Reimposta password e SSH chiavi sulle EC2 istanze - AWS Systems Manager
Come funzionaPrima di iniziareEsecuzione del servizio di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Reimposta password e SSH chiavi sulle EC2 istanze

Puoi utilizzare il AWSSupport-ResetAccess runbook per riattivare automaticamente la generazione di password di amministratore locale su istanze Amazon Elastic Compute Cloud (AmazonEC2) per Windows Server e generare una nuova SSH chiave sulle EC2 istanze per Linux. Il AWSSupport-ResetAccess runbook è progettato per eseguire una combinazione di AWS Systems Manager azioni, AWS CloudFormation azioni e AWS Lambda funzioni che automatizzano i passaggi normalmente necessari per reimpostare la password dell'amministratore locale.

È possibile utilizzare Automation, una funzionalità di AWS Systems Manager, con il AWSSupport-ResetAccess runbook per risolvere i seguenti problemi:

Windows

Hai perso la coppia di EC2 chiavi: per risolvere questo problema, puoi usare il AWSSupport- ResetAccess runbook per creare una password abilitata AMI dall'istanza corrente, avviare una nuova istanza da e selezionare una coppia di chiavi di tua proprietà. AMI

Hai perso la password dell'amministratore locale: per risolvere questo problema, puoi utilizzare il AWSSupport-ResetAccess runbook per generare una nuova password che puoi decrittografare con la coppia EC2 di chiavi corrente.

Linux

Hai perso la tua coppia di EC2 chiavi o hai configurato l'SSHaccesso all'istanza con una chiave persa: per risolvere questo problema, puoi usare il AWSSupport-ResetAccess runbook per creare una nuova SSH chiave per l'istanza corrente, che ti consenta di connetterti nuovamente all'istanza.

Nota

Se l'EC2istanza per Windows Server è configurata per Systems Manager, puoi anche reimpostare la password dell'amministratore locale utilizzando EC2Rescue e AWS Systems Manager Run Command. Per ulteriori informazioni, consulta Using EC2Rescue for Windows Server with Systems Manager Run Command nella Amazon EC2 User Guide.

Informazioni correlate

Connect alla tua istanza Linux da Windows utilizzando Pu TTY nella Amazon EC2 User Guide

Come funziona

Risoluzione dei problemi di un'istanza con il servizio di automazione e il runbook AWSSupport-ResetAccess funziona nel seguente modo:

  • L'utente specifica l'ID dell'istanza ed esegue il runbook.

  • Il sistema crea un file temporaneoVPC, quindi esegue una serie di funzioni Lambda per configurare. VPC

  • Il sistema identifica una sottorete temporanea VPC nella stessa zona di disponibilità dell'istanza originale.

  • Il sistema avvia un'istanza helper temporanea e SSM abilitata.

  • Il sistema arresta l'istanza originale e crea un backup. Collega quindi il volume root originale all'istanza helper.

  • Il sistema esegue l'esecuzione EC2Rescue sull'Run Commandistanza helper. In Windows, EC2Rescue abilita la generazione di password per l'amministratore locale utilizzando EC2Config o EC2Launch sul volume root originale allegato. In Linux, EC2Rescue genera e inietta una nuova SSH chiave e salva la chiave privata, crittografata, inParameter Store. Al termine, EC2Rescue ricollega il volume root all'istanza originale.

  • Il sistema crea una nuova Amazon Machine Image (AMI) dell'istanza, ora che la generazione delle password è abilitata. È possibile utilizzarlo AMI per creare una nuova EC2 istanza e associare una nuova coppia di chiavi, se necessario.

  • Il sistema riavvia l'istanza originale e termina l'istanza temporanea. Il sistema termina anche le funzioni temporanee VPC e Lambda create all'inizio dell'automazione.

  • Windows: la tua istanza genera una nuova password che puoi decodificare dalla EC2 console Amazon utilizzando la coppia di chiavi corrente assegnata all'istanza.

    Linux: è possibile accedere SSH all'istanza utilizzando la SSH chiave memorizzata in Systems Manager Parameter Store come /ec2rl/openssh/instance ID/chiave.

Prima di iniziare

Prima di eseguire la seguente automazione, esegui le seguenti operazioni:

  • Copiare l'ID istanza dell'istanza per la quale si desidera reimpostare la password dell'amministratore. Questo ID verrà specificato nella procedura.

  • Facoltativamente, recuperare l'ID di una sottorete nella stessa zona di disponibilità dell'istanza non raggiungibile. L'EC2Rescueistanza verrà creata in questa sottorete. Se non specifichi una sottorete, Automation crea un nuovo file temporaneo VPC nella tua. Account AWS Verifica di Account AWS averne almeno una VPC disponibile. Per impostazione predefinita, puoi crearne cinque VPCs in una regione. Se ne hai già creati cinque VPCs nella regione, l'automazione fallisce senza apportare modifiche all'istanza. Per ulteriori informazioni sulle VPC quote Amazon, consulta VPCe Subnet nella Amazon VPC User Guide.

  • Facoltativamente, puoi creare e specificare un ruolo AWS Identity and Access Management (IAM) per Automation. Se non si specifica questo ruolo, il servizio di automazione viene eseguito nel contesto dell'utente che ha eseguito l'automazione.

Concessione AWSSupport: EC2Rescue autorizzazioni per eseguire azioni sulle istanze

EC2Rescuenecessita dell'autorizzazione per eseguire una serie di azioni sulle istanze durante l'automazione. Queste azioni richiamano i AWS Lambda EC2 servizi e Amazon per tentare in modo sicuro di risolvere i problemi con le tue istanze. IAM Se disponi di autorizzazioni a livello di amministratore nel tuo sistema Account AWS e/oVPC, potresti essere in grado di eseguire l'automazione senza configurare le autorizzazioni, come descritto in questa sezione. Se non si dispone delle autorizzazioni a livello di amministratore, l'utente corrente o un amministratore deve configurare tali autorizzazioni mediante una delle opzioni riportate di seguito.

Concessione delle autorizzazioni mediante policy IAM

Puoi allegare la seguente IAM politica al tuo utente, gruppo o ruolo come politica in linea; oppure puoi creare una nuova politica IAM gestita e collegarla al tuo utente, gruppo o ruolo. Per ulteriori informazioni sull'aggiunta di una policy inline all'utente, al gruppo o al ruolo, consulta la pagina Utilizzo delle policy inline. Per ulteriori informazioni sulla creazione di una nuova policy gestita, consulta la sezione relativa all'uso di policy gestite.

Nota

Se si crea una nuova policy IAM gestita, è necessario allegare anche la policy gestita A mazonSSMAutomationRole in modo che le istanze possano comunicare con Systems ManagerAPI.

IAMPolicy per AWSSupport-ResetAccess

Replace (Sostituisci) account ID con le tue informazioni.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "lambda:InvokeFunction",
            "lambda:DeleteFunction",
            "lambda:GetFunction"
         ],
         "Resource": "arn:aws:lambda:*:account ID:function:AWSSupport-EC2Rescue-*",
         "Effect": "Allow"
      },
      {
         "Action": [
            "s3:GetObject",
            "s3:GetObjectVersion"
         ],
         "Resource": [
            "arn:aws:s3:::awssupport-ssm.*/*.template",
            "arn:aws:s3:::awssupport-ssm.*/*.zip"
         ],
         "Effect": "Allow"
      },
      {
         "Action": [
            "iam:CreateRole",
            "iam:CreateInstanceProfile",
            "iam:GetRole",
            "iam:GetInstanceProfile",
            "iam:PutRolePolicy",
            "iam:DetachRolePolicy",
            "iam:AttachRolePolicy",
            "iam:PassRole",
            "iam:AddRoleToInstanceProfile",
            "iam:RemoveRoleFromInstanceProfile",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DeleteInstanceProfile"
         ],
         "Resource": [
            "arn:aws:iam::account ID:role/AWSSupport-EC2Rescue-*",
            "arn:aws:iam::account ID:instance-profile/AWSSupport-EC2Rescue-*"
         ],
         "Effect": "Allow"
      },
      {
         "Action": [
            "lambda:CreateFunction",
            "ec2:CreateVpc",
            "ec2:ModifyVpcAttribute",
            "ec2:DeleteVpc",
            "ec2:CreateInternetGateway",
            "ec2:AttachInternetGateway",
            "ec2:DetachInternetGateway",
            "ec2:DeleteInternetGateway",
            "ec2:CreateSubnet",
            "ec2:DeleteSubnet",
            "ec2:CreateRoute",
            "ec2:DeleteRoute",
            "ec2:CreateRouteTable",
            "ec2:AssociateRouteTable",
            "ec2:DisassociateRouteTable",
            "ec2:DeleteRouteTable",
            "ec2:CreateVpcEndpoint",
            "ec2:DeleteVpcEndpoints",
            "ec2:ModifyVpcEndpoint",
            "ec2:Describe*"
         ],
         "Resource": "*",
         "Effect": "Allow"
      }
   ]
}

Concessione delle autorizzazioni utilizzando un modello AWS CloudFormation

AWS CloudFormation automatizza il processo di creazione di IAM ruoli e politiche utilizzando un modello preconfigurato. Utilizzare la procedura seguente per creare i IAM ruoli e le politiche richiesti per l'EC2Rescueautomazione utilizzando. AWS CloudFormation

Per creare i IAM ruoli e le politiche richiesti per EC2Rescue

  1. Scaricare AWSSupport-EC2RescueRole.zip ed estrarre il file AWSSupport-EC2RescueRole.json in una directory sul computer locale.

  2. Se ti Account AWS trovi in una partizione speciale, modifica il modello per cambiare i ARN valori in quelli della tua partizione.

    Ad esempio, per le regioni della Cina, modificare i casi da arn:aws a arn:aws-cn.

  3. Accedi AWS Management Console e apri la AWS CloudFormation console all'indirizzo https://console.aws.amazon.com /cloudformazione.

  4. Scegliere Create stack (Crea stack), With new resources (standard) (Con nuove risorse (standard)).

  5. Nella pagina Create stack (Crea stack) per Prerequisite - Prepare template (Prerequisito - Prepara modello), scegliere Template is ready (Il modello è pronto).

  6. In Specify template (Specifica il modello), scegliere Upload a template file (Carica un file modello).

  7. Scegliere Choose file (Scegli file), quindi individuare e selezionare il file AWSSupport-EC2RescueRole.json dalla directory in cui è stato estratto.

  8. Scegliere Next (Successivo).

  9. Nella pagina Specify stack details (Specifica i dettagli dello stack), per il campo Stack name (Nome stack) inserire un nome per identificare lo stack, quindi scegliere Next (Successivo).

  10. (Facoltativo) Nell'area Tags (Tag), applicare una o più coppie nome chiave tag-valore allo stack.

    I tag sono metadati facoltativi assegnati a una risorsa. I tag consentono di categorizzare una risorsa in diversi modi, ad esempio in base allo scopo, al proprietario o all'ambiente. Ad esempio, è possibile applicare un tag uno stack per identificare il tipo di attività che esegue, i tipi di destinazioni o altre risorse coinvolte e l'ambiente in cui viene eseguito.

  11. Seleziona Next (Successivo).

  12. Nella pagina Revisione, esamina i dettagli dello stack, quindi scorri verso il basso e scegli l'opzione Riconosco che AWS CloudFormation potrebbe creare risorse. IAM

  13. AWS CloudFormation mostra lo PROGRESS stato CREATE_IN_ per alcuni minuti. Lo stato diventa CREATE_ COMPLETE dopo la creazione dello stack. È inoltre possibile scegliere l'icona di aggiornamento per verificare lo stato del processo di creazione.

  14. Nell'elenco degli stack, scegliere l'opzione accanto allo stack appena creato e quindi scegliere la scheda Outputs (Output).

  15. Copiare il valore visualizzato nel campo Value (Valore). Il è il ARN del. AssumeRole Lo specificherai ARN quando eseguirai l'automazione.

Esecuzione del servizio di automazione

La procedura seguente descrive come seguire runbook AWSSupport-ResetAccess tramite la console AWS Systems Manager .

Importante

L'esecuzione della seguente automazione arresta l'istanza. L'arresto dell'istanza può causare la perdita di dati sui volumi dell'instance store collegati (se presenti). L'arresto dell'istanza può causare anche la modifica dell'indirizzo IP pubblico se non è associato alcun indirizzo IP elastico. Per evitare queste modifiche di configurazione, utilizza Run Command per ripristinare l'accesso. Per ulteriori informazioni, consulta Using EC2Rescue for Windows Server with Systems Manager Run Command nella Amazon EC2 User Guide.

Per eseguire AWSSupport - ResetAccess Automation

  1. Apri la AWS Systems Manager console all'indirizzo https://console.aws.amazon.com/systems-manager/.

  2. Nel riquadro di navigazione, scegli Automazione.

  3. Scegliere Execute automation (Esegui automazione).

  4. Nella sezione Automation document (Documento di automazione) scegliere Owned by Amazon (Di proprietà di Amazon) nell'elenco.

  5. Nell'elenco dei runbook, scegli il pulsante nella scheda corrispondente a AWSSupport- ResetAccess, quindi scegli Avanti.

  6. Nella pagina Execute automation document (Esegui documento di automazione), scegliere Simple execution (Esecuzione semplice).

  7. Nella sezione Document details (Dettagli documento) verificare che l'opzione Document version (Versione documento) sia impostata sulla versione predefinita con il numero più alto. Ad esempio, $ DEFAULT o 3 (impostazione predefinita).

  8. Nella sezione Input parameters (Parametri di input), specificare i seguenti parametri:

    1. Per InstanceID, specificare l'ID dell'istanza non raggiungibile.

    2. Per SubnetId, specifica una sottorete in un'istanza esistente VPC nella stessa zona di disponibilità dell'istanza specificata. Per impostazione predefinita, Systems Manager ne crea una nuovaVPC, ma è possibile specificare una sottorete in una esistente, VPC se lo si desidera.

      Nota

      Se l'opzione per specificare un ID sottorete non è disponibile, verificare nel campo Default (Impostazione predefinita) che si stia utilizzando la versione più recente del runbook.

    3. Per EC2RescueInstanceType, specificare un tipo di istanza per l'EC2Rescueistanza. Il tipo di istanza di default è t2.medium.

    4. Infatti AssumeRole, se hai creato ruoli per questa automazione utilizzando la AWS CloudFormation procedura descritta in precedenza in questo argomento, specifica quelli AssumeRole ARN che hai annotato nella AWS CloudFormation console.

  9. (Facoltativo) Nell'area Tag applicare ad esempio una o più coppie nome/valore chiave tag per identificare l'automazione, ad esempio Key=Purpose,Value=ResetAccess.

  10. Scegliere Execute (Esegui).

  11. Per monitorare lo stato di avanzamento dell'automazione, scegliere l'automazione in esecuzione e quindi scegliere la scheda Steps (Fasi). Al termine dell'automazione, scegliere la scheda Descriptions (Descrizioni), quindi View output (Visualizza output) per visualizzare i risultati. Per visualizzare l'output delle singole fasi, scegliere la scheda Steps (Fasi), quindi scegliere View Outputs (Visualizza output) accanto a una fase.

Il runbook crea un backup di AMI e un'AMI abilitata mediante password come parte dell'automazione. Tutte le altre risorse create dall'automazione vengono eliminate automaticamente, ma queste AMIs rimangono nell'account in uso. Alle AMIs viene assegnato un nome utilizzando le seguenti convenzioni:

  • BackupAMI: AWSSupport-EC2Rescue:InstanceID

  • Attivato tramite passwordAMI: AWSSupport -EC2Rescue: Attivato tramite password da AMI Instance ID

È possibile individuare queste AMIs nella console cercando l'ID di esecuzione dell servizio di automazione.

Per Linux, la nuova chiave SSH privata per l'istanza viene salvata, crittografata, in. Parameter Store Il nome del parametro è /ec2rl/openssh/instance ID/chiave.