# Tutorial: Concluir a configuração necessária para se conectar à sua instância usando o EC2 Instance Connect
<a name="ec2-instance-connect-tutorial"></a>

Para se conectar à sua instância usando o EC2 Instance Connect no console do Amazon EC2, primeiro é necessário concluir a configuração de pré-requisito que permitirá que você se conecte com sucesso à sua instância. O objetivo deste tutorial é orientar você pelas tarefas de conclusão da configuração de pré-requisitos.

**Visão geral do tutorial**

Nesse tutorial, você deverá concluir as seguintes quatro tarefas:
+ [Tarefa 1: conceder as permissões necessárias para usar o EC2 Instance Connect](#eic-tut1-task1)

  Primeiro, você criará uma política do IAM que contenha as permissões do IAM que permitem que você envie uma chave pública para os metadados da instância. Você anexará essa política à sua identidade (usuário, grupo de usuários ou perfil) do IAM para que sua identidade do IAM receba essas permissões.
+ [Tarefa 2: permitir tráfego de entrada do serviço EC2 Instance Connect para a instância](#eic-tut1-task2)

  Em seguida, você criará um grupo de segurança que permita o tráfego do EC2 Instance Connect para sua instância. Isso é necessário quando você usa o EC2 Instance Connect no console do Amazon EC2 para se conectar à sua instância.
+ [Tarefa 3: iniciar sua instância](#eic-tut1-task3)

  Em seguida, você iniciará uma instância do EC2 usando uma AMI pré-instalada com o EC2 Instance Connect e adicionará o grupo de segurança que criou na etapa anterior.
+ [Tarefa 4: conectar à sua instância](#eic-tut1-task4)

  Por fim, você usará o EC2 Instance Connect no console do Amazon EC2 para se conectar à sua instância. Se você conseguir se conectar, poderá ter certeza de que a configuração de pré-requisito concluída nas Tarefas 1, 2 e 3 foi bem-sucedida.

## Tarefa 1: conceder as permissões necessárias para usar o EC2 Instance Connect
<a name="eic-tut1-task1"></a>

Ao conectar-se a uma instância usando o EC2 Instance Connect, a API do EC2 Instance Connect envia por push uma chave pública SSH para os [metadados da instância](ec2-instance-metadata.md), onde ela permanece por 60 segundos. É necessário ter uma política do IAM anexada à sua identidade do IAM (usuário, grupo de usuários ou função) para fornecer a permissão necessária para enviar por push a chave pública para os metadados da instância.

**Objetivo da tarefa**

Você criará a política do IAM que concede a permissão necessária para enviar por push a chave pública para a instância. A ação específica a ser permitida é `ec2-instance-connect:SendSSHPublicKey`. Você também deve permitir a ação `ec2:DescribeInstances` para poder visualizar e selecionar sua instância no console do Amazon EC2.

Depois de criar a política, você anexará a política à sua identidade do IAM (usuário, grupo de usuários ou perfil) para que sua identidade do IAM receba as permissões.

Você criará uma política configurada da seguinte forma:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
```

------

**Importante**  
A política do IAM criada neste tutorial é uma política altamente permissiva. Ela permite que você se conecte a qualquer instância usando qualquer nome de usuário da AMI. Estamos usando essa política altamente permissiva para manter o tutorial simples e focado nas configurações específicas que este tutorial está ensinando. No entanto, em um ambiente de produção, recomendamos que sua política do IAM seja configurada para fornecer permissões com [privilégios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Para obter exemplos de políticas do IAM, consulte [Conceder permissões do IAM para o EC2 Instance Connect](ec2-instance-connect-configure-IAM-role.md).

**Para criar e anexar uma política do IAM que permita a você usar o EC2 Instance Connect para se conectar às suas instâncias**

1. **Crie primeiro a política do IAM**

   1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

   1. No painel de navegação, escolha **Policies**.

   1. Selecione **Criar política**.

   1. Na página **Especificar permissão**, faça o seguinte:

      1. Em **Serviço**, escolha **EC2 Instance Connect**.

      1. Em **Ações permitidas**, no campo de pesquisa, comece a digitar **send** para mostrar as ações relevantes e selecione **SendSSHPublicKey**.

      1. Em **Recursos**, escolha **Todos**. Para um ambiente de produção, recomendamos especificar a instância pelo ARN, mas, neste tutorial, você está permitindo todas as instâncias.

      1. Escolha **Add more permissions (Adicionar mais permissões)**.

      1. Em **Serviço**, escolha **EC2**.

      1. Em **Ações permitidas**, no campo de pesquisa, comece a digitar **describein** para mostrar as ações relevantes e selecione **DescribeInstances**.

      1. Escolha **Próximo**.

   1. Na página **Revisar e criar**, faça o seguinte:

      1. Em **Policy Name (Nome da política)**, digite um nome para a política.

      1. Escolha **Criar política**.

1. **Em seguida, anexe a política à sua identidade**

   1. No console do IAM, no painel de navegação, escolha **Policies** (Políticas).

   1. Na lista de políticas, selecione o botão de seleção ao lado do nome da política que você criou. É possível usar a caixa de pesquisa para filtrar a lista de políticas.

   1. Clique em **Actions (Ações)** e em **Attach (Associar)**.

   1. Em **Entidades do IAM**, marque a caixa de seleção ao lado da sua identidade (usuário, grupo de usuários ou perfil). É possível usar a caixa de pesquisa para filtrar a lista de identidades.

   1. Escolha **Anexar política**.

### Visualizar uma animação: criar uma política do IAM
<a name="eic-tut1-task1-animation1"></a>

![\[Esta animação mostra como criar uma política do IAM. Para obter a versão em texto desta animação, consulte as etapas do procedimento anterior.\]](http://docs.aws.amazon.com/pt_br/AWSEC2/latest/UserGuide/images/eic-tut1-task1-create-iam-policy.gif)


### Visualizar uma animação: anexar uma política do IAM
<a name="eic-tut1-task1-animation2"></a>

![\[Esta animação mostra como anexar uma política do IAM a uma identidade do IAM. Para obter a versão em texto desta animação, consulte as etapas do procedimento anterior.\]](http://docs.aws.amazon.com/pt_br/AWSEC2/latest/UserGuide/images/eic-tut1-task1-attach-iam-policy.gif)


## Tarefa 2: permitir tráfego de entrada do serviço EC2 Instance Connect para a instância
<a name="eic-tut1-task2"></a>

Quando você usa o EC2 Instance Connect no console do Amazon EC2 para se conectar a uma instância, o tráfego que deve ser permitido para chegar à instância é o tráfego do serviço do EC2 Instance Connect. Isso é diferente de se conectar do seu computador local a uma instância; nesse caso, você deverá permitir o tráfego do seu computador local para sua instância. Para permitir o tráfego do EC2 Instance Connect, é necessário criar um grupo de segurança que permita tráfego SSH de entrada da faixa de endereços IP para o serviço do EC2 Instance Connect.

A AWS usa listas de prefixos para gerenciar intervalos de endereços IP. Os nomes das listas de prefixos do EC2 Instance Connect são os seguintes, com a *região* substituída pelo código da região:
+ Nome da lista de prefixos IPv4: `com.amazonaws.region.ec2-instance-connect`
+ Nome da lista de prefixos IPv6: `com.amazonaws.region.ipv6.ec2-instance-connect`

**Objetivo da tarefa**

Você criará um grupo de segurança que permite tráfego SSH de entrada na porta 22 da lista de prefixos IPv4 na região em que sua instância está localizada.

**Para criar um grupo de segurança que permita tráfego de entrada do serviço do EC2 Instance Connect para sua instância**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, selecione **Grupos de segurança**.

1. Escolha **Criar grupo de segurança**.

1. Em **Basic details (Detalhes básicos)**, faça o seguinte:

   1. Em **Nome do grupo de segurança**, insira um nome que faça sentido para o grupo de segurança.

   1. Em **Descrição**, insira uma descrição para o grupo de segurança.

1. Em **Regras de entrada**, faça o seguinte:

   1. Escolha **Adicionar regra**.

   1. Para **Tipo**, escolha **SSH**.

   1. Em **Origem**, mantenha a opção **Personalizada**.

   1. No campo ao lado de **Origem**, selecione a lista de prefixos do EC2 Instance Connect.

      Por exemplo, se sua instância estiver localizada na região Leste dos EUA (Norte da Virgínia) (`us-east-1`) e seus usuários se conectarão ao seu endereço IPv4 público, escolha a seguinte lista de prefixos: **com.amazonaws.us-east-1.ec2-instance-connect**

1. Escolha **Criar grupo de segurança**.

### Visualizar uma animação: criar um grupo de segurança
<a name="eic-tut1-task2-animation"></a>

![\[Esta animação mostra como configurar um grupo de segurança. Para obter a versão em texto desta animação, consulte as etapas do procedimento anterior.\]](http://docs.aws.amazon.com/pt_br/AWSEC2/latest/UserGuide/images/tut1-task2-eic-security-group.gif)


## Tarefa 3: iniciar sua instância
<a name="eic-tut1-task3"></a>

Ao iniciar uma instância, especifique uma AMI que contenha as informações necessárias para iniciá-la. É possível optar por iniciar uma instância com ou sem o EC2 Instance Connect pré-instalado. Nessa tarefa, especificamos uma AMI que é fornecida pré-instalada com o EC2 Instance Connect.

Se você iniciar sua instância sem o EC2 Instance Connect pré-instalado e quiser usar o EC2 Instance Connect para se conectar à sua instância, precisará executar etapas adicionais de configuração. Essas etapas estão fora do escopo deste tutorial.

**Objetivo da tarefa**

Você iniciará uma instância com a AMI do Amazon Linux 2023, que é fornecida pré-instalada com o EC2 Instance Connect. Você também especificará o grupo de segurança que criou anteriormente para poder usar o EC2 Instance Connect no console do Amazon EC2 para se conectar à sua instância. Como você usará o EC2 Instance Connect para se conectar à sua instância, que envia uma chave pública aos metadados da sua instância, não será necessário especificar uma chave SSH ao executar sua instância.

**Para iniciar uma instância que pode usar o EC2 Instance Connect no console do Amazon EC2 para conexão**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Na barra de navegação na parte superior da tela, a região da AWS atual será exibida (por exemplo, **Irlanda**). Selecione uma região na qual a instância será iniciada. Essa escolha é importante porque você criou um grupo de segurança que permite tráfego para uma região específica. Por isso, é necessário selecionar a mesma região na qual a instância será executada.

1. No painel do console do Amazon EC2, selecione **Launch instance (Executar instância)**. 

1. (Opcional) Em **Name and tags** (Nome e tags), para **Name** (Nome), insira um nome descritivo para a instância.

1. Em **Imagens de aplicações e sistemas operacionais (imagem de máquina da Amazon)**, escolha **Início rápido**. O **Amazon Linux** é selecionado por padrão. Em **Imagem de máquina da Amazon (AMI)**, a opção **AMI do Amazon Linux 2023** é selecionada por padrão. Mantenha a seleção padrão para essa tarefa.

1. Em **Tipo de instância**, para **Tipo de instância**, mantenha a seleção padrão ou escolha um tipo de instância diferente.

1. Em **Par de chaves (login)**, em **Nome do par de chaves**, escolha **Continuar sem um par de chaves (não recomendado)**. Quando você usa o EC2 Instance Connect para se conectar a uma instância, o EC2 Instance Connect envia um par de chaves para os metadados da instância, e é esse par de chaves que é usado para a conexão.

1. Em **Network settings** (Configurações de rede), faça o seguinte:

   1. Em **Atribuir IP público automaticamente**, mantenha a opçaõ **Habilitar**.
**nota**  
Para usar o EC2 Instance Connect no console do Amazon EC2 para se conectar a uma instância, a instância deve ter um endereço IPv4 público ou IPv6.

   1. Em **Firewall (grupos de segurança)**, escolha **Selecionar grupo de segurança existente**.

   1. Em **Grupos de segurança comuns**, escolha o grupo de segurança criado anteriormente.

1. No painel **Resumo** painel, escolha **Iniciar instância**.

### Visualizar uma animação: iniciar sua instância
<a name="eic-tut1-task3-animation"></a>

![\[Esta animação mostra como iniciar uma instância. Para obter a versão em texto desta animação, consulte as etapas do procedimento anterior.\]](http://docs.aws.amazon.com/pt_br/AWSEC2/latest/UserGuide/images/tut1-task3-launch-an-instance.gif)


## Tarefa 4: conectar à sua instância
<a name="eic-tut1-task4"></a>

Ao conectar-se a uma instância usando o EC2 Instance Connect, a API do EC2 Instance Connect envia por push uma chave pública SSH para os [metadados da instância](ec2-instance-metadata.md), onde ela permanece por 60 segundos. O daemon SSH usa `AuthorizedKeysCommand` e `AuthorizedKeysCommandUser` para procurar a chave pública nos metadados da instância para autenticação e conectar você à instância.

**Objetivo da tarefa**

Nessa tarefa, você se conectará à sua instância usando o EC2 Instance Connect no console do Amazon EC2. Se você concluiu os pré-requisitos das Tarefas 1, 2 e 3, a conexão deverá ser bem-sucedida. 

**Etapas para se conectar à sua instância**

Use as etapas a seguir para se conectar à sua instância. Para visualizar uma animação dessas etapas, consulte [Visualizar uma animação: conectar à sua instância](#eic-tut1-task4-animation).

**Para conectar uma instância usando o EC2 Instance Connect no console do Amazon EC2**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Na barra de navegação na parte superior da tela, a região da AWS atual será exibida (por exemplo, **Irlanda**). Selecione a região na qual a instância está localizada.

1. No painel de navegação, escolha **Instâncias**. 

1. Selecione a instância e escolha **Conectar**.

1. Escolha a guia **EC2 Instance Connect**.

1. Escolha **Conectar usando um IP público**. 

1. Selecione **Conectar**.

   Uma janela de terminal abrirá no navegador e você estará conectado à sua instância.

### Visualizar uma animação: conectar à sua instância
<a name="eic-tut1-task4-animation"></a>

![\[Esta animação mostra como conectar uma instância usando o EC2 Instance Connect. Para obter a versão em texto desta animação, consulte as etapas do procedimento anterior.\]](http://docs.aws.amazon.com/pt_br/AWSEC2/latest/UserGuide/images/eic-tut1-task4-connect.gif)