Tutorial: Concluir a configuração necessária para se conectar à sua instância usando o EC2 Instance Connect - Amazon Elastic Compute Cloud
Tarefa 1: criar e anexar uma política do IAM para permitir que você use o EC2 Instance ConnectTarefa 2: criar um grupo de segurança que permita o tráfego do EC2 Instance Connect para sua instânciaTarefa 3: iniciar sua instânciaTarefa 4: conectar à sua instância

Tutorial: Concluir a configuração necessária para se conectar à sua instância usando o EC2 Instance Connect

Para se conectar à sua instância usando o EC2 Instance Connect no console do Amazon EC2, primeiro é necessário concluir a configuração de pré-requisito que permitirá que você se conecte com sucesso à sua instância. O objetivo deste tutorial é orientar você pelas tarefas de conclusão da configuração de pré-requisitos.

Visão geral do tutorial

Nesse tutorial, você deverá concluir as seguintes quatro tarefas:

Tarefa 1: criar e anexar uma política do IAM para permitir que você use o EC2 Instance Connect

Ao conectar-se a uma instância usando o EC2 Instance Connect, a API do EC2 Instance Connect envia por push uma chave pública SSH para os metadados da instância, onde ela permanece por 60 segundos. É necessário ter uma política do IAM anexada à sua identidade do IAM (usuário, grupo de usuários ou função) para fornecer a permissão necessária para enviar por push a chave pública para os metadados da instância.

Objetivo da tarefa

Nessa tarefa, você criará a política do IAM que concede a permissão necessária para enviar por push a chave pública para a instância. A ação específica a ser permitida é ec2-instance-connect:SendSSHPublicKey. Você também deve permitir a ação ec2:DescribeInstances para poder visualizar e selecionar sua instância no console do Amazon EC2.

Depois de criar a política, você anexará a política à sua identidade do IAM (usuário, grupo de usuários ou perfil) para que sua identidade do IAM receba as permissões.

Você criará uma política configurada da seguinte forma:

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
Importante

A política do IAM criada neste tutorial é uma política altamente permissiva. Ela permite que você se conecte a qualquer instância usando qualquer nome de usuário da AMI. Estamos usando essa política altamente permissiva para manter o tutorial simples e focado nas configurações específicas que este tutorial está ensinando. No entanto, em um ambiente de produção, recomendamos que sua política do IAM seja configurada para fornecer permissões com privilégios mínimos. Para obter exemplos de políticas do IAM, consulte Conceder permissões do IAM para o EC2 Instance Connect.

Etapas para criar e anexar a política do IAM

Use as etapas a seguir para criar e anexar a política do IAM. Para visualizar uma animação das etapas, consulte Visualizar uma animação: criar uma política do IAM e Visualizar uma animação: anexar uma política do IAM.

Para criar e anexar uma política do IAM que permita a você usar o EC2 Instance Connect para se conectar às suas instâncias

  1. Crie primeiro a política do IAM

    1. Abra o console IAM em https://console.aws.amazon.com/iam/.

    2. No painel de navegação, escolha Policies.

    3. Escolha Criar política.

    4. Na página Especificar permissão, faça o seguinte:

      1. Em Serviço, escolha EC2 Instance Connect.

      2. Em Ações permitidas, no campo de pesquisa, comece a digitar send para mostrar as ações relevantes e selecione SendSSHPublicKey.

      3. Em Recursos, escolha Todos. Para um ambiente de produção, recomendamos especificar a instância pelo ARN, mas, neste tutorial, você está permitindo todas as instâncias.

      4. Escolha Add more permissions (Adicionar mais permissões).

      5. Em Serviço, escolha EC2.

      6. Em Ações permitidas, no campo de pesquisa, comece a digitar describein para mostrar as ações relevantes e selecione DescribeInstances.

      7. Escolha Próximo.

    5. Na página Revisar e criar, faça o seguinte:

      1. Em Policy Name (Nome da política), digite um nome para a política.

      2. Escolha Criar política.

  2. Em seguida, anexe a política à sua identidade

    1. No console do IAM, no painel de navegação, escolha Policies (Políticas).

    2. Na lista de políticas, selecione o botão de seleção ao lado do nome da política que você criou. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

    3. Clique em Actions (Ações) e em Attach (Associar).

    4. Em Entidades do IAM, marque a caixa de seleção ao lado da sua identidade (usuário, grupo de usuários ou perfil). É possível usar a caixa de pesquisa para filtrar a lista de identidades.

    5. Escolha Anexar política.

Esta animação mostra como criar uma política do IAM. Para obter a versão em texto desta animação, consulte as etapas do procedimento anterior.
Esta animação mostra como anexar uma política do IAM a uma identidade do IAM. Para obter a versão em texto desta animação, consulte as etapas do procedimento anterior.

Tarefa 2: criar um grupo de segurança que permita o tráfego do EC2 Instance Connect para sua instância

Quando você usa o EC2 Instance Connect no console do Amazon EC2 para se conectar a uma instância, o tráfego que deve ser permitido para chegar à instância é o tráfego do serviço do EC2 Instance Connect. Isso é diferente de se conectar do seu computador local a uma instância; nesse caso, você deverá permitir o tráfego do seu computador local para sua instância. Para permitir o tráfego do EC2 Instance Connect, é necessário criar um grupo de segurança que permita tráfego SSH de entrada da faixa de endereços IP para o serviço do EC2 Instance Connect.

Os intervalos de endereços IP dos serviços da AWS estão disponíveis em https://ip-ranges.amazonaws.com/ip-ranges.json. Os intervalos de endereços IP do EC2 Instance Connect são identificados por "service": "EC2_INSTANCE_CONNECT".

Objetivo da tarefa

Nessa tarefa, primeiro você encontrará o intervalo de endereços IP para EC2_INSTANCE_CONNECT na Região da AWS em que sua instância está localizada. Em seguida, você criará um grupo de segurança que permita na porta 22 tráfego SSH de entrada proveniente desse intervalo de endereços IP.

Etapas para criar os grupos de segurança

Use as etapas a seguir para criar um grupo de faturamento. Para visualizar uma animação das etapas, consulte Visualizar uma animação: obtenha o intervalo de endereços IP do EC2 Instance Connect para uma região específica e Visualizar uma animação: configurar um grupo de segurança.

Para criar um grupo de segurança que permita tráfego de entrada do serviço do EC2 Instance Connect para sua instância

  1. Primeiro, obtenha o intervalo de endereços IP para o serviço do EC2 Instance Connect

    1. Abra o arquivo JSON dos intervalos de endereços IP da AWS em https://ip-ranges.amazonaws.com/ip-ranges.json.

    2. Escolha Dados brutos.

    3. Encontre o intervalo de endereços IP para EC2_INSTANCE_CONNECT para a Região da AWS em que sua instância está localizada. Você pode usar o campo de pesquisa do navegador para pesquisar o serviço EC2_INSTANCE_CONNECT e continuar pesquisando até encontrar a região na qual sua instância está localizada.

      Por exemplo, se sua instância estiver localizada na região Leste dos EUA (Norte da Virgínia) (us-east-1), o intervalo de endereços IP para EC2_INSTANCE_CONNECT nessa região será 18.206.107.24/29.

      nota

      Os intervalos de endereços IP são diferentes para cada Região da AWS.

    4. Copie o intervalo de endereços IP que aparece ao lado de ip_prefix. Você usará esse intervalo de endereços IP posteriormente neste procedimento.

    Para obter mais informações sobre como baixar o arquivo JSON de intervalos de endereços IP da AWS e filtrar por serviço, consulte Intervalos de endereços IP da AWS no Guia do usuário da Amazon VPC.

  2. Em seguida, crie o grupo de segurança com uma regra de entrada para permitir o tráfego do intervalo de endereços IP copiados

    1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

    2. No painel de navegação, selecione Grupos de segurança.

    3. Escolha Create grupo de segurança (Criar grupo de segurança).

    4. Em Basic details (Detalhes básicos), faça o seguinte:

      1. Em Nome do grupo de segurança, insira um nome que faça sentido para o grupo de segurança.

      2. Em Descrição, insira uma descrição para o grupo de segurança.

    5. Em Regras de entrada, faça o seguinte:

      1. Escolha Adicionar regra.

      2. Para Tipo, escolha SSH.

      3. Em Origem, mantenha a opção Personalizada.

      4. No campo ao lado de Origem, cole o intervalo de endereços IP do serviço EC2 Instance Connect que você copiou anteriormente neste procedimento.

        Por exemplo, se sua instância estiver localizada na região Leste dos EUA (Norte da Virgínia) (us-east-1), cole o seguinte intervalo de endereços IP no campo: 18.206.107.24/29

    6. Escolha Create security group (Criar grupo de segurança).

Esta animação mostra como obter o intervalo de endereços IP do EC2 Instance Connect para uma região específica. Para obter a versão em texto desta animação, consulte as etapas do procedimento anterior.
Esta animação mostra como configurar um grupo de segurança. Para obter a versão em texto desta animação, consulte as etapas do procedimento anterior.

Tarefa 3: iniciar sua instância

Ao iniciar uma instância, especifique uma AMI que contenha as informações necessárias para iniciá-la. É possível optar por iniciar uma instância com ou sem o EC2 Instance Connect pré-instalado. Nessa tarefa, especificamos uma AMI que é fornecida pré-instalada com o EC2 Instance Connect.

Se você iniciar sua instância sem o EC2 Instance Connect pré-instalado e quiser usar o EC2 Instance Connect para se conectar à sua instância, precisará executar etapas adicionais de configuração. Essas etapas estão fora do escopo deste tutorial.

Objetivo da tarefa

Nessa tarefa, você iniciará uma instância com a AMI do Amazon Linux 2023, a qual é fornecida pré-instalada com o EC2 Instance Connect. Você também especificará o grupo de segurança que criou anteriormente para poder usar o EC2 Instance Connect no console do Amazon EC2 para se conectar à sua instância. Como você usará o EC2 Instance Connect para se conectar à sua instância, que envia uma chave pública aos metadados da sua instância, não será necessário especificar uma chave SSH ao executar sua instância. No entanto, é preciso garantir que sua instância tenha um endereço IPv4 público, pois o uso do EC2 Instance Connect no console do Amazon EC2 permite a conexão somente com instâncias com endereços IPv4 públicos.

Etapas para iniciar sua instância

Use as etapas a seguir para iniciar sua instância. Para visualizar uma animação dessas etapas, consulte Visualizar uma animação: iniciar sua instância.

Para iniciar uma instância que pode usar o EC2 Instance Connect no console do Amazon EC2 para conexão

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação na parte superior da tela, a região da AWS atual será exibida (por exemplo, Irlanda). Selecione uma região na qual a instância será iniciada. Essa escolha é importante porque você criou um grupo de segurança que permite tráfego para uma região específica. Por isso, é necessário selecionar a mesma região na qual a instância será executada.

  3. No painel do console do Amazon EC2, selecione Launch instance (Executar instância).

  4. (Opcional) Em Name and tags (Nome e tags), para Name (Nome), insira um nome descritivo para a instância.

  5. Em Imagens de aplicações e sistemas operacionais (imagem de máquina da Amazon), escolha Início rápido. O Amazon Linux é selecionado por padrão. Em Imagem de máquina da Amazon (AMI), a opção AMI do Amazon Linux 2023 é selecionada por padrão. Mantenha a seleção padrão para essa tarefa.

  6. Em Tipo de instância, para Tipo de instância, mantenha a seleção padrão ou escolha um tipo de instância diferente.

  7. Em Par de chaves (login), em Nome do par de chaves, escolha Continuar sem um par de chaves (não recomendado). Quando você usa o EC2 Instance Connect para se conectar a uma instância, o EC2 Instance Connect envia um par de chaves para os metadados da instância, e é esse par de chaves que é usado para a conexão.

  8. Em Network settings (Configurações de rede), faça o seguinte:

    1. Em Atribuir IP público automaticamente, mantenha a opçaõ Habilitar.

      nota

      Para usar o EC2 Instance Connect no console do Amazon EC2 para conectar a uma instância, a instância deverá ter um endereço IPv4 público.

    2. Em Firewall (grupos de segurança), escolha Selecionar grupo de segurança existente.

    3. Em Grupos de segurança comuns, escolha o grupo de segurança criado anteriormente.

  9. No painel Resumo painel, escolha Iniciar instância.

Esta animação mostra como iniciar uma instância. Para obter a versão em texto desta animação, consulte as etapas do procedimento anterior.

Tarefa 4: conectar à sua instância

Ao conectar-se a uma instância usando o EC2 Instance Connect, a API do EC2 Instance Connect envia por push uma chave pública SSH para os metadados da instância, onde ela permanece por 60 segundos. O daemon SSH usa AuthorizedKeysCommand e AuthorizedKeysCommandUser para procurar a chave pública nos metadados da instância para autenticação e conectar você à instância.

Objetivo da tarefa

Nessa tarefa, você se conectará à sua instância usando o EC2 Instance Connect no console do Amazon EC2. Se você concluiu os pré-requisitos das Tarefas 1, 2 e 3, a conexão deverá ser bem-sucedida.

Etapas para se conectar à sua instância

Use as etapas a seguir para se conectar à sua instância. Para visualizar uma animação dessas etapas, consulte Visualizar uma animação: conectar à sua instância.

Para conectar uma instância usando o EC2 Instance Connect no console do Amazon EC2

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação na parte superior da tela, a região da AWS atual será exibida (por exemplo, Irlanda). Selecione a região na qual a instância está localizada.

  3. No painel de navegação, escolha Instâncias.

  4. Selecione a instância e escolha Conectar.

  5. Escolha a guia EC2 Instance Connect.

  6. Em Tipo de conexão, escolha Conectar usando o EC2 Instance Connect.

  7. Selecione Conectar.

    Uma janela de terminal abrirá no navegador e você estará conectado à sua instância.

Esta animação mostra como conectar uma instância usando o EC2 Instance Connect. Para obter a versão em texto desta animação, consulte as etapas do procedimento anterior.