere **Create Security Group** (Crea gruppo di sicurezza).

1. In **Basic details** (Dettagli di base), eseguire le operazioni seguenti:

   1. In **Nome gruppo di sicurezza**, inserisci un nome significativo per il tuo gruppo di sicurezza.

   1. In **Descrizione**, inserisci una descrizione significativa per il tuo gruppo di sicurezza.

1. In **Regole in entrata**, effettua le operazioni seguenti:

   1. Scegli **Aggiungi regola**.

   1. Per **Type** (Tipo) scegli **SSH**.

   1. **Per **Origine**, lascia Personalizzata**.

   1. Nel campo accanto a **Origine**, seleziona l’elenco dei prefissi per EC2 Instance Connect.

      **Ad esempio, se la tua istanza si trova nella regione Stati Uniti orientali (Virginia settentrionale) (`us-east-1`) e i tuoi utenti si connetteranno al suo IPv4 indirizzo pubblico, scegli il seguente elenco di prefissi: com.amazonaws.us-east-1.ec2-instance-connect**

1. Scegliere **Create Security Group** (Crea gruppo di sicurezza).

### Visualizzazione di un’animazione: Crea il gruppo di sicurezza
<a name="eic-tut1-task2-animation"></a>

![\[Questa animazione mostra come configurare un gruppo di sicurezza. Per la versione testuale di questa animazione consulta i passaggi della procedura precedente.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/tut1-task2-eic-security-group.gif)


## Attività 3: Avvia la tua istanza
<a name="eic-tut1-task3"></a>

Quando avvii un’istanza, devi specificare un’AMI contenente le informazioni richieste per avviare l’istanza. Puoi scegliere di avviare un’istanza con o senza EC2 Instance Connect preinstallato. In questa attività, specifichiamo un’AMI preinstallata con EC2 Instance Connect.

Se avvii l’istanza senza EC2 Instance Connect preinstallato, e desideri utilizzare EC2 Instance Connect per connetterti alla tua istanza, dovrai svolgere alcuni passaggi di configurazione aggiuntivi. Tali passaggi non rientrano nell’ambito di questo tutorial.

**Obiettivo dell’attività**

Avvierai un’istanza con l’AMI di Amazon Linux 2023, preinstallata con EC2 Instance Connect. Specificherai anche il gruppo di sicurezza da te creato in precedenza in modo tale da poter utilizzare EC2 Instance Connect nella console Amazon EC2 per connetterti all’istanza. Poiché utilizzerai EC2 Instance Connect per connetterti alla tua istanza, che invia una chiave pubblica ai metadati dell’istanza, non dovrai necessariamente specificare una chiave SSH all’avvio dell’istanza.

**Per avviare un’istanza in grado di utilizzare EC2 Instance Connect nella console Amazon EC2 per la connessione:**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nella barra di navigazione nella parte superiore dello schermo, viene visualizzata la AWS regione corrente (ad esempio, **Irlanda**). Seleziona una regione in cui avviare l’istanza. Questa scelta è importante perché hai creato un gruppo di sicurezza che consente il traffico per una regione specifica, quindi devi selezionare la stessa regione in cui avviare l’istanza.

1. Dal pannello di controllo della console Amazon EC2, scegli **Launch Instance (Avvia istanza)**. 

1. (Facoltativo) in **Name and tags (Nome e tag)**, per **Name (Nome)**, inserire un nome descrittivo per la propria istanza.

1. In **Applicazioni e immagini SO (Amazon Machine Image)**, scegli **Avvio rapido**. **Amazon Linux** è selezionato per impostazione predefinita. In **Amazon Machine Image (AMI)** è selezionato **AMI Amazon Linux 2023** per impostazione predefinita. Mantieni la selezione predefinita per questa attività.

1. In **Tipo di istanza**, per **Tipo di istanza**, mantieni la selezione predefinita, oppure scegli un diverso tipo di istanza.

1. In **Coppia di chiavi (login)**, per **Nome della coppia di chiavi**, scegli **Procedi senza una coppia di chiavi (non consigliato)**. Quando utilizzi EC2 Instance Connect per connetterti a un’istanza, EC2 Instance Connect invia una coppia di chiavi ai metadati dell’istanza, e questa coppia di chiavi viene utilizzata per la connessione.

1. Sotto **Network settings** (Impostazioni di rete) effettua le seguenti operazioni:

   1. Per **Assegna automaticamente IP pubblico**, seleziona **Abilita**.
**Nota**  
Per utilizzare EC2 Instance Connect nella console Amazon EC2 per connettersi a un'istanza, l'istanza deve avere un indirizzo IPv4 pubblico IPv6 o un indirizzo.

   1. Per **Firewall (gruppi di sicurezza)**, scegli **Seleziona un gruppo di sicurezza esistente**.

   1. In **Gruppi di sicurezza comuni**, scegli il gruppo di sicurezza da te creato in precedenza.

1. Nel pannello **Summary (Riepilogo)**, scegliere **Launch instance (Avvia istanza)**.

### Visualizzazione di un’animazione: Avvio di un’istanza
<a name="eic-tut1-task3-animation"></a>

![\[Questa animazione mostra come avviare un’istanza. Per la versione testuale di questa animazione consulta i passaggi della procedura precedente.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/tut1-task3-launch-an-instance.gif)


## Attività 4: Connessione all’istanza
<a name="eic-tut1-task4"></a>

Quando ti connetti a un’istanza tramite EC2 Instance Connect, l’API di EC2 Instance Connect invia una chiave pubblica SSH ai [metadati dell’istanza](ec2-instance-metadata.md), dove rimane per 60 secondi. Il daemon SSH utilizza `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser` per recuperare la chiave pubblica dai metadati dell’istanza al fine effettuare l’autenticazione e ti permette di collegarti all’istanza.

**Obiettivo dell’attività**

In questa attività, ti connetterai alla tua istanza usando EC2 Instance Connect nella console Amazon EC2. Se hai completato le Attività preliminari 1, 2 e 3, la connessione dovrebbe avere successo. 

**Passaggi per connetterti alla tua istanza**

Segui questi passaggi per connetterti alla tua istanza. Per visualizzare un’animazione di questi passaggi, consulta [Visualizzazione di un’animazione: Connessione a un’istanza](#eic-tut1-task4-animation).

**Per connetterti a un’istanza usando EC2 Instance Connect nella console Amazon EC2**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nella barra di navigazione nella parte superiore dello schermo, viene visualizzata la AWS regione corrente (ad esempio, **Irlanda**). Seleziona la regione in cui si trova l’istanza.

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**. 

1. Seleziona l’istanza e scegli **Connetti**.

1. Scegli la scheda **EC2 Instance Connect**.

1. Scegli **Connettiti usando un IP pubblico**. 

1. Scegli **Connetti**.

   Si apre una finestra del terminale nel browser e viene stabilita la connessione all’istanza.

### Visualizzazione di un’animazione: Connessione a un’istanza
<a name="eic-tut1-task4-animation"></a>

![\[Questa animazione mostra come connettersi a un’istanza tramite EC2 Instance Connect. Per la versione testuale di questa animazione consulta i passaggi della procedura precedente.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/eic-tut1-task4-connect.gif)


# Prerequisiti per EC2 Instance Connect
<a name="ec2-instance-connect-prerequisites"></a>

**Topics**
+ [Installazione di EC2 Instance Connect](#eic-prereqs-install-eic-on-instance)
+ [Assicurare la connettività di rete](#eic-prereqs-network-access)
+ [Consenti il traffico SSH in entrata](#ec2-instance-connect-setup-security-group)
+ [Concessione delle autorizzazioni](#eic-prereqs-grant-permissions)
+ [Installare un client SSH sul computer locale](#eic-prereqs-install-ssh-client)
+ [Soddisfa i requisiti del nome utente](#eic-prereqs-username)

## Installazione di EC2 Instance Connect
<a name="eic-prereqs-install-eic-on-instance"></a>

Per utilizzare EC2 Instance Connect per connettersi a un’istanza, è necessario che EC2 Instance Connect sia installato sull’istanza. Puoi avviare l'istanza utilizzando un'AMI preinstallata con EC2 Instance Connect oppure installare EC2 Instance Connect su istanze avviate con supporto. AMIs Per ulteriori informazioni, consulta [Installazione di EC2 Instance Connect sulle istanze EC2](ec2-instance-connect-set-up.md).

## Assicurare la connettività di rete
<a name="eic-prereqs-network-access"></a>

Le istanze possono essere configurate per consentire agli utenti di connettersi all’istanza tramite Internet o tramite l’indirizzo IP privato dell’istanza. A seconda del modo in cui gli utenti si connettono all’istanza tramite EC2 Instance Connect, devi configurare il seguente accesso alla rete:
+ Se gli utenti si connetteranno all'istanza tramite Internet, l'istanza deve avere un IPv6 indirizzo IPv4 o un indirizzo pubblico e trovarsi in una sottorete pubblica con un percorso verso Internet. Se non hai modificato la sottorete pubblica predefinita, allora contiene un percorso verso Internet IPv4 solo per e non per. IPv6 Per ulteriori informazioni, consulta [Permetti l’accesso a Internet VPC tramite gateway Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#vpc-igw-internet-access) nella *Guida per l’utente di Amazon VPC*.
+ Se i tuoi utenti si connetteranno alla tua istanza tramite l'IPv4 indirizzo privato dell'istanza, devi stabilire una connettività di rete privata al tuo VPC, ad esempio utilizzando o il peering VPC AWS Direct Connect AWS Site-to-Site VPN, in modo che gli utenti possano raggiungere l'indirizzo IP privato dell'istanza.

Se la tua istanza non dispone di un indirizzo IPv4 o IPv6 pubblico e preferisci non configurare l’accesso alla rete come descritto sopra, puoi considerare l’endpoint EC2 Instance Connect come alternativa a EC2 Instance Connect. Con EC2 Instance Connect Endpoint, puoi connetterti a un'istanza utilizzando SSH o RDP anche se l'istanza non ha un pubblico o un indirizzo. IPv4 IPv6 Per ulteriori informazioni, consulta [Connessione a un’istanza Linux tramite la console Amazon EC2](connect-using-eice.md#connect-using-the-ec2-console).

## Consenti il traffico SSH in entrata
<a name="ec2-instance-connect-setup-security-group"></a>

**Quando utilizzi una console Amazon EC2 per connetterti a un’istanza**  
Quando gli utenti si connettono a un’istanza usando la console Amazon EC2, il traffico a cui deve essere consentito di raggiungere l’istanza è il traffico proveniente dal servizio EC2 Instance Connect. Il servizio è identificato da intervalli di indirizzi IP specifici, che vengono AWS gestiti tramite elenchi di prefissi. Devi creare un gruppo di sicurezza che consenta il traffico SSH in entrata dal servizio EC2 Instance Connect. Per configurarlo, per la regola in entrata, nel campo accanto a **Origine**, seleziona l’elenco dei prefissi per EC2 Instance Connect.

AWS fornisce diversi elenchi di prefissi gestiti per gli indirizzi IPv4 e IPv6 per ogni regione. I nomi degli elenchi di prefissi EC2 Instance Connect sono i seguenti, *region* sostituiti dal codice Region:
+ IPv4 nome dell'elenco di prefissi: `com.amazonaws.region.ec2-instance-connect`
+ IPv6 nome dell'elenco di prefissi: `com.amazonaws.region.ipv6.ec2-instance-connect`

Per le istruzioni per la creazione del gruppo di sicurezza, consulta [Attività 2: Consenti il traffico in entrata dal servizio EC2 Instance Connect all’istanza in uso](ec2-instance-connect-tutorial.md#eic-tut1-task2). Per ulteriori informazioni, consulta [Available AWS-managed prefix lists](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html#available-aws-managed-prefix-lists) nella Amazon *VPC* User Guide.

**Quando utilizzi la CLI o SSH per connetterti a un’istanza**  
Verificare che il gruppo di sicurezza associato all’istanza [consenta il traffico SSH in entrata](security-group-rules-reference.md#sg-rules-local-access) dalla porta 22 dell’indirizzo IP o dalla rete. Per impostazione predefinita, il gruppo di sicurezza predefinito per il VPC non consente il traffico SSH in entrata. Per impostazione predefinita, il gruppo di sicurezza creato dalla procedura guidata di avvio dell’istanza abilita il traffico SSH. Per ulteriori informazioni, consulta [Regole per la connessione alle istanze dal computer in uso](security-group-rules-reference.md#sg-rules-local-access).

## Concessione delle autorizzazioni
<a name="eic-prereqs-grant-permissions"></a>

Devi concedere le autorizzazioni richieste a tutti gli utenti IAM che utilizzano EC2 Instance Connect per connettersi a un’istanza. Per ulteriori informazioni, consulta [Concessione di un’autorizzazione IAM per EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).

## Installare un client SSH sul computer locale
<a name="eic-prereqs-install-ssh-client"></a>

Se gli utenti si connettono tramite SSH, devono assicurarsi che il loro computer locale disponga di un client SSH.

Il computer locale di un utente probabilmente include un client SSH installato per impostazione predefinita. Possono verificare la presenza di un client SSH digitando **ssh** nella linea di comando. Se il computer locale non riconosce il comando, possono installare un client SSH. Per informazioni sull’installazione di un client SSH su Linux o macOS X, consulta [http://www.openssh.com](http://www.openssh.com/). Per informazioni sull’installazione di un client SSH in Windows 10, consulta [OpenSSH in Windows](https://learn.microsoft.com/en-us/windows-server/administration/OpenSSH/openssh-overview).

Non è necessario installare un client SSH sul computer locale se gli utenti utilizzano la console Amazon EC2 per la connessione a un’istanza.

## Soddisfa i requisiti del nome utente
<a name="eic-prereqs-username"></a>

Quando si utilizza EC2 Instance Connect per connettersi a un’istanza, il nome utente deve soddisfare i seguenti requisiti:
+ Primo carattere: deve essere una lettera (`A-Z`, `a-z`), una cifra (`0-9`) o un carattere di sottolineatura (`_`)
+ Caratteri successivi: possono essere lettere (`A-Z`, `a-z`), cifre (`0-9`) o i seguenti caratteri: `@ . _ -`
+ Lunghezza minima: 1 carattere
+ Lunghezza massima: 31 caratteri

# Concessione di un’autorizzazione IAM per EC2 Instance Connect
<a name="ec2-instance-connect-configure-IAM-role"></a>

Per connetterti all’istanza tramite EC2 Instance Connect, devi creare una policy IAM che concede agli utenti le autorizzazioni per le seguenti operazioni e condizioni:
+ Operazione `ec2-instance-connect:SendSSHPublicKey`: concede l’autorizzazione per inviare la chiave pubblica a un’istanza.
+ Condizione `ec2:osuser`: specifica il nome dell’utente del sistema operativo che può inviare la chiave pubblica a un’istanza. Utilizza il nome utente predefinito per l’AMI che è stata utilizzata per avviare l’istanza. Il nome utente predefinito per AL2023 e Amazon Linux 2 è`ec2-user`, e per Ubuntu è`ubuntu`.
+ Operazione `ec2:DescribeInstances`: obbligatoria quando si utilizza la console EC2 perché il wrapper richiama questa operazione. Gli utenti potrebbero già disporre dell’autorizzazione per richiamare questa operazione da un’altra policy.
+ `ec2:DescribeVpcs`azione: richiesta quando ci si connette a un IPv6 indirizzo.

Considera la possibilità di limitare l’accesso a specifiche istanze EC2. In caso contrario, tutti i principali IAM con l’autorizzazione per l’operazione `ec2-instance-connect:SendSSHPublicKey` possono connettersi a tutte le istanze EC2. È possibile limitare l'accesso specificando la risorsa ARNs o utilizzando i tag delle risorse come [chiavi di condizione](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2instanceconnect.html#amazonec2instanceconnect-policy-keys).

Per ulteriori informazioni, consulta [Operazioni, risorse e chiavi di condizione per Amazon EC2 Instance Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2instanceconnect.html).

Per informazioni sulla creazione di una policy IAM, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.

## Consentire agli utenti di connettersi a istanze specifiche
<a name="eic-permissions-allow-users-to-connect-to-specific-instances"></a>

La seguente policy IAM concede l'autorizzazione a connettersi a istanze specifiche, identificate dalla relativa risorsa. ARNs 

Nel seguente esempio di policy IAM, vengono specificate le operazioni e le condizioni seguenti:
+ L'`ec2-instance-connect:SendSSHPublicKey`azione concede agli utenti il permesso di connettersi a due istanze, specificate dalla risorsa. ARNs Per concedere agli utenti il permesso di connettersi a *tutte le* istanze EC2, sostituisci la risorsa ARNs con la jolly. `*`
+ La `ec2:osuser` condizione concede l'autorizzazione a connettersi alle istanze solo se viene specificata al momento della *ami-username* connessione.
+ L'operazione `ec2:DescribeInstances` è specificata per concedere l'autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettere `ec2:DescribeInstances`. Le operazioni API `ec2:Describe*` non supportano le autorizzazioni a livello di risorsa. Il carattere jolly `*` è quindi necessario nell’elemento `Resource`.
+ L'`ec2:DescribeVpcs`azione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un indirizzo. IPv6 Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoi `ec2:DescribeVpcs` ometterlo. Le operazioni API `ec2:Describe*` non supportano le autorizzazioni a livello di risorsa. Il carattere jolly `*` è quindi necessario nell’elemento `Resource`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/i-1234567890abcdef0",
                "arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:osuser": "ami-username"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Consentire agli utenti di connettersi alle istanze con tag specifici
<a name="eic-permissions-allow-users-to-connect-to-instances-with-specific-tags"></a>

Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base a tag che possono essere allegati a utenti e risorse. AWS Puoi utilizzare i tag delle risorse per controllare l’accesso a un’istanza. *Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle AWS risorse, consulta [Controlling access to AWS resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources) nella IAM User Guide.*

Nel seguente esempio di policy IAM, l’operazione `ec2-instance-connect:SendSSHPublicKey` concede agli utenti l’autorizzazione per connettersi a qualsiasi istanza (indicata dal carattere jolly `*` nell’ARN della risorsa) a condizione che l’istanza abbia un tag di risorsa con key=`tag-key` e value=`tag-value`.

L’operazione `ec2:DescribeInstances` è specificata per concedere l’autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettere `ec2:DescribeInstances`. Le operazioni API `ec2:Describe*` non supportano le autorizzazioni a livello di risorsa. Il carattere jolly `*` è quindi necessario nell’elemento `Resource`.

L'`ec2:DescribeVpcs`azione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un IPv6 indirizzo. Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoi `ec2:DescribeVpcs` ometterlo. Le operazioni API `ec2:Describe*` non supportano le autorizzazioni a livello di risorsa. Il carattere jolly `*` è quindi necessario nell’elemento `Resource`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey", 
            "Resource": "arn:aws:ec2:us-east-1:111122223333:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/tag-key": "tag-value"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Installazione di EC2 Instance Connect sulle istanze EC2
<a name="ec2-instance-connect-set-up"></a>

Per connettersi a un’istanza Linux tramite EC2 Instance Connect, è necessario che EC2 Instance Connect sia installato sull’istanza. Tramite l’installazione di EC2 Instance Connect, si configura il daemon SSH sull’istanza.

Per ulteriori informazioni sul pacchetto EC2 Instance Connect, consulta [aws/aws-ec2](https://github.com/aws/aws-ec2-instance-connect-config) - sul sito Web. instance-connect-config GitHub 

**Nota**  
Se hai configurato le impostazioni `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser` per l’autenticazione SSH, l’installazione di EC2 Instance Connect non le aggiorna. Di conseguenza, non puoi utilizzare EC2 Instance Connect.

## Prerequisiti di installazione
<a name="ec2-instance-connect-install-prerequisites"></a>

Prima di installare EC2 Instance Connect, assicurati di soddisfare i seguenti prerequisiti.
+ **Verifica che l’istanza utilizzi uno dei seguenti:**
  + Amazon Linux 2 precedente alla versione 2.0.20190618 \$1
  + AL2023 AMI minima o AMI ottimizzata per Amazon ECS
  + CentOS Stream 8 e 9
  + macOS Sonoma precedente a 14.2.1, Ventura precedente a 13.6.3 e Monterey precedente a 12.7.2 \$1
  + Red Hat Enterprise Linux (RHEL) 8 e 9
  + Ubuntu 16.04 e 18.04 \$1
**Suggerimento**  
\$1 Per Amazon Linux 2, macOS e Ubuntu: se hai avviato l’istanza utilizzando una versione successiva a quelle elencate sopra, EC2 Instance Connect è preinstallato e non è richiesta alcuna installazione manuale.
+ **Verifica i prerequisiti generali per EC2 Instance Connect.**

  Per ulteriori informazioni, consulta [Prerequisiti per EC2 Instance Connect](ec2-instance-connect-prerequisites.md).
+ **Verifica i prerequisiti generali per la connessione all’istanza tramite un client SSH sul tuo computer locale.**

  Per ulteriori informazioni, consulta [Connessione a un’istanza Linux tramite SSH](connect-to-linux-instance.md).
+ **Ottieni l’ID dell’istanza.**

  Puoi ottenere l’ID dell’istanza mediante la console Amazon EC2 (dalla colonna **Instance ID [ID dell’istanza]**). Se preferisci, puoi usare il comando [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html) () o ()AWS CLI. [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)AWS Tools for Windows PowerShell

## Installazione manuale di EC2 Instance Connect
<a name="ec2-instance-connect-install"></a>

**Nota**  
Se hai avviato l’istanza utilizzando una delle seguenti AMI, EC2 Instance Connect è preinstallato e puoi saltare questa procedura:  
AL2023 AMI standard
Amazon Linux 2 2.0.20190618 o versioni successive
macOS Sonoma 14.2.1 o versioni successive
macOS Ventura 13.6.3 o versioni successive
macOS Monterey 12.7.2 o versioni successive
Ubuntu 20.04 o versioni successive

Segui una di queste procedure per installare EC2 Instance Connect, a seconda del sistema operativo dell’istanza.

------
#### [ Amazon Linux 2 ]

**Per installare EC2 Instance Connect su un’istanza avviata tramite Amazon Linux 2**

1. Connettiti all’istanza tramite SSH.

   Sostituisci i valori di esempio nel seguente comando con i tuoi. Utilizzare la coppia di chiavi SSH assegnata all’istanza al momento dell’avvio e il nome utente predefinito dell’AMI utilizzata per avviare l’istanza. Per Amazon Linux 2, il nome utente predefinito è `ec2-user`.

   ```
   $ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
   ```

   Per ulteriori informazioni sulla connessione all’istanza, consulta [Connessione all'istanza Linux tramite un client SSH](connect-linux-inst-ssh.md).

1. Installare il pacchetto EC2 Instance Connect sull’istanza.

   ```
   [ec2-user ~]$ sudo yum install ec2-instance-connect
   ```

   Verranno visualizzati tre nuovi script nella cartella `/opt/aws/bin/`:

   ```
   eic_curl_authorized_keys
   eic_parse_authorized_keys
   eic_run_authorized_keys
   ```

1. (Opzionale) Verificare che l’installazione di EC2 Instance Connect sull’istanza sia riuscita correttamente.

   ```
   [ec2-user ~]$ sudo less /etc/ssh/sshd_config
   ```

   EC2 Instance Connect è stato installato correttamente se le righe `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser` contengono i seguenti valori:

   ```
   AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
   AuthorizedKeysCommandUser ec2-instance-connect
   ```
   + `AuthorizedKeysCommand` imposta lo script `eic_run_authorized_keys` sulla ricerca delle chiavi nei metadati dell’istanza
   + `AuthorizedKeysCommandUser` imposta l’utente del sistema come `ec2-instance-connect`
**Nota**  
Se in precedenza hai configurato `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser`, l’installazione di EC2 Instance Connect non modificherà i valori e non potrai utilizzare EC2 Instance Connect.

------
#### [ CentOS ]

**Per installare EC2 Instance Connect su un’istanza avviata tramite CentOS**

1. Connettiti all’istanza tramite SSH.

   Sostituisci i valori di esempio nel seguente comando con i tuoi. Utilizzare la coppia di chiavi SSH assegnata all’istanza al momento dell’avvio e il nome utente predefinito dell’AMI utilizzata per avviare l’istanza. Per CentOS, il nome utente predefinito è `centos` o `ec2-user`.

   ```
   $ ssh -i my_ec2_private_key.pem centos@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
   ```

   Per ulteriori informazioni sulla connessione all’istanza, consulta [Connessione all'istanza Linux tramite un client SSH](connect-linux-inst-ssh.md).

1. Se si utilizza un proxy HTTP o HTTPS, è necessario impostare l’`http_proxy`o`https_proxy`nella sessione della shell corrente.

   Se non si utilizza un proxy, questa fase può essere ignorata.
   + Per un server proxy HTTP, eseguire i comandi seguenti:

     ```
     $ export http_proxy=http://hostname:port
     $ export https_proxy=http://hostname:port
     ```
   + Per un server proxy HTTPS, eseguire i comandi seguenti:

     ```
     $ export http_proxy=https://hostname:port
     $ export https_proxy=https://hostname:port
     ```

1. Installare il pacchetto EC2 Instance Connect sull’istanza eseguendo i seguenti comandi.

   I file di configurazione EC2 Instance Connect per CentOS sono forniti in un pacchetto Red Hat Package Manager (RPM), con diversi pacchetti RPM per CentOS 8 e CentOS 9 e per tipi di istanze Intel/AMD che funzionano su (x86\$164) o ARM (). AArch64

   Utilizza il blocco di comando per il tuo sistema operativo e la tua architettura della CPU.
   + CentOS 8

     Intel/AMD (x86\$164)

     ```
     [ec2-user ~]$ mkdir /tmp/ec2-instance-connect
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel8.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     [ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     ```

     ARM () AArch64

     ```
     [ec2-user ~]$ mkdir /tmp/ec2-instance-connect
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel8.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     [ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     ```
   + CentOS 9

     Intel/AMD (x86\$164)

     ```
     [ec2-user ~]$ mkdir /tmp/ec2-instance-connect
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel9.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     [ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     ```

     BRACCIO (AArch64)

     ```
     [ec2-user ~]$ mkdir /tmp/ec2-instance-connect
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel9.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     [ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     ```

   Verrà visualizzato il seguente nuovo script nella cartella `/opt/aws/bin/`:

   ```
   eic_run_authorized_keys
   ```

1. (Opzionale) Verificare che l’installazione di EC2 Instance Connect sull’istanza sia riuscita correttamente.
   + Per CentOS 8:

     ```
     [ec2-user ~]$ sudo less /lib/systemd/system/sshd.service.d/ec2-instance-connect.conf
     ```
   + Per CentOS 9:

     ```
     [ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
     ```

   EC2 Instance Connect è stato installato correttamente se le righe `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser` contengono i seguenti valori:

   ```
   AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
   AuthorizedKeysCommandUser ec2-instance-connect
   ```
   + `AuthorizedKeysCommand` imposta lo script `eic_run_authorized_keys` sulla ricerca delle chiavi nei metadati dell’istanza
   + `AuthorizedKeysCommandUser` imposta l’utente del sistema come `ec2-instance-connect`
**Nota**  
Se in precedenza hai configurato `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser`, l’installazione di EC2 Instance Connect non modificherà i valori e non potrai utilizzare EC2 Instance Connect.

------
#### [ macOS ]

**Per installare EC2 Instance Connect su un’istanza avviata tramite macOS**

1. Connettiti all’istanza tramite SSH.

   Sostituisci i valori di esempio nel seguente comando con i tuoi. Utilizzare la coppia di chiavi SSH assegnata all’istanza al momento dell’avvio e il nome utente predefinito dell’AMI utilizzata per avviare l’istanza. Per le istanze macOS, il nome utente predefinito è `ec2-user`.

   ```
   $ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
   ```

   Per ulteriori informazioni sulla connessione all’istanza, consulta [Connessione all'istanza Linux tramite un client SSH](connect-linux-inst-ssh.md).

1. Aggiornare Homebrew utilizzando il seguente comando. L’aggiornamento elencherà i software conosciuti da Homebrew. Il pacchetto EC2 Instance Connect è fornito tramite Homebrew per le istanze macOS. Per ulteriori informazioni, consulta [Aggiornamento del sistema operativo e il software per le istanze Mac di Amazon EC2](mac-instance-updates.md).

   ```
   [ec2-user ~]$ brew update
   ```

1. Installare il pacchetto EC2 Instance Connect sull’istanza. In questo modo il software verrà installato e configurato per essere utilizzato da sshd.

   ```
   [ec2-user ~]$ brew install ec2-instance-connect
   ```

   Verrà visualizzato il seguente nuovo script nella cartella `/opt/aws/bin/`:

   ```
   eic_run_authorized_keys
   ```

1. (Opzionale) Verificare che l’installazione di EC2 Instance Connect sull’istanza sia riuscita correttamente.

   ```
   [ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
   ```

   EC2 Instance Connect è stato installato correttamente se le righe `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser` contengono i seguenti valori:

   ```
   AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
   AuthorizedKeysCommandUser ec2-instance-connect
   ```
   + `AuthorizedKeysCommand` imposta lo script `eic_run_authorized_keys` sulla ricerca delle chiavi nei metadati dell’istanza
   + `AuthorizedKeysCommandUser` imposta l’utente del sistema come `ec2-instance-connect`
**Nota**  
Se in precedenza hai configurato `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser`, l’installazione di EC2 Instance Connect non modificherà i valori e non potrai utilizzare EC2 Instance Connect.

------
#### [ RHEL ]

**Per installare EC2 Instance Connect su un’istanza avviata tramite Red Hat Enterprise Linux (RHEL)**

1. Connettiti all’istanza tramite SSH.

   Sostituisci i valori di esempio nel seguente comando con i tuoi. Utilizzare la coppia di chiavi SSH assegnata all’istanza al momento dell’avvio e il nome utente predefinito dell’AMI utilizzata per avviare l’istanza. Per RHEL, il nome utente predefinito è `ec2-user` o `root`.

   ```
   $ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
   ```

   Per ulteriori informazioni sulla connessione all’istanza, consulta [Connessione all'istanza Linux tramite un client SSH](connect-linux-inst-ssh.md).

1. Se si utilizza un proxy HTTP o HTTPS, è necessario impostare l’`http_proxy`o`https_proxy`nella sessione della shell corrente.

   Se non si utilizza un proxy, questa fase può essere ignorata.
   + Per un server proxy HTTP, eseguire i comandi seguenti:

     ```
     $ export http_proxy=http://hostname:port
     $ export https_proxy=http://hostname:port
     ```
   + Per un server proxy HTTPS, eseguire i comandi seguenti:

     ```
     $ export http_proxy=https://hostname:port
     $ export https_proxy=https://hostname:port
     ```

1. Installare il pacchetto EC2 Instance Connect sull’istanza eseguendo i seguenti comandi. 

   I file di configurazione EC2 Instance Connect per RHEL sono forniti in un pacchetto Red Hat Package Manager (RPM), con diversi pacchetti RPM per RHEL 8 e RHEL 9 e per tipi di istanze che funzionano su Intel/AMD (x86\$164) o ARM (). AArch64

   Utilizza il blocco di comando per il tuo sistema operativo e la tua architettura della CPU.
   + RHEL 8

     Intel/AMD (x86\$164)

     ```
     [ec2-user ~]$ mkdir /tmp/ec2-instance-connect
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel8.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     [ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     ```

     ARM () AArch64

     ```
     [ec2-user ~]$ mkdir /tmp/ec2-instance-connect
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel8.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     [ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     ```
   + RHEL 9

     Intel/AMD (x86\$164)

     ```
     [ec2-user ~]$ mkdir /tmp/ec2-instance-connect
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-2.0.0-5.rhel9.x86_64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_amd64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     [ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     ```

     BRACCIO (AArch64)

     ```
     [ec2-user ~]$ mkdir /tmp/ec2-instance-connect
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-2.0.0-5.rhel9.aarch64.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect.rpm
     [ec2-user ~]$ curl https://amazon-ec2-instance-connect-us-west-2.s3.us-west-2.amazonaws.com/latest/linux_arm64/ec2-instance-connect-selinux-2.0.0-5.noarch.rpm -o /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     [ec2-user ~]$ sudo yum install -y /tmp/ec2-instance-connect/ec2-instance-connect.rpm /tmp/ec2-instance-connect/ec2-instance-connect-selinux.rpm
     ```

   Verrà visualizzato il seguente nuovo script nella cartella `/opt/aws/bin/`:

   ```
   eic_run_authorized_keys
   ```

1. (Opzionale) Verificare che l’installazione di EC2 Instance Connect sull’istanza sia riuscita correttamente.
   + Per RHEL 8:

     ```
     [ec2-user ~]$ sudo less /lib/systemd/system/sshd.service.d/ec2-instance-connect.conf
     ```
   + Per RHEL 9:

     ```
     [ec2-user ~]$ sudo less /etc/ssh/sshd_config.d/60-ec2-instance-connect.conf
     ```

   EC2 Instance Connect è stato installato correttamente se le righe `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser` contengono i seguenti valori:

   ```
   AuthorizedKeysCommand /opt/aws/bin/eic_run_authorized_keys %u %f
   AuthorizedKeysCommandUser ec2-instance-connect
   ```
   + `AuthorizedKeysCommand` imposta lo script `eic_run_authorized_keys` sulla ricerca delle chiavi nei metadati dell’istanza
   + `AuthorizedKeysCommandUser` imposta l’utente del sistema come `ec2-instance-connect`
**Nota**  
Se in precedenza hai configurato `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser`, l’installazione di EC2 Instance Connect non modificherà i valori e non potrai utilizzare EC2 Instance Connect.

------
#### [ Ubuntu ]

**Per installare EC2 Instance Connect su un’istanza avviata con Ubuntu 16.04 o versioni successive**

1. Connettiti all’istanza tramite SSH.

   Sostituisci i valori di esempio nel seguente comando con i tuoi. Utilizzare la coppia di chiavi SSH assegnata all’istanza al momento dell’avvio e il nome utente predefinito dell’AMI utilizzata per avviare l’istanza. Per un’AMI Ubuntu, il nome utente è `ubuntu`.

   ```
   $ ssh -i my_ec2_private_key.pem ubuntu@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
   ```

   Per ulteriori informazioni sulla connessione all’istanza, consulta [Connessione all'istanza Linux tramite un client SSH](connect-linux-inst-ssh.md).

1. (Opzionale) Verificare che l’istanza disponga dell’AMI Ubuntu più recente.

   Eseguire i seguenti comandi per aggiornare tutti i pacchetti dell’istanza.

   ```
   ubuntu:~$ sudo apt-get update
   ```

   ```
   ubuntu:~$ sudo apt-get upgrade
   ```

1. Installare il pacchetto EC2 Instance Connect sull’istanza.

   ```
   ubuntu:~$ sudo apt-get install ec2-instance-connect
   ```

   Verranno visualizzati tre nuovi script nella cartella `/usr/share/ec2-instance-connect/`:

   ```
   eic_curl_authorized_keys
   eic_parse_authorized_keys
   eic_run_authorized_keys
   ```

1. (Opzionale) Verificare che l’installazione di EC2 Instance Connect sull’istanza sia riuscita correttamente.

   ```
   ubuntu:~$ sudo less /lib/systemd/system/ssh.service.d/ec2-instance-connect.conf
   ```

   EC2 Instance Connect è stato installato correttamente se le righe `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser` contengono i seguenti valori:

   ```
   AuthorizedKeysCommand /usr/share/ec2-instance-connect/eic_run_authorized_keys %%u %%f
   AuthorizedKeysCommandUser ec2-instance-connect
   ```
   + `AuthorizedKeysCommand` imposta lo script `eic_run_authorized_keys` sulla ricerca delle chiavi nei metadati dell’istanza
   + `AuthorizedKeysCommandUser` imposta l’utente del sistema come `ec2-instance-connect`
**Nota**  
Se in precedenza hai configurato `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser`, l’installazione di EC2 Instance Connect non modificherà i valori e non potrai utilizzare EC2 Instance Connect.

------

# Connessione alla tua istanza Linux tramite EC2 Instance Connect
<a name="ec2-instance-connect-methods"></a>

Le seguenti istruzioni spiegano come connettersi alla propria istanza Linux utilizzando EC2 Instance Connect tramite la console Amazon EC2, AWS CLI il o un client SSH. 

Quando ti connetti a un'istanza utilizzando EC2 Instance Connect tramite la console oppure AWS CLI, l'API EC2 Instance Connect invia automaticamente una chiave pubblica SSH ai [metadati dell'istanza](ec2-instance-metadata.md) dove rimane per 60 secondi. Una policy IAM collegata al tuo utente autorizza questa operazione. Se preferisci utilizzare la tua chiave SSH, puoi utilizzare un client SSH e inviare esplicitamente la tua chiave SSH all’istanza utilizzando EC2 Instance Connect.

**Considerazioni**  
Dopo la connessione a un’istanza tramite EC2 Instance Connect, la connessione persiste fino al termine della sessione SSH. La durata di una connessione RDP non è determinata dalla durata delle credenziali IAM. Se le credenziali IAM scadono, la connessione continua a persistere. Quando utilizzi l’esperienza della console di EC2 Instance Connect, se le credenziali IAM scadono, termina la connessione chiudendo la pagina del browser. Quando utilizzi il tuo client SSH ed EC2 Instance Connect per inviare la tua chiave, puoi impostare un valore di timeout SSH per terminare automaticamente la sessione SSH.

**Requisiti**  
Prima di iniziare, assicurati di verificare i [prerequisiti](ec2-instance-connect-prerequisites.md).

**Topics**
+ [Connessione tramite la console Amazon EC2](#ec2-instance-connect-connecting-console)
+ [Connect utilizzando AWS CLI](#connect-linux-inst-eic-cli-ssh)
+ [Connessione tramite la propria chiave e un client SSH](#ec2-instance-connect-connecting-aws-cli)
+ [Risoluzione dei problemi](#ic-troubleshoot)

## Connessione tramite la console Amazon EC2
<a name="ec2-instance-connect-connecting-console"></a>

Puoi connetterti a un’istanza usando EC2 Instance Connect attraverso la console Amazon EC2.

**Requisiti**  
Per connettersi utilizzando la console Amazon EC2, l'istanza deve avere un indirizzo pubblico IPv4 o IPv6 un indirizzo. Se l'istanza ha solo un IPv4 indirizzo privato, puoi usare [AWS CLI ec2-instance-connect](#connect-linux-inst-eic-cli-ssh) per connetterti.

**Per connettersi a un’istanza Linux tramite la console Amazon EC2**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

1. Selezionare l’istanza, quindi scegliere **Collegarsi**.

1. Scegli la scheda **EC2 Instance Connect**.

1. Scegli **Connettiti usando un IP pubblico**.

1. Se c’è una scelta, seleziona l’indirizzo IP a cui connetterti. In caso contrario, l’indirizzo IP viene selezionato automaticamente.

1. Per **Nome utente**, verifica il nome utente.

1. Scegli **Connetti** per stabilire una connessione. Verrà aperta una finestra del terminale nel browser.

## Connect utilizzando AWS CLI
<a name="connect-linux-inst-eic-cli-ssh"></a>

Puoi usare [ec2-instance-connect AWS CLI per connetterti](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/index.html) alla tua istanza con un client SSH. EC2 Instance Connect tenta di stabilire una connessione utilizzando un indirizzo IP disponibile in un ordine predefinito, in base al tipo di connessione specificato. Se un indirizzo IP non è disponibile, prova automaticamente il successivo nell’ordine.Tipi di connessione

`auto` (predefinito)  
EC2 Instance Connect tenta di connettersi utilizzando gli indirizzi IP dell’istanza nel seguente ordine e con il tipo di connessione corrispondente:  

1. Pubblico: IPv4 `direct`

1. Privato IPv4: `eice`

1. IPv6: `direct`

`direct`  
EC2 Instance Connect tenta di connettersi utilizzando gli indirizzi IP dell’istanza nel seguente ordine:  

1. Pubblico IPv4

1. IPv6

1. IPv4 privato (non si connette tramite un endpoint EC2 Instance Connect)

`eice`  
EC2 Instance Connect tenta di connettersi utilizzando l' IPv4 indirizzo privato dell'istanza e un endpoint [EC2 Instance Connect](connect-with-ec2-instance-connect-endpoint.md).

**Nota**  
In futuro, potremmo modificare il comportamento del tipo di connessione `auto`. Per assicurarti che venga utilizzato il tipo di connessione desiderato, consigliamo di impostare esplicitamente il `--connection-type` su `direct` o `eice`.

**Requisiti**  
È necessario utilizzare AWS CLI la versione 2. Per ulteriori informazioni, consulta [Installazione o aggiornamento della versione più recente della AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

**Per la connessione un’istanza tramite l’ID istanza**  
Se conosci solo l’ID istanza e desideri che EC2 Instance Connect determini il tipo di connessione da utilizzare per connetterti all’istanza, utilizza il comando della CLI [ec2-instance-connect ssh](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html) e con l’ID dell’istanza.

```
aws ec2-instance-connect ssh --instance-id i-1234567890example
```

**Per la connessione all’istanza tramite l’ID istanza e un endpoint EC2 Instance Connect**  
Se desideri connetterti all’istanza tramite un [endpoint EC2 Instance Connect](connect-with-ec2-instance-connect-endpoint.md), utilizza il comando precedente e specifica anche il parametro `--connection-type` con il valore `eice`.

```
aws ec2-instance-connect ssh --instance-id i-1234567890example --connection-type eice
```

**Per la connessione a un’istanza utilizzando l’ID istanza e il proprio file di chiave privata**  
Se desideri connetterti alla tua istanza tramite un endpoint EC2 Instance Connect utilizzando la tua chiave privata, specifica l’ID istanza e il percorso del file della chiave privata. Non includerlo *file://* nel percorso; il seguente esempio fallirà:*file:///path/to/key*.

```
aws ec2-instance-connect ssh --instance-id i-1234567890example --private-key-file /path/to/key.pem
```

**Suggerimento**  
Se ricevi un errore durante l'utilizzo di questi comandi, assicurati di utilizzare la AWS CLI versione 2, perché il `ssh` comando è disponibile solo in questa versione principale. Ti consigliamo inoltre di eseguire regolarmente l’aggiornamento all’ultima versione secondaria della versione 2 della AWS CLI per accedere alle funzionalità più recenti. Per ulteriori informazioni, consulta [Informazioni sulla versione 2 della AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html#welcome-versions-v2) nella *Guida per l’utente di AWS Command Line Interface .*

## Connessione tramite la propria chiave e un client SSH
<a name="ec2-instance-connect-connecting-aws-cli"></a>

È possibile utilizzare la propria chiave SSH e connettersi all’istanza dal client SSH preferito durante l’utilizzo dell’API EC2 Instance Connect. In questo modo è possibile sfruttare la capacità di EC2 Instance Connect di inviare una chiave pubblica all’istanza. Questo metodo di connessione funziona per istanze con indirizzi IP pubblici e privati.

**Requisiti**
+ Requisiti delle coppie di chiavi
  + Tipi supportati: RSA ( SSH2OpenSSH e) e ED25519
  + Le lunghezze supportate sono 2048 e 4096.
  + Per ulteriori informazioni, consulta [Creazione di una coppia di chiavi tramite uno strumento di terza parte e importazione della chiave pubblica in Amazon EC2](create-key-pairs.md#how-to-generate-your-own-key-and-import-it-to-aws).
+ Quando ci si connette a un’istanza che dispone solo di indirizzi IP privati, il computer locale da cui si avvia la sessione SSH deve disporre di connettività all’endpoint del servizio EC2 Instance Connect (per inviare la chiave pubblica SSH nell’istanza) nonché della connettività di rete all’indirizzo IP privato dell’istanza per stabilire la sessione SSH. L'endpoint del servizio EC2 Instance Connect è raggiungibile via Internet o tramite un'interfaccia virtuale Direct Connect pubblica. Per connettersi all’indirizzo IP privato dell’istanza, è possibile utilizzare servizi come [Direct Connect](https://aws.amazon.com/directconnect/), [AWS Site-to-Site VPN](https://aws.amazon.com/vpn/) o il [peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html).

**Per connettersi all’istanza tramite la propria chiave e un client SSH**

1. 

**(Opzionale) Generazione di nuove chiavi SSH private e pubbliche**

   È possibile generare nuove chiavi SSH private e pubbliche, `my_key` e `my_key.pub`, utilizzando il comando seguente:

   ```
   ssh-keygen -t rsa -f my_key
   ```

1. 

**Invio della chiave pubblica SSH all’istanza**

   Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/send-ssh-public-key.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/send-ssh-public-key.html) per inviare la chiave pubblica SSH all’istanza. Se hai avviato l'istanza utilizzando AL2023 o Amazon Linux 2, il nome utente predefinito per l'AMI è`ec2-user`. Se l’istanza è stata avviata tramite Ubuntu, il nome utente predefinito dell’AMI è `ubuntu`.

   L’esempio seguente invia la chiave pubblica all’istanza specificata nella zona di disponibilità specificata, per autenticare `ec2-user`.

   ```
   aws ec2-instance-connect send-ssh-public-key \
       --region us-west-2 \
       --availability-zone us-west-2b \
       --instance-id i-001234a4bf70dec41EXAMPLE \
       --instance-os-user ec2-user \
       --ssh-public-key file://my_key.pub
   ```

1. 

**Connessione all’istanza tramite la chiave privata**

   Utilizzare il comando **ssh** per connettersi all’istanza tramite la chiave privata prima che la chiave pubblica venga rimossa dai metadati dell’istanza (si dispone di un intervallo di tempo di 60 secondi). Specificare la chiave privata che corrisponde alla chiave pubblica, il nome utente predefinito per l’AMI utilizzato per avviare l’istanza e il nome DNS pubblico dell’istanza (se la connessione avviene su una rete privata, specificare il nome DNS privato o l’indirizzo IP). Aggiungi l’opzione `IdentitiesOnly=yes` per garantire che solo i file nella configurazione ssh e la chiave specificata vengano utilizzati per la connessione. 

   ```
   ssh -o "IdentitiesOnly=yes" -i my_key ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com
   ```

   L’esempio seguente utilizza `timeout 3600` per impostare la sessione SSH in modo che termini dopo 1 ora. I processi avviati durante la sessione possono continuare a essere eseguiti sull’istanza dopo la terminazione della sessione.

   ```
   timeout 3600 ssh -o “IdentitiesOnly=yes” -i my_key ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com
   ```

## Risoluzione dei problemi
<a name="ic-troubleshoot"></a>

Se ricevi un errore mentre tenti di connetterti all’istanza, consulta l’argomento seguente:
+ [Risoluzione dei problemi di connessione all'istanza Linux di Amazon EC2](TroubleshootingInstancesConnecting.md)
+ [In che modo posso risolvere i problemi di connessione alla mia istanza EC2 utilizzando EC2 Instance Connect?](https://repost.aws/knowledge-center/ec2-instance-connect-troubleshooting)

# Disinstallazione di EC2 Instance Connect
<a name="ec2-instance-connect-uninstall"></a>

Per disabilitare EC2 Instance Connect, connettiti all’istanza Linux e disinstalla il pacchetto `ec2-instance-connect` installato sul sistema operativo. Se la configurazione di `sshd` corrisponde a quella impostata al momento dell’installazione di EC2 Instance Connect, la disinstallazione di `ec2-instance-connect` rimuove anche la configurazione di `sshd`. Se la configurazione di `sshd` è stata modificata dopo l’installazione di EC2 Instance Connect, è necessario eseguire manualmente l’aggiornamento.

------
#### [ Amazon Linux ]

Puoi disinstallare EC2 Instance Connect su AL2023 e Amazon Linux 2 versione 2.0.20190618 o successiva, dove EC2 Instance Connect è preconfigurata.

**Per disinstallare EC2 Instance Connect su un’istanza avviata tramite Amazon Linux**

1. Connettiti all’istanza tramite SSH. Specificate la coppia di chiavi SSH che avete usato per l'istanza al momento del lancio e il nome utente predefinito per l'AMI AL2023 o Amazon Linux 2, ovvero`ec2-user`.

   Ad esempio, il comando **ssh** seguente si connette all’istanza con il nome DNS pubblico `ec2-a-b-c-d.us-west-2.compute.amazonaws.com`, utilizzando la coppia di chiavi `my_ec2_private_key.pem`.

   ```
   $ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
   ```

1. Disinstallare il pacchetto `ec2-instance-connect` utilizzando il comando **yum**.

   ```
   [ec2-user ~]$ sudo yum remove ec2-instance-connect
   ```

------
#### [ Ubuntu ]

**Per disinstallare EC2 Instance Connect su un’istanza avviata con un’AMI Ubuntu**

1. Connettiti all’istanza tramite SSH. Specificare la coppia di chiavi SSH utilizzata per l’istanza all’avvio e il nome utente predefinito per l’AMI Ubuntu, ovvero `ubuntu`.

   Ad esempio, il comando **ssh** seguente si connette all’istanza con il nome DNS pubblico `ec2-a-b-c-d.us-west-2.compute.amazonaws.com`, utilizzando la coppia di chiavi `my_ec2_private_key.pem`.

   ```
   $ ssh -i my_ec2_private_key.pem ubuntu@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
   ```

1. Disinstallare il pacchetto `ec2-instance-connect` utilizzando il comando **apt-get**.

   ```
   ubuntu:~$ sudo apt-get remove ec2-instance-connect
   ```

------

# Connessione alle istanze usando un indirizzo IP privato e l’endpoint EC2 Instance Connect
<a name="connect-with-ec2-instance-connect-endpoint"></a>

EC2 Instance Connect Endpoint ti consente di connetterti in modo sicuro a un’istanza da Internet, senza utilizzare un host bastione o richiedere che il tuo cloud privato virtuale (VPC) disponga di una connettività Internet diretta.

**Vantaggi**
+ Puoi connetterti alle tue istanze senza richiedere che le istanze abbiano un pubblico IPv4 o IPv6 un indirizzo. AWS addebiti per tutti gli IPv4 indirizzi pubblici, inclusi gli IPv4 indirizzi pubblici associati alle istanze in esecuzione e gli indirizzi IP elastici. Per ulteriori informazioni, consulta la scheda ** IPv4 Indirizzo pubblico** nella pagina dei [prezzi di Amazon VPC](https://aws.amazon.com/vpc/pricing/).
+ Puoi connetterti alle tue istanze da Internet senza che il tuo VPC disponga di una connettività Internet diretta attraverso un [gateway Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
+ Puoi controllare l’accesso alla creazione e all’uso degli endpoint EC2 Instance Connect per connetterti a istanze usando [policy IAM e autorizzazioni](permissions-for-ec2-instance-connect-endpoint.md).
+ Tutti i tentativi di connessione alle istanze, riusciti o meno, vengono registrati in. [CloudTrail](log-ec2-instance-connect-endpoint-using-cloudtrail.md)

**Prezzi**  
Non sono previsti costi aggiuntivi per l’utilizzo di endpoint EC2 Instance Connect. Se utilizzi un endpoint EC2 Instance Connect per connetterti a un’istanza in una zona di disponibilità diversa, è previsto un [costo aggiuntivo per il trasferimento dei dati](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer_within_the_same_AWS_Region) tra zone di disponibilità.

**Topics**
+ [Come funziona](#how-eice-works)
+ [Considerazioni](#ec2-instance-connect-endpoint-prerequisites)
+ [Permissions](permissions-for-ec2-instance-connect-endpoint.md)
+ [Gruppi di sicurezza](eice-security-groups.md)
+ [Creazione di un endpoint EC2 Instance Connect](create-ec2-instance-connect-endpoints.md)
+ [Modifica un endpoint EC2 Instance Connect](modify-ec2-instance-connect-endpoint.md)
+ [Elimina un endpoint EC2 Instance Connect](delete-ec2-instance-connect-endpoint.md)
+ [Connessione a un’istanza](connect-using-eice.md)
+ [Connessioni di log](log-ec2-instance-connect-endpoint-using-cloudtrail.md)
+ [Ruolo collegato al servizio](eice-slr.md)
+ [Quote](eice-quotas.md)

## Come funziona
<a name="how-eice-works"></a>

L’endpoint EC2 Instance Connect è un proxy TCP con riconoscimento dell’identità. Il servizio dell’endpoint EC2 Instance Connect stabilisce un tunnel privato dal computer all’endpoint utilizzando le credenziali per l’entità IAM. Il traffico viene autenticato e autorizzato prima di raggiungere il tuo VPC.

Puoi [configurare regole aggiuntive per il gruppo di sicurezza](eice-security-groups.md) per limitare il traffico in entrata sulle tue istanze. Ad esempio, puoi utilizzare le regole in entrata per consentire solo il traffico sulle porte di gestione dall’endpoint EC2 Instance Connect.

Puoi configurare le regole della tabella di routing per consentire all’endpoint di connettersi a qualsiasi istanza in qualsiasi sottorete del VPC.

Il seguente diagramma mostra come un utente può connettersi alle proprie istanze da Internet utilizzando un endpoint EC2 Instance Connect. Innanzitutto, crea un **endpoint EC2 Instance Connect** nella sottorete A. Creiamo un’interfaccia di rete per l’endpoint nella sottorete, che funge da punto di ingresso per il traffico destinato alle tue istanze nel VPC. Se la tabella di routing per la sottorete B consente il traffico dalla sottorete A, puoi utilizzare l’endpoint per raggiungere le istanze nella sottorete B.

![\[Panoramica del flusso dell’endpoint EC2 Instance Connect.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ec2-instance-connect-endpoint.png)


## Considerazioni
<a name="ec2-instance-connect-endpoint-prerequisites"></a>

Prima di iniziare, prendi in considerazioni le seguenti informazioni.
+ L’endpoint EC2 Instance Connect è stato progettato specificamente per i casi d’uso del traffico di gestione e non per i trasferimenti di dati ad alto volume. I trasferimenti di grandi volumi di dati sono limitati.
+ Puoi creare un endpoint EC2 Instance Connect per supportare il traffico verso un'istanza che ha un IPv4 indirizzo o IPv6 un indirizzo privato. Il tipo di indirizzo IP dell’endpoint deve corrispondere all’indirizzo IP dell’istanza. Puoi creare un endpoint che supporta tutti i tipi di indirizzi IP.
+ (Istanze Linux) Se usi la tua coppia di chiavi, puoi usare qualsiasi AMI Linux. In caso contrario, sull’istanza deve essere installato EC2 Instance Connect. Per informazioni su quali AMI includono EC2 Instance Connect e su come installarlo su altre AMI supportate AMIs, consulta. [Installazione di EC2 Instance Connect](ec2-instance-connect-set-up.md)
+ Puoi assegnare un gruppo di sicurezza a un endpoint EC2 Instance Connect. In caso contrario, utilizziamo il gruppo di sicurezza predefinito per il VPC. Il gruppo di sicurezza per un endpoint EC2 Instance Connect deve consentire il traffico in uscita verso le istanze di destinazione. Per ulteriori informazioni, consulta [Gruppi di sicurezza per l’endpoint EC2 Instance Connect](eice-security-groups.md).
+ Puoi configurare un endpoint EC2 Instance Connect per preservare gli indirizzi IP di origine dei client durante il routing delle richieste verso le istanze. In caso contrario, l’indirizzo IP dell’interfaccia di rete diventa l’indirizzo IP client per tutto il traffico in entrata.
  + Se si attiva la conservazione degli IP dei client, i gruppi di sicurezza per le istanze devono consentire il traffico proveniente dai client. Inoltre, le istanze devono essere nello stesso VPC dell’endpoint EC2 Instance Connect.
  + Se si disattiva la conservazione degli IP dei client, i gruppi di sicurezza per le istanze devono consentire il traffico proveniente dal PVC. Questa è l’impostazione predefinita.
  + La conservazione dell’IP del client è supportata soltanto sugli endpoint EC2 Instance Connect di IPv4. Per utilizzare la conservazione dell'IP del client, il tipo di indirizzo IP dell'endpoint EC2 Instance Connect deve essere. IPv4 La conservazione dell'IP del client non è supportata quando il tipo di indirizzo IP è dual-stack o. IPv6
  + I seguenti tipi di istanza non supportano la conservazione dell’IP client: C1, CG1, CG2, G1, HI1, M1, M2, M3 e T1. Se attivi la conservazione dell’IP del client e tenti di connetterti a un’istanza con uno di questi tipi di istanza utilizzando l’endpoint EC2 Instance Connect, la connessione avrà esito negativo.
  + La conservazione dell’IP client non è supportata quando il traffico viene indirizzato attraverso un gateway di transito.
+ Quando crei un endpoint EC2 Instance Connect, viene creato automaticamente un ruolo collegato al servizio Amazon EC2 in (IAM). AWS Identity and Access Management Amazon EC2 utilizza il ruolo collegato ai servizi per fornire interfacce di rete nell’account, necessarie per creare endpoint EC2 Instance Connect. Per ulteriori informazioni, consulta [Ruolo collegato ai servizi per l’endpoint EC2 Instance Connect](eice-slr.md).
+ Puoi creare solo 1 endpoint EC2 Instance Connect per VPC e per sottorete. Per ulteriori informazioni, consulta [Quote per endpoint EC2 Instance Connect](eice-quotas.md). Se devi creare un altro endpoint EC2 Instance Connect in una zona di disponibilità diversa all’interno dello stesso VPC, devi prima eliminare l’endpoint EC2 Instance Connect esistente. In caso contrario, riceverai un errore di quota.
+ Ogni endpoint EC2 Instance Connect può supportare fino a 20 connessioni simultanee.
+ La durata massima per una connessione TCP stabilita e 1 ora (3.600 secondi). Puoi specificare la durata massima consentita in una policy IAM, che può essere fino a 3.600 secondi. Per ulteriori informazioni, consulta [Autorizzazioni per utilizzare l’endpoint EC2 Instance Connect per connettersi alle istanze](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel). 

  La durata di una connessione RDP non è determinata dalla durata delle credenziali IAM. Se le credenziali IAM scadono, la connessione continua a persistere fino al raggiungimento della durata massima specificata. Quando ti connetti a un’istanza utilizzando l’esperienza della console dell’endpoint EC2 Instance Connect, imposta la **Durata massima del tunnel (secondi)** su un valore inferiore alla durata delle tue credenziali IAM. Se le tue credenziali IAM scadono presto, termina la connessione all’istanza chiudendo la pagina del browser.

# Concessione delle autorizzazioni per utilizzare l’endpoint EC2 Instance Connect
<a name="permissions-for-ec2-instance-connect-endpoint"></a>

Per impostazione predefinita, le entità IAM non dispongono dell’autorizzazione per creare, descrivere o modificare gli endpoint EC2 Instance Connect. Un amministratore IAM può creare policy IAM che concedono le autorizzazioni richieste per svolgere operazioni specifiche sulle risorse necessarie.

Per informazioni sulla creazione di una policy IAM, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.

Le seguenti policy di esempio mostrano come puoi controllare le autorizzazioni disponibili per gli utenti per gli endpoint EC2 Instance Connect.

**Topics**
+ [Autorizzazioni per creare, descrivere, modificare ed eliminare gli endpoint EC2 Instance Connect](#iam-CreateInstanceConnectEndpoint)
+ [Autorizzazioni per utilizzare l’endpoint EC2 Instance Connect per connettersi alle istanze](#iam-OpenTunnel)
+ [Autorizzazioni per connettersi solo da un intervallo di indirizzi IP specifici](#iam-sourceip)

## Autorizzazioni per creare, descrivere, modificare ed eliminare gli endpoint EC2 Instance Connect
<a name="iam-CreateInstanceConnectEndpoint"></a>

Per creare e modificare un endpoint EC2 Instance Connect, gli utenti hanno bisogno delle autorizzazioni per le seguenti operazioni:
+ `ec2:CreateInstanceConnectEndpoint`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateTags`
+ `ec2:ModifyInstanceConnectEndpoint`
+ `iam:CreateServiceLinkedRole`

Per descrivere ed eliminare gli endpoint EC2 Instance Connect, gli utenti hanno bisogno delle autorizzazioni per le seguenti operazioni:
+ `ec2:DescribeInstanceConnectEndpoints` 
+ `ec2:DeleteInstanceConnectEndpoint`

Puoi creare una policy che concede le autorizzazioni per creare, descrivere, modificare ed eliminare gli endpoint EC2 Instance Connect in tutte le sottoreti. In alternativa, puoi limitare le azioni per specifiche sottoreti solo specificando la sottorete ARNs come consentita o utilizzando la chiave di condizione. `Resource` `ec2:SubnetID` Puoi anche utilizzare la chiave di condizione `aws:ResourceTag` per consentire o negare esplicitamente la creazione di endpoint con determinati tag. Per ulteriori informazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.

**Policy IAM di esempio**

Nel seguente esempio di policy IAM, la sezione `Resource` concede l’autorizzazione per creare, modificare ed eliminare gli endpoint in tutte le sottoreti, specificati dall’asterisco (`*`). Le operazioni API `ec2:Describe*` non supportano le autorizzazioni a livello di risorsa. Il carattere jolly `*` è quindi necessario nell’elemento `Resource`.

## Autorizzazioni per utilizzare l’endpoint EC2 Instance Connect per connettersi alle istanze
<a name="iam-OpenTunnel"></a>

L’operazione `ec2-instance-connect:OpenTunnel` concede l’autorizzazione per stabilire una connessione TCP a un’istanza da connettere tramite l’endpoint EC2 Instance Connect. Puoi specificare l’endpoint EC2 Instance Connect da utilizzare. In alternativa, una `Resource` con un asterisco (`*`) consente agli utenti di utilizzare qualsiasi endpoint EC2 Instance Connect disponibile. È inoltre possibile limitare l’accesso alle istanze in base alla presenza o all’assenza di tag risorsa come chiavi di condizione.

**Condizioni**
+ `ec2-instance-connect:remotePort` – La porta sull’istanza che può essere utilizzata per stabilire una connessione TCP. Quando viene utilizzata questa chiave di condizione, il tentativo di connessione a un’istanza su una porta diversa da quella specificata nella policy genera un errore.
+ `ec2-instance-connect:privateIpAddress` – L’indirizzo IP privato di destinazione associato all’istanza con cui desideri stabilire una connessione TCP. È possibile specificare un singolo indirizzo IP, ad esempio`10.0.0.1/32`, o un intervallo di IPs passaggi CIDRs, ad esempio. `10.0.1.0/28` Quando viene utilizzata questa chiave di condizione, il tentativo di connessione a un’istanza con un indirizzo IP privato diverso o al di fuori dell’intervallo CIDR genera un errore. 
+ `ec2-instance-connect:maxTunnelDuration` – La durata massima per una connessione TCP stabilita. L’unità è in secondi e la durata varia da un minimo di 1 secondo a un massimo di 3.600 secondi (1 ora). Se la condizione non è specificata, la durata predefinita è impostata su 3.600 secondi (1 ora). Il tentativo di connessione a un’istanza per un periodo superiore alla durata specificata nella policy IAM o per un periodo superiore al valore massimo predefinito genera un errore. La connessione viene interrotta dopo la durata specificata.

  Se `maxTunnelDuration` è specificato nella policy IAM e il valore indicato è inferiore a 3.600 secondi (impostazione predefinita), devi specificare `--max-tunnel-duration` nel comando quando ti connetti a un’istanza. Per informazioni su come connettersi a un’istanza, consulta [Connessione a un’istanza Amazon EC2 tramite l’endpoint EC2 Instance Connect](connect-using-eice.md).

Puoi anche concedere l’accesso a un utente per stabilire connessioni alle istanze in base alla presenza di tag delle risorse sull’endpoint EC2 Instance Connect. Per ulteriori informazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.

Per le istanze Linux, l’operazione `ec2-instance-connect:SendSSHPublicKey` concede l’autorizzazione per inviare la chiave pubblica a un’istanza. La condizione `ec2:osuser` specifica il nome dell’utente del sistema operativo (SO) che può inviare la chiave pubblica a un’istanza. Utilizza il [nome utente predefinito per l’AMI](connection-prereqs-general.md#connection-prereqs-get-info-about-instance) che è stata utilizzata per avviare l’istanza. Per ulteriori informazioni, consulta [Concessione di un’autorizzazione IAM per EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).

**Policy IAM di esempio**

Le seguenti policy IAM di esempio consentono a un principale IAM di connettersi a un’istanza utilizzando solo l’endpoint EC2 Instance Connect, identificato dall’ID endpoint `eice-123456789abcdef` specificato. La connessione viene stabilita con successo solo se tutte le condizioni sono soddisfatte.

**Nota**  
Le operazioni API `ec2:Describe*` non supportano le autorizzazioni a livello di risorsa. Il carattere jolly `*` è quindi necessario nell’elemento `Resource`.

------
#### [ Linux ]

Questo esempio valuta se la connessione all’istanza è stabilita sulla porta 22 (SSH), se l’indirizzo IP privato dell’istanza è compreso nell’intervallo di `10.0.1.0/31` (tra `10.0.1.0` e `10.0.1.1`) e `maxTunnelDuration` è minore o uguale a `3600` secondi. La connessione viene interrotta dopo `3600` secondi (1 ora).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "EC2InstanceConnect",
            "Action": "ec2-instance-connect:OpenTunnel",
            "Effect": "Allow",
            "Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
            "Condition": {
                "NumericEquals": {
                    "ec2-instance-connect:remotePort": "22"
                },
                "IpAddress": {
                    "ec2-instance-connect:privateIpAddress": "10.0.1.0/31"
                },
                "NumericLessThanEquals": {
                    "ec2-instance-connect:maxTunnelDuration": "3600"
                }
            }
        },
        {
            "Sid": "SSHPublicKey",
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:osuser": "ami-username"
                }
            }
        },
        {
            "Sid": "Describe",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceConnectEndpoints"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

------
#### [ Windows ]

Questo esempio valuta se la connessione all’istanza è stabilita sulla porta 3389 (RDP), se l’indirizzo IP privato dell’istanza è compreso nell’intervallo di `10.0.1.0/31` (tra `10.0.1.0` e `10.0.1.1`) e `maxTunnelDuration` è minore o uguale a `3600` secondi. La connessione viene interrotta dopo `3600` secondi (1 ora).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "EC2InstanceConnect",
            "Action": "ec2-instance-connect:OpenTunnel",
            "Effect": "Allow",
            "Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
            "Condition": {
                "NumericEquals": {
                    "ec2-instance-connect:remotePort": "3389"
                },
                "IpAddress": {
                    "ec2-instance-connect:privateIpAddress": "10.0.1.0/31"
                },
                "NumericLessThanEquals": {
                    "ec2-instance-connect:maxTunnelDuration": "3600"
                }
            }
        },
        {
            "Sid": "Describe",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceConnectEndpoints"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

------

## Autorizzazioni per connettersi solo da un intervallo di indirizzi IP specifici
<a name="iam-sourceip"></a>

L’esempio seguente di policy IAM consente a un principale IAM di connettersi a un’istanza a condizione che si connetta da un indirizzo IP all’interno dell’intervallo di indirizzi IP specificato nella policy. Se il principale IAM chiama `OpenTunnel` da un indirizzo IP che non rientra in `192.0.2.0/24` (l’intervallo di indirizzi IP di esempio in questa policy), la risposta è `Access Denied`. Per ulteriori informazioni, consulta la sezione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) nella *Guida per l’utente di IAM*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:OpenTunnel",
            "Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "192.0.2.0/24"
                },
                "NumericEquals": {
                    "ec2-instance-connect:remotePort": "22"
                }
            }
        },
        {
            "Sid": "SSHPublicKey",
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:osuser": "ami-username"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceConnectEndpoints"
            ],
            "Resource": "*"
        }
    ]
}
```

------

# Gruppi di sicurezza per l’endpoint EC2 Instance Connect
<a name="eice-security-groups"></a>

Un gruppo di sicurezza controlla il traffico consentito per raggiungere e lasciare le risorse a cui è associato. Ad esempio, neghiamo il traffico da e verso un’istanza Amazon EC2 a meno che non sia specificamente consentito dai gruppi di sicurezza associati all’istanza.

Gli esempi seguenti mostrano come configurare le regole dei gruppi di sicurezza per l’endpoint EC2 Instance Connect e le istanze di destinazione.

**Topics**
+ [Regole del gruppo di sicurezza per l’endpoint EC2 Instance Connect](#eice-security-group-rules)
+ [Regole del gruppo di sicurezza dell’istanza di destinazione](#resource-security-group-rules)

## Regole del gruppo di sicurezza per l’endpoint EC2 Instance Connect
<a name="eice-security-group-rules"></a>

Le regole del gruppo di sicurezza per un endpoint EC2 Instance Connect devono consentire il traffico in uscita destinato alle istanze di destinazione per lasciare l’endpoint. È possibile specificare il gruppo di sicurezza dell'istanza IPv4 o l'intervallo di IPv6 indirizzi del VPC come destinazione.

Il traffico verso l’endpoint si origina dal servizio dell’endpoint EC2 Instance Connect ed è consentito indipendentemente dalle regole in entrata per il gruppo di sicurezza degli endpoint. Per controllare chi può utilizzare un endpoint EC2 Instance Connect per connettersi a un’istanza, utilizza una policy IAM. Per ulteriori informazioni, consulta [Autorizzazioni per utilizzare l’endpoint EC2 Instance Connect per connettersi alle istanze](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).

**Regola in uscita di esempio: Riferimenti dei gruppi di sicurezza**  
L’esempio seguente utilizza i riferimenti dei gruppi di sicurezza, il che significa che la destinazione è un gruppo di sicurezza associato alle istanze di destinazione. Questa regola consente il traffico in uscita dall’endpoint verso tutte le istanze che utilizzano questo gruppo di sicurezza.


| Protocollo | Destinazione | Intervallo porte | Comment | 
| --- | --- | --- | --- | 
| TCP | ID of instance security group | 22 | Consente il traffico SSH in uscita verso tutte le istanze associate al gruppo di sicurezza dell’istanza | 

**Esempio di regola in uscita: IPv4 intervallo di indirizzi**  
L'esempio seguente consente il traffico in uscita verso l'intervallo di IPv4 indirizzi specificato. Gli IPv4 indirizzi di un'istanza vengono assegnati dalla relativa sottorete, quindi è possibile utilizzare l'intervallo di IPv4 indirizzi del VPC.


| Protocollo | Destinazione | Intervallo porte | Comment | 
| --- | --- | --- | --- | 
| TCP | VPC IPv4 CIDR | 22 | Consente il traffico SSH in uscita verso il VPC | 

**Esempio di regola in uscita: intervallo di indirizzi IPv6**  
L'esempio seguente consente il traffico in uscita verso l'intervallo di IPv6 indirizzi specificato. Gli IPv6 indirizzi di un'istanza vengono assegnati dalla relativa sottorete, quindi è possibile utilizzare l'intervallo di IPv6 indirizzi del VPC.


| Protocollo | Destinazione | Intervallo porte | Comment | 
| --- | --- | --- | --- | 
| TCP | VPC IPv6 CIDR | 22 | Consente il traffico SSH in uscita verso il VPC | 

## Regole del gruppo di sicurezza dell’istanza di destinazione
<a name="resource-security-group-rules"></a>

Le regole del gruppo di sicurezza per le istanze di destinazione devono consentire il traffico in entrata dall’endpoint EC2 Instance Connect. È possibile specificare il gruppo di sicurezza dell'endpoint o un intervallo di IPv6 indirizzi IPv4 o come origine. Se si specifica un intervallo di IPv4 indirizzi, l'origine dipende dal fatto che la conservazione dell'IP del client sia attivata o disattivata. Per ulteriori informazioni, consulta [Considerazioni](connect-with-ec2-instance-connect-endpoint.md#ec2-instance-connect-endpoint-prerequisites).

Poiché i gruppi di sicurezza sono stateful, il traffico di risposta può lasciare il VPC indipendentemente dalle regole in uscita per il gruppo di sicurezza dell’istanza.

**Regola in entrata di esempio: Riferimenti dei gruppi di sicurezza**  
L’esempio seguente utilizza i riferimenti dei gruppi di sicurezza, il che significa che l’origine è il gruppo di sicurezza associato all’endpoint. Questa regola consente il traffico SSH in entrata dall’endpoint verso tutte le istanze che utilizzano questo gruppo di sicurezza, indipendentemente dal fatto che la conservazione dell’IP del client sia attivata o disattivata. Se non vi sono altre regole del gruppo di sicurezza in entrata per SSH, le istanze accettano il traffico SSH solo dall’endpoint.


| Protocollo | Origine | Intervallo porte | Comment | 
| --- | --- | --- | --- | 
| TCP | ID of endpoint security group | 22 | Consente il traffico SSH in entrata dalle risorse associate al gruppo di sicurezza dell’endpoint | 

**Regola in entrata di esempio: conservazione dell’IP del client disattivata**  
L'esempio seguente consente il traffico SSH in entrata dall'intervallo di IPv4 indirizzi specificato. Poiché la conservazione dell'IP del client è disattivata, l' IPv4 indirizzo di origine è l'indirizzo dell'interfaccia di rete dell'endpoint. L'indirizzo dell'interfaccia di rete dell'endpoint viene assegnato dalla relativa sottorete, quindi è possibile utilizzare l'intervallo di IPv4 indirizzi del VPC per consentire le connessioni a tutte le istanze del VPC.


| Protocollo | Origine | Intervallo porte | Comment | 
| --- | --- | --- | --- | 
| TCP | VPC IPv4 CIDR | 22 | Consente il traffico SSH in entrata dal VPC. | 

**Regola in entrata di esempio: conservazione dell’IP del client attivata**  
L'esempio seguente consente il traffico SSH in entrata dall'intervallo di indirizzi specificato. IPv4 Poiché la conservazione dell'IP del client è attiva, l' IPv4 indirizzo di origine è l'indirizzo del client.


| Protocollo | Origine | Intervallo porte | Comment | 
| --- | --- | --- | --- | 
| TCP | Public IPv4 address range | 22 | Consente il traffico in entrata dall'intervallo di IPv4 indirizzi del client specificato | 

# Creazione di un endpoint EC2 Instance Connect
<a name="create-ec2-instance-connect-endpoints"></a>

Puoi creare un endpoint EC2 Instance Connect per consentire una connessione sicura alle tue istanze.

**Considerazioni**
+ **Sottoreti condivise**: puoi creare un endpoint EC2 Instance Connect in una sottorete condivisa con te. Tuttavia, non puoi usare endpoint EC2 Instance Connect creati dal proprietario del VPC in una sottorete condivisa con te.
+ **Tipi di indirizzi IP**: gli endpoint EC2 Instance Connect supportano i seguenti tipi di indirizzi, che devono essere compatibili con la sottorete:
  + `ipv4`— Connect solo a istanze EC2 con indirizzi privati IPv4 .
  + `dualstack`— Connect alle istanze EC2 con IPv4 indirizzi o IPv6 indirizzi privati.
  + `ipv6`— Connect solo a istanze EC2 con IPv6 indirizzi.

**Prerequisiti**  
Devi disporre delle autorizzazioni IAM necessarie per creare un endpoint EC2 Instance Connect. Per ulteriori informazioni, consulta [Autorizzazioni per creare, descrivere, modificare ed eliminare gli endpoint EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).

------
#### [ Console ]

**Come creare un endpoint EC2 Instance Connect**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli **Endpoints** (Endpoint).

1. Scegli **Crea endpoint**, poi specifica le impostazioni dell’endpoint come indicato di seguito:

   1. (Facoltativo) in **Tag nome**, inserisci un nome per l’endpoint.

   1. Per **Tipo**, scegli **Endpoint EC2 Instance Connect**.

   1. In **Impostazioni di rete**, per **VPC**, scegli il VPC che ha le istanze di destinazione.

   1. (Facoltativo) Per conservare gli indirizzi IP dei client, espandi **Impostazioni aggiuntive** e seleziona la casella di spunta **Conserva IP del client**. In caso contrario, l’impostazione predefinita prevede l’utilizzo dell’interfaccia di rete dell’endpoint come indirizzo IP del client.
**Nota**  
Questa opzione è disponibile solo quando il tipo di indirizzo IP dell'endpoint è configurato come. IPv4

   1. (Facoltativo) in **Gruppi di sicurezza**, scegli il gruppo di sicurezza da associare all’endpoint. In caso contrario, l’impostazione predefinita prevede l’utilizzo del gruppo di sicurezza predefinito per il VPC. Per ulteriori informazioni, consulta [Gruppi di sicurezza per l’endpoint EC2 Instance Connect](eice-security-groups.md).

   1. In **Sottorete**, seleziona la sottorete in cui creare l’endpoint.

   1. Per **Tipo di indirizzo IP**, scegli il tipo di indirizzo IP per l’endpoint. Scegli **Dualstack** se devi supportare entrambe le istanze IPv4 e le IPv6 connessioni alle tue istanze. Scegli **IPv4**se devi supportare la conservazione degli IP dei client.

   1. (Facoltativo) Per aggiungere un tag, scegliere **Add new tag (Aggiungi nuovo tag)** e immettere la chiave e il valore del tag.

1. Esaminare le impostazioni e quindi scegliere **Crea endpoint**.

   Lo stato iniziale dell’endpoint è **In sospeso**. Prima di connetterti a un’istanza utilizzando questo endpoint, devi attendere che lo stato dell’endpoint sia **Disponibile**. Ciò può richiedere alcuni minuti.

1. Per connetterti a un’istanza tramite il tuo endpoint, consulta [Connessione a un’istanza](connect-using-eice.md).

------
#### [ AWS CLI ]

**Come creare un endpoint EC2 Instance Connect**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/create-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-instance-connect-endpoint.html).

```
aws ec2 create-instance-connect-endpoint \
    --subnet-id subnet-0123456789example
```

Per specificare il tipo di traffico supportato dall’endpoint, includi il parametro `--ip-address-type`. I valori validi sono `ipv4`, `dualstack` o `ipv6`. La sottorete deve supportare il tipo di indirizzo IP specificato. Quando il parametro `--ip-address-type` viene omesso, il valore predefinito è determinato dal tipo di indirizzo IP supportato dalla sottorete.

```
aws ec2 create-instance-connect-endpoint \
    --subnet-id subnet-0123456789example \
    --ip-address-type ipv4
```

Di seguito è riportato un output di esempio.

```
{
        "OwnerId": "111111111111",
        "InstanceConnectEndpointId": "eice-0123456789example",
        "InstanceConnectEndpointArn": "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example",
        "State": "create-complete",
        "StateMessage": "",
        "DnsName": "eice-0123456789example.0123abcd.ec2-instance-connect-endpoint.us-east-1.amazonaws.com",
        "FipsDnsName": "eice-0123456789example.0123abcd.fips.ec2-instance-connect-endpoint.us-east-1.amazonaws.com",
        "NetworkInterfaceIds": [
            "eni-0123abcd"
        ],
        "VpcId": "vpc-0123abcd",
        "AvailabilityZone": "us-east-1a",
        "AvailabilityZoneId": "use1-az4",
        "CreatedAt": "2023-04-07T15:43:53.000Z",
        "SubnetId": "subnet-0123abcd",
        "PreserveClientIp": false,
        "SecurityGroupIds": [
            "sg-0123abcd"
        ],
        "Tags": [],
        "IpAddressType": "ipv4"
}
```

**Per monitorare lo stato della creazione**  
Il valore iniziale per il campo `State` è `create-in-progress`. Prima di connetterti a un’istanza utilizzando questo endpoint, devi attendere che lo stato sia `create-complete`. Usa il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html) per monitorare lo stato dell’endpoint EC2 Instance Connect. Il parametro `--query` filtra i risultati nel campo `State`.

```
aws ec2 describe-instance-connect-endpoints --instance-connect-endpoint-ids eice-0123456789example --query InstanceConnectEndpoints[*].State --output text
```

Di seguito è riportato un output di esempio.

```
create-complete
```

------
#### [ PowerShell ]

**Per creare l’endpoint EC2 Instance Connect**  
Utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2InstanceConnectEndpoint.html).

```
New-EC2InstanceConnectEndpoint -SubnetId subnet-0123456789example
```

Per specificare il tipo di traffico supportato dall’endpoint, includi il parametro `-IpAddressType`. I valori validi sono `ipv4`, `dualstack` o `ipv6`. La sottorete deve supportare il tipo di indirizzo IP specificato. Quando il parametro `-IpAddressType` viene omesso, il valore predefinito è determinato dal tipo di indirizzo IP supportato dalla sottorete.

```
New-EC2InstanceConnectEndpoint -SubnetId subnet-0123456789example -IpAddressType ipv4
```

Di seguito è riportato un output di esempio.

```
OwnerId                     : 111111111111
InstanceConnectEndpointId   : eice-0123456789example
InstanceConnectEndpointArn  : arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example
State                       : create-complete
StateMessage                : 
DnsName                     : eice-0123456789example.0123abcd.ec2-instance-connect-endpoint.us-east-1.amazonaws.com
FipsDnsName                 : eice-0123456789example.0123abcd.fips.ec2-instance-connect-endpoint.us-east-1.amazonaws.com
NetworkInterfaceIds         : {eni-0123abcd}
VpcId                       : vpc-0123abcd
AvailabilityZone            : us-east-1a
AvailabilityZoneId          : use1-az4
CreatedAt                   : 4/7/2023 3:43:53 PM
SubnetId                    : subnet-0123abcd
PreserveClientIp            : False
SecurityGroupIds            : {sg-0123abcd}
Tags                        : {}
IpAddressType               : ipv4
```

**Per monitorare lo stato della creazione**  
Il valore iniziale per il campo `State` è `create-in-progress`. Prima di connetterti a un’istanza utilizzando questo endpoint, devi attendere che lo stato sia `create-complete`. Utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html) per monitorare lo stato dell’endpoint EC2 Instance Connect. `.State.Value` filtra i risultati nel campo `State`.

```
(Get-EC2InstanceConnectEndpoint -InstanceConnectEndpointId "eice-0123456789example").State.Value
```

Di seguito è riportato un output di esempio.

```
create-complete
```

------

# Modifica un endpoint EC2 Instance Connect
<a name="modify-ec2-instance-connect-endpoint"></a>

Puoi modificare gli endpoint EC2 Instance Connect esistenti utilizzando AWS CLI o un SDK. La console Amazon EC2 non supporta la modifica degli endpoint.

Prima di iniziare, devi disporre delle autorizzazioni IAM richieste. Per ulteriori informazioni, consulta [Autorizzazioni per creare, descrivere, modificare ed eliminare gli endpoint EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).

## Parametri che puoi modificare
<a name="eice-modify-parameters"></a>

Puoi modificare i parametri dell’endpoint EC2 Instance Connect:

**Gruppi di sicurezza**  
Puoi specificare nuovi gruppi di sicurezza per l’endpoint EC2 Instance Connect. I nuovi gruppi di sicurezza sostituiscono i gruppi di sicurezza attuali.  
Quando si modificano i gruppi di sicurezza, devi specificare:  
+ Almeno un gruppo di sicurezza, anche se è solo il gruppo di sicurezza predefinito nel VPC.
+ I gruppi IDs di sicurezza, non i nomi.

**Tipo di indirizzo IP**  
Puoi specificare un nuovo tipo di indirizzo IP per l’endpoint EC2 Instance Connect.  
Valori validi: `ipv4` \$1 `dualstack` \$1 `ipv6`

**Conserva l’impostazione dell’IP del client**  
Puoi specificare se conservare l’indirizzo IP del client come origine.  
La conservazione dell’IP del client è supportata soltanto sugli endpoint EC2 Instance Connect di IPv4. Quando si abilita `PreserveClientIp`, il tipo di indirizzo IP esistente dell’endpoint deve essere `ipv4`, oppure, se si modifica il tipo di indirizzo IP nella stessa richiesta, il nuovo valore deve essere `ipv4`.

------
#### [ AWS CLI ]

**Per modificare un endpoint EC2 Instance Connect**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-instance-connect-endpoint.html) e specifica l’endpoint EC2 Instance Connect e i parametri da modificare. L’esempio seguente modifica tutti i parametri in una singola richiesta.

```
aws ec2 modify-instance-connect-endpoint \
    --instance-connect-endpoint-id eice-0123456789example \
    --security-group-ids sg-0123456789example \
    --ip-address-type dualstack \
    --no-preserve-client-ip
```

Di seguito è riportato un output di esempio.

```
{
    "Return": true
}
```

**Per monitorare lo stato dell’aggiornamento**  
Durante la modifica, lo stato dell’endpoint EC2 Instance Connect cambia in `update-in-progress`. Il processo di aggiornamento viene eseguito in modo asincrono e viene completato con uno stato `update-complete` o `update-failed`. L’endpoint utilizza la sua vecchia configurazione fino a quando lo stato non cambia a `update-complete`.

Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-connect-endpoints.html) per monitorare lo stato dell’aggiornamento. Il parametro `--query` filtra i risultati nel campo `State`.

```
aws ec2 describe-instance-connect-endpoints \
    --instance-connect-endpoint-ids eice-0123456789example \
    --query InstanceConnectEndpoints[*].State --output text
```

Di seguito è riportato un output di esempio.

```
update-complete
```

------
#### [ PowerShell ]

**Per modificare un endpoint EC2 Instance Connect**  
Utilizza il cmdlet [https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2InstanceConnectEndpoint.html) e specifica l’endpoint EC2 Instance Connect e i parametri da modificare. L’esempio seguente modifica tutti i parametri in una singola richiesta.

```
Edit-EC2InstanceConnectEndpoint `
    -InstanceConnectEndpointId eice-0123456789example `
    -SecurityGroupIds sg-0123456789example `
    -IpAddressType dualstack `
    -PreserveClientIp $false
```

Di seguito è riportato un output di esempio.

```
True
```

**Per monitorare lo stato dell’aggiornamento**  
Durante la modifica, lo stato dell’endpoint EC2 Instance Connect cambia in `update-in-progress`. Il processo di aggiornamento viene eseguito in modo asincrono e viene completato con uno stato `update-complete` o `update-failed`. L’endpoint utilizza la sua vecchia configurazione fino a quando lo stato non cambia a `update-complete`.

Utilizza il comando [https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceConnectEndpoint.html) per monitorare lo stato dell’aggiornamento. `.State.Value` filtra i risultati nel campo `State`.

```
(Get-EC2InstanceConnectEndpoint -InstanceConnectEndpointId "eice-0123456789example").State.Value
```

Di seguito è riportato un output di esempio.

```
update-complete
```

------

# Elimina un endpoint EC2 Instance Connect
<a name="delete-ec2-instance-connect-endpoint"></a>

Quando un endpoint EC2 Instance Connect non è più necessario, puoi eliminarlo.

Devi disporre delle autorizzazioni IAM necessarie per creare un endpoint EC2 Instance Connect. Per ulteriori informazioni, consulta [Autorizzazioni per creare, descrivere, modificare ed eliminare gli endpoint EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md#iam-CreateInstanceConnectEndpoint).

Quando elimini un endpoint EC2 Instance Connect tramite la console, questo entra nello stato **In eliminazione**. Se l’eliminazione ha esito positivo, l’endpoint eliminato non viene più visualizzato. Se l’eliminazione ha esito negativo, lo stato è **delete-failed** e il **Messaggio di stato** fornisce il motivo dell’esito negativo.

Quando elimini un endpoint EC2 Instance Connect utilizzando il AWS CLI, esso entra nello `delete-in-progress` stato. Se l’eliminazione ha esito positivo, entra nello stato `delete-complete`. Se l’eliminazione ha esito negativo, lo stato è `delete-failed` e `StateMessage` fornisce il motivo dell’esito negativo.

------
#### [ Console ]

**Come eliminare un endpoint EC2 Instance Connect**

1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Nel riquadro di navigazione a sinistra, scegli **Endpoints** (Endpoint).

1. Seleziona l’endpoint.

1. Seleziona **Actions** (Operazioni), **Delete VPC endpoints** (Eliminazione di endpoint VPC).

1. Quando viene richiesta la conferma, immetti **delete**.

1. Scegli **Elimina**.

------
#### [ AWS CLI ]

**Per eliminare un endpoint EC2 Instance Connect**  
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html) e specifica l’ID endpoint EC2 Instance Connect da eliminare.

```
aws ec2 delete-instance-connect-endpoint --instance-connect-endpoint-id eice-03f5e49b83924bbc7
```

Di seguito è riportato un output di esempio.

```
{
    "InstanceConnectEndpoint": {
        "OwnerId": "111111111111",
        "InstanceConnectEndpointId": "eice-0123456789example",
        "InstanceConnectEndpointArn": "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example",
        "State": "delete-in-progress",
        "StateMessage": "",
        "NetworkInterfaceIds": [],
        "VpcId": "vpc-0123abcd",
        "AvailabilityZone": "us-east-1d",
        "AvailabilityZoneId": "use1-az2",
        "CreatedAt": "2023-02-07T12:05:37+00:00",
        "SubnetId": "subnet-0123abcd"
    }
}
```

------
#### [ PowerShell ]

**Come eliminare un endpoint EC2 Instance Connect**  
Utilizza il cmdlet [https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-instance-connect-endpoint.html) e specifica l’ID endpoint EC2 Instance Connect da eliminare.

```
Remove-EC2InstanceConnectEndpoint -InstanceConnectEndpointId eice-03f5e49b83924bbc7
```

Di seguito è riportato un output di esempio.

```
@{
    InstanceConnectEndpoint = @{
        OwnerId = "111111111111"
        InstanceConnectEndpointId = "eice-0123456789example"
        InstanceConnectEndpointArn = "arn:aws:ec2:us-east-1:111111111111:instance-connect-endpoint/eice-0123456789example"
        State = "delete-in-progress"
        StateMessage = ""
        NetworkInterfaceIds = @()
        VpcId = "vpc-0123abcd"
        AvailabilityZone = "us-east-1d"
        AvailabilityZoneId = "use1-az2"
        CreatedAt = "2023-02-07T12:05:37+00:00"
        SubnetId = "subnet-0123abcd"
    }
}
```

------

# Connessione a un’istanza Amazon EC2 tramite l’endpoint EC2 Instance Connect
<a name="connect-using-eice"></a>

Puoi utilizzare l’endpoint EC2 Instance Connect per connetterti a un’istanza Amazon EC2 che supporta SSH o RDP.

**Prerequisiti**
+ Devi disporre dell’autorizzazione IAM richiesta per connetterti a un endpoint EC2 Instance Connect. Per ulteriori informazioni, consulta [Autorizzazioni per utilizzare l’endpoint EC2 Instance Connect per connettersi alle istanze](permissions-for-ec2-instance-connect-endpoint.md#iam-OpenTunnel).
+ L’endpoint EC2 Instance Connect deve avere uno dei seguenti stati:
  + **create-complete** per un nuovo endpoint
  + **update-in-progress**, **update-complete o **update-failed**** per un endpoint esistente in fase di modifica. **Quando si modifica un endpoint, questo continua a utilizzare la configurazione originale fino a quando lo stato non cambia in update-complete**. 

    Se il VPC non dispone di un endpoint EC2 Instance Connect, potrai crearne uno. Per ulteriori informazioni, consulta [Creazione di un endpoint EC2 Instance Connect](create-ec2-instance-connect-endpoints.md).
+ Il tipo di indirizzo IP dell’endpoint EC2 Instance Connect deve essere compatibile con il tipo di indirizzo IP dell’istanza. Se il tipo di indirizzo IP dell'endpoint è dual-stack, può funzionare per entrambi gli indirizzi. IPv4 IPv6 
+ (istanze Linux) Per utilizzare la console Amazon EC2 per connettersi all’istanza o per utilizzare la CLI per connettersi e far gestire la chiave temporanea a EC2 Instance Connect, è necessario che EC2 Instance Connect sia installato sull’istanza. Per ulteriori informazioni, consulta [Installazione di EC2 Instance Connect](ec2-instance-connect-set-up.md).
+ Assicurati che il gruppo di sicurezza dell’istanza consenta il traffico SSH in entrata dall’endpoint EC2 Instance Connect. Per ulteriori informazioni, consulta [Regole del gruppo di sicurezza dell’istanza di destinazione](eice-security-groups.md#resource-security-group-rules).

**Topics**
+ [Connessione a un’istanza Linux tramite la console Amazon EC2](#connect-using-the-ec2-console)
+ [Connessione a un’istanza Linux tramite SSH](#eic-connect-using-ssh)
+ [Connect alla propria istanza Linux con il relativo ID di istanza utilizzando AWS CLI](#eic-connect-using-cli)
+ [Connessione all’istanza Windows con il protocollo RDP](#eic-connect-using-rdp)
+ [Risoluzione dei problemi](#troubleshoot-eice)

## Connessione a un’istanza Linux tramite la console Amazon EC2
<a name="connect-using-the-ec2-console"></a>

Puoi connetterti a un’istanza tramite la console Amazon EC2 (un client basato su browser) come indicato di seguito.

**Per connettersi a un’istanza Linux tramite la console Amazon EC2**

1. Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Nel riquadro di navigazione, scegliere **Instances (Istanze)**.

1. Seleziona l’istanza quindi scegli **Connetti**.

1. Scegli la scheda **EC2 Instance Connect**.

1. Per **Tipo di connessione**, scegli **Connetti utilizzando un IP privato**.

1. Scegli ** IPv4 Indirizzo privato** o **IPv6Indirizzo**. Le opzioni sono disponibili in base agli indirizzi IP assegnati all’istanza. Se un’opzione è disattivata, l’istanza non dispone di un indirizzo IP di quel tipo assegnato a esso.

1. Per **Endpoint EC2 Instance Connect**, scegli l’ID dell’endpoint EC2 Instance Connect.
**Nota**  
L’endpoint EC2 Instance Connect deve essere compatibile con l’indirizzo IP scelto nel passaggio precedente. Se il tipo di indirizzo IP dell'endpoint è dual-stack, può funzionare per entrambi gli indirizzi. IPv4 IPv6 Per ulteriori informazioni, consulta [Creazione di un endpoint EC2 Instance Connect](create-ec2-instance-connect-endpoints.md).

1. Per **Nome utente**, se l’AMI che hai usato per avviare l’istanza utilizza un nome utente diverso da`ec2-user`, inserisci il nome utente corretto.

1. In **Durata massima del tunnel (secondi)**, inserisci la durata massima consentita per la connessione SSH.

   La durata deve essere conforme a qualsiasi condizione `maxTunnelDuration` specificata nella policy IAM. Se non disponi dell’accesso alla policy IAM, contatta l’amministratore.

1. Scegli **Connetti**. Si apre una finestra del terminale per la tua istanza.

## Connessione a un’istanza Linux tramite SSH
<a name="eic-connect-using-ssh"></a>

Puoi utilizzare l’SSH per connetterti all’istanza Linux e usare il comando `open-tunnel` per stabilire un tunnel privato. Puoi utilizzare il `open-tunnel` in modalità connessione singola o multipla. Puoi specificare l'ID dell'istanza, un IPv4 indirizzo privato o un indirizzo. IPv6 

Per informazioni sull'utilizzo di AWS CLI per connettersi all'istanza tramite SSH, consulta[Connect utilizzando AWS CLI](ec2-instance-connect-methods.md#connect-linux-inst-eic-cli-ssh).

Nell’esempio seguente viene utilizzato [OpenSSH](https://www.openssh.com/). Puoi usare qualsiasi altro client SSH che supporti una modalità proxy.

### Connessione singola
<a name="ssh-single-connection"></a>

**Per consentire solo una connessione singola a un’istanza utilizzando l’SSH e il comando `open-tunnel`**

Usa `ssh` il [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) AWS CLI comando and come segue. Il comando proxy `-o` racchiude il comando `open-tunnel` che crea il tunnel privato verso l’istanza.

```
ssh -i my-key-pair.pem ec2-user@i-1234567890abcdef0 \
    -o ProxyCommand='aws ec2-instance-connect open-tunnel --instance-id i-1234567890abcdef0'
```

Per:
+ `-i`: specifica la coppia di chiavi utilizzata per avviare l’istanza.
+ `ec2-user@i-1234567890abcdef0`: specifica il nome utente dell’AMI utilizzata per avviare l’istanza e l’ID istanza. Per le istanze con un IPv6 indirizzo, è necessario specificare l' IPv6 indirizzo anziché l'ID dell'istanza.
+ `--instance-id`: specifica l’ID istanza a cui connetterti. In alternativa, specifica `%h` che estrae l’ID istanza dall’utente. Per le istanze con un IPv6 indirizzo, sostituirlo `--instance-id i-1234567890abcdef0` con. `--private-ip-address 2001:db8::1234:5678:1.2.3.4`

### Connessione multipla
<a name="ssh-multi-connection"></a>

Per consentire più connessioni a un'istanza, esegui prima il [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) AWS CLI comando per iniziare ad ascoltare nuove connessioni TCP, quindi utilizzalo per `ssh` creare una nuova connessione TCP e un tunnel privato verso l'istanza.

**Per consentire connessioni multiple all’istanza tramite SSH e il comando `open-tunnel`**

1. Inserisci il comando seguente per avviare l’ascolto di nuove connessioni TCP sulla porta specificata del computer locale.

   ```
   aws ec2-instance-connect open-tunnel \
       --instance-id i-1234567890abcdef0 \
       --local-port 8888
   ```

   Output previsto:

   ```
   Listening for connections on port 8888.
   ```

1. In una *nuova finestra del terminale*, esegui il seguente comando `ssh` per creare una nuova connessione TCP e un tunnel privato verso la tua istanza.

   ```
   ssh -i my-key-pair.pem ec2-user@localhost -p 8888
   ```

   Output previsto: nella *prima* finestra del terminale, visualizzi le seguenti informazioni:

   ```
   [1] Accepted new tcp connection, opening websocket tunnel.
   ```

   Potresti anche visualizzare le seguenti informazioni:

   ```
   [1] Closing tcp connection.
   ```

## Connect alla propria istanza Linux con il relativo ID di istanza utilizzando AWS CLI
<a name="eic-connect-using-cli"></a>

Se conosci solo l'ID dell'istanza, puoi usare il AWS CLI comando [ec2-instance-connect ssh per connetterti](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html) all'istanza utilizzando un client SSH. Per ulteriori informazioni, consulta [Connect utilizzando AWS CLI](ec2-instance-connect-methods.md#connect-linux-inst-eic-cli-ssh).

**Prerequisiti**
+ Installa la AWS CLI versione 2 e configurala utilizzando le tue credenziali. Per ulteriori informazioni, consulta [Installa o aggiorna la versione più recente della AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) e [Configura la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html) nella *Guida per l’utente di AWS Command Line Interface *.
+ In alternativa, apri AWS CloudShell ed AWS CLI esegui i comandi nella sua shell preautenticata.

**Per la connessione all’istanza tramite l’ID istanza e un endpoint EC2 Instance Connect**  
Se conosci solo l’ID dell’istanza, utilizza il comando CLI [ec2-instance-connect ssh](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/ssh.html) e specifica il comando `ssh`, l’ID dell’istanza e il parametro `--connection-type` con il valore `eice` per utilizzare un endpoint EC2 Instance Connect. Se l'istanza ha solo un IPv6 indirizzo, è necessario includere anche il `--instance-ip` parametro con l' IPv6 indirizzo.
+ Se l'istanza ha un IPv4 indirizzo privato (può avere anche un IPv6 indirizzo), utilizza il comando e i parametri seguenti:

  ```
  aws ec2-instance-connect ssh \
      --instance-id i-1234567890example \
      --os-user ec2-user \
      --connection-type eice
  ```
+ Se l'istanza ha solo un IPv6 indirizzo, includi il `--instance-ip` parametro con l' IPv6 indirizzo:

  ```
  aws ec2-instance-connect ssh \
      --instance-id i-1234567890example \
      --instance-ip 2001:db8::1234:5678:1.2.3.4 \
      --os-user ec2-user \
      --connection-type eice
  ```

**Suggerimento**  
Se ricevi un errore, assicurati di utilizzare la AWS CLI versione 2. Il `ssh` parametro è disponibile solo nella AWS CLI versione 2. Per ulteriori informazioni, consulta [Informazioni sulla versione 2 della AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html#welcome-versions-v2) nella *Guida per l’utente di AWS Command Line Interface .*

## Connessione all’istanza Windows con il protocollo RDP
<a name="eic-connect-using-rdp"></a>

Puoi utilizzare Remote Desktop Protocol (RDP) su EC2 Instance Connect Endpoint per connetterti a un'istanza Windows senza un IPv4 indirizzo pubblico o un nome DNS pubblico.

**Per connetterti alla tua istanza Windows utilizzando un client RDP**

1. Completa le fasi da 1 a 8 in [Connessione all’istanza Windows tramite RDP](connect-rdp.md). Dopo aver scaricato il file desktop RDP alla fase 8, ricevi un messaggio **Impossibile connettersi**, come previsto perché l’istanza non dispone di un indirizzo IP pubblico.

1. Esegui il comando seguente per stabilire un tunnel privato verso il VPC in cui si trova l’istanza. `--remote-port` deve essere `3389` perché il protocollo RDP utilizza la porta 3389 per impostazione predefinita.

   ```
   aws ec2-instance-connect open-tunnel \
       --instance-id i-1234567890abcdef0 \
       --remote-port 3389 \
       --local-port any-port
   ```

1. Nella cartella **Download**, trova il file desktop RDP che hai scaricato e trascinalo nella finestra del client RDP.

1. Fai clic con il pulsante destro del mouse sul file desktop RDP e scegli **Modifica**.

1. Nella finestra **Modifica PC**, in **Nome del PC** (l’istanza a cui connettersi) inserisci `localhost:local-port`, in cui `local-port` utilizza lo stesso valore specificato nella fase 2, poi scegli **Salva**.

   Nota che la seguente schermata della finestra **Modifica PC** proviene da Microsoft Remote Desktop su un Mac. Se utilizzi un client Windows, la finestra potrebbe essere diversa.  
![\[Il client RDP con l’esempio “localhost:5555” nel campo del nome del PC.\]](http://docs.aws.amazon.com/it_it/AWSEC2/latest/UserGuide/images/ec2-instance-connect-endpoint-rdp.png)

1. Nel client RDP, fai clic con il pulsante destro del mouse sul PC (che hai appena configurato) e scegli **Connetti** per connetterti alla tua istanza.

1. Nel prompt, specifica la password decriptata dell’account dell’amministratore.

## Risoluzione dei problemi
<a name="troubleshoot-eice"></a>

Utilizza le seguenti informazioni per diagnosticare e risolvere i problemi comuni che possono verificarsi durante l’utilizzo dell’endpoint EC2 Instance Connect per connettere un’istanza.

### Impossibile connettersi all’istanza
<a name="troubleshoot-eice-1"></a>

Di seguito sono riportati i motivi più comuni per cui potresti non essere in grado di connetterti alla tua istanza.
+ Gruppi di sicurezza: controlla i gruppi di sicurezza assegnati all’endpoint EC2 Instance Connect e alla tua istanza. Per ulteriori informazioni sulle regole necessarie del gruppo di sicurezza, consulta [Gruppi di sicurezza per l’endpoint EC2 Instance Connect](eice-security-groups.md).
+ Stato dell’istanza: varica che la tua istanza abbia lo stato `running`.
+ Coppia di chiavi: se il comando che stai utilizzando per la connessione richiede una chiave privata, verifica che l’istanza disponga di una chiave pubblica e di disporre della chiave privata corrispondente.
+ Autorizzazioni IAM: verifica di disporre delle autorizzazioni IAM richieste. Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per utilizzare l’endpoint EC2 Instance Connect](permissions-for-ec2-instance-connect-endpoint.md).

Per altri suggerimenti sulla risoluzione dei problemi per le istanze Linux, consulta [Risoluzione dei problemi di connessione all'istanza Linux di Amazon EC2](TroubleshootingInstancesConnecting.md). Per suggerimenti sulla risoluzione dei problemi per le istanze Windows, consulta [Risoluzione dei problemi di connessione all'istanza Windows di Amazon EC2](troubleshoot-connect-windows-instance.md).

### ErrorCode: AccessDeniedException
<a name="troubleshoot-eice-2"></a>

Se ricevi un errore `AccessDeniedException` e la condizione `maxTunnelDuration` è specificata nella policy IAM, assicurati di indicare il parametro `--max-tunnel-duration` quando ti connetti a un’istanza. Per ulteriori informazioni su questo parametro, consulta [https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html](https://docs.aws.amazon.com/cli/latest/reference/ec2-instance-connect/open-tunnel.html) in *AWS CLI  Command Reference*.

# Connessioni di log stabilite tramite endpoint EC2 Instance Connect
<a name="log-ec2-instance-connect-endpoint-using-cloudtrail"></a>

Puoi registrare le operazioni sulle risorse e controllare le connessioni stabilite sull'endpoint EC2 Instance Connect con AWS CloudTrail i log.

Per ulteriori informazioni sull'utilizzo AWS CloudTrail con Amazon EC2, consulta. [Registra le chiamate EC2 API Amazon utilizzando AWS CloudTrail](monitor-with-cloudtrail.md)

## Registra le chiamate API EC2 Instance Connect Endpoint con AWS CloudTrail
<a name="ec2-instance-connect-endpoint-api-calls-cloudtrail"></a>

Le operazioni relative alle risorse dell'endpoint EC2 Instance Connect vengono registrate CloudTrail come eventi di gestione. **Quando vengono effettuate le seguenti chiamate API, l'attività viene registrata come CloudTrail evento nella cronologia degli eventi:**
+ `CreateInstanceConnectEndpoint`
+ `DescribeInstanceConnectEndpoints`
+ `DeleteInstanceConnectEndpoint`

Puoi visualizzare, cercare e scaricare eventi recenti in Account AWS. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella *Guida AWS CloudTrail per l'utente*.

## Utilizzato AWS CloudTrail per controllare gli utenti che si connettono a un'istanza utilizzando EC2 Instance Connect Endpoint
<a name="ec2-instance-connect-endpoint-audit-users-cloudtrail"></a>

**I tentativi di connessione alle istanze tramite EC2 Instance Connect Endpoint vengono registrati nella CloudTrail cronologia degli eventi.** Quando viene avviata una connessione a un'istanza tramite un endpoint EC2 Instance Connect, la connessione viene registrata come evento di CloudTrail gestione con il comando of. `eventName` `OpenTunnel`

Puoi creare EventBridge regole Amazon che indirizzino l' CloudTrail evento verso un obiettivo. Per ulteriori informazioni, consulta la [Amazon EventBridge User Guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).

Di seguito è riportato un esempio di evento `OpenTunnel` gestionale a cui è stato effettuato l'accesso. CloudTrail

```
{
     "eventVersion": "1.08",
     "userIdentity": {
         "type": "IAMUser",
         "principalId": "ABCDEFGONGNOMOOCB6XYTQEXAMPLE",
         "arn": "arn:aws:iam::1234567890120:user/IAM-friendly-name",
         "accountId": "123456789012",
         "accessKeyId": "ABCDEFGUKZHNAW4OSN2AEXAMPLE",
         "userName": "IAM-friendly-name"
     },
     "eventTime": "2023-04-11T23:50:40Z",
     "eventSource": "ec2-instance-connect.amazonaws.com",
     "eventName": "OpenTunnel",
     "awsRegion": "us-east-1",
     "sourceIPAddress": "1.2.3.4",
     "userAgent": "aws-cli/1.15.61 Python/2.7.10 Darwin/16.7.0 botocore/1.10.60",
     "requestParameters": {
         "instanceConnectEndpointId": "eici-0123456789EXAMPLE",
         "maxTunnelDuration": "3600",
         "remotePort": "22",
         "privateIpAddress": "10.0.1.1"
     },
     "responseElements": null,
     "requestID": "98deb2c6-3b3a-437c-a680-03c4207b6650",
     "eventID": "bbba272c-8777-43ad-91f6-c4ab1c7f96fd",
     "readOnly": false,
     "resources": [{
         "accountId": "123456789012",
         "type": "AWS::EC2::InstanceConnectEndpoint",
         "ARN": "arn:aws:ec2:us-east-1:123456789012:instance-connect-endpoint/eici-0123456789EXAMPLE"
     }],
     "eventType": "AwsApiCall",
     "managementEvent": true,
     "recipientAccountId": "123456789012",
     "eventCategory": "Management"
}
```

# Ruolo collegato ai servizi per l’endpoint EC2 Instance Connect
<a name="eice-slr"></a>

Amazon EC2 utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo di ruolo IAM univoco collegato direttamente ad Amazon EC2. I ruoli collegati ai servizi sono predefiniti da Amazon EC2 e includono tutte le autorizzazioni richieste da Amazon EC2 per chiamare altri utenti per tuo conto. Servizi AWS Per ulteriori informazioni, consulta [Ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) nella *Guida per l’utente di IAM*.

## Autorizzazioni dei ruoli collegati ai servizi per l’endpoint EC2 Instance Connect
<a name="slr-permissions"></a>

Amazon EC2 utilizza **AWSServiceRoleForEC2InstanceConnect**per creare e gestire le interfacce di rete nel tuo account richieste da EC2 Instance Connect Endpoint.

Ai fini dell’assunzione del ruolo, il ruolo collegato ai servizi **AWSServiceRoleForEC2InstanceConnect** considera attendibile il seguente servizio: 
+ `ec2-instance-connect.amazonaws.com`

Il ruolo **AWSServiceRoleForEC2InstanceConnect**collegato al servizio utilizza la seguente politica gestita:
+ **Ec2 InstanceConnectEndpoint**

*Per visualizzare le autorizzazioni per la politica gestita, vedere [Ec2 InstanceConnectEndpoint](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Ec2InstanceConnectEndpoint.html) nel Managed Policy AWS Reference.*

## Creazione di un ruolo collegato ai servizi per l’endpoint EC2 Instance Connect
<a name="create-slr"></a>

Non è necessario creare manualmente questo ruolo collegato ai servizi. Quando si crea un endpoint EC2 Instance Connect, Amazon EC2 crea il ruolo collegato ai servizi per tuo conto.

## Modifica un ruolo collegato ai servizi per l’endpoint EC2 Instance Connect
<a name="edit-slr"></a>

EC2 Instance Connect Endpoint non consente di modificare il ruolo collegato al **AWSServiceRoleForEC2InstanceConnect**servizio.

## Elimina un ruolo collegato ai servizi per l’endpoint EC2 Instance Connect
<a name="delete-slr"></a>

Se non hai più bisogno di utilizzare EC2 Instance Connect Endpoint, ti consigliamo di eliminare il ruolo collegato al **AWSServiceRoleForEC2InstanceConnect**servizio.

Puoi eliminare tutte le risorse degli endpoint EC2 Instance Connect prima di eliminare il ruolo collegato ai servizi.

Per eliminare il ruolo collegato ai servizi, consulta [Delete a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete-slr) nella *Guida per l’utente IAM*.

Per consentire a un’entità IAM (un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.

# Quote per endpoint EC2 Instance Connect
<a name="eice-quotas"></a>

Hai Account AWS delle quote predefinite, precedentemente denominate limiti, per ogni servizio. AWS Salvo diversa indicazione, ogni quota si applica a una Regione specifica.

Hai le Account AWS seguenti quote relative a EC2 Instance Connect Endpoint.


| Name | Predefinita | Adattabile | 
| --- | --- | --- | 
| Numero massimo di endpoint EC2 Instance Connect per utente Account AWS Regione AWS | 5 | No | 
| Numero massimo di endpoint EC2 Instance Connect per VPC | 1 | No | 
| Numero massimo di endpoint EC2 Instance Connect per sottorete | 1 | No | 
| Numero massimo di connessioni simultanee per endpoint EC2 Instance Connect | 20 | No |