# Configurar a proteção da integridade do sistema para instâncias Mac do Amazon EC2
<a name="mac-sip-settings"></a>

É possível configurar as opções da proteção da integridade do sistema (SIP) para instâncias Mac x86 e instâncias Mac com chip Apple. A SIP é um recurso de segurança essencial do macOS que ajuda a evitar a execução não autorizada de código e modificações no nível do sistema. Para obter mais informações, consulte [Sobre a proteção da integridade do sistema](https://support.apple.com/en-us/102149).

É possível habilitar ou desabilitar completamente a SIP ou habilitar ou desabilitar seletivamente configurações específicas da proteção. Recomenda-se desabilitar a SIP apenas temporariamente para executar as tarefas necessárias e, em seguida, voltar a habilitá-la assim que possível. Manter a SIP desabilitada pode deixar sua instância vulnerável a códigos maliciosos.

A configuração da SIP é aceita em todas as regiões da AWS em que as instâncias Mac do Amazon EC2 são aceitas.

**Topics**
+ [Considerações](#mac-sip-considerations)
+ [Configurações de SIP padrão](#mac-sip-defaults)
+ [Verifique sua configuração de SIP](#mac-sip-check-settings)
+ [Pré-requisitos para instâncias Mac com chip Apple](#mac-sip-prereqs)
+ [Configurar as opções de SIP](#mac-sip-configure)
+ [Verificar o status da tarefa de configuração de SIP](#mac-sip-state)

## Considerações
<a name="mac-sip-considerations"></a>
+ Os seguintes tipos de instância Mac do Amazon EC2 e versões do macOS são compatíveis:
  + **Mac1 \$1 Mac2 \$1 Mac2-m1ultra**: macOS Ventura (versão 13.0 ou posterior)
  + **Mac2-m2 \$1 Mac2-m2pro**: macOS Ventura (versão 13.2 ou posterior)
  + **Mac-M4 \$1 Mac-M4Pro**: macOS Sequoia (versão 15.6 ou posterior)
**nota**  
As versões beta e de prévia do macOS não são aceitas.
+ É possível especificar uma configuração de SIP personalizada para habilitar ou desabilitar seletivamente configurações de SIP individuais. Se você implementar uma configuração personalizada, [conecte-se à instância e verifique as configurações](#mac-sip-check-settings) para garantir que seus requisitos sejam implementados adequadamente e funcionem conforme o esperado.

  As configurações de SIP podem mudar com as atualizações do macOS. Recomendamos revisar as configurações de SIP personalizadas após qualquer atualização da versão do macOS para garantir a compatibilidade contínua e a funcionalidade adequada das suas configurações de segurança.
+ Para instâncias Mac x86, as configurações de SIP são aplicadas no nível da instância. Qualquer volume raiz associado à instância herdará automaticamente as configurações de SIP configuradas.

  Para instâncias Mac com chip Apple, as configurações de SIP são aplicadas no nível do volume. Os volumes raiz associados à instância não herdam as configurações de SIP. Se você associar outro volume raiz, deverá alterar as configurações de SIP para o estado necessário.
+ Até 90 minutos podem ser necessários para que as tarefas de configuração de SIP sejam concluídas. A instância permanece inacessível enquanto a tarefa de configuração do SIP está em andamento.
+ As configurações de SIP não são transferidas para os snapshots ou AMIs criados posteriormente com base na instância.
+ As instâncias Mac com chip Apple devem ter somente um volume inicializável, e cada volume associado pode ter somente um usuário administrador adicional.

## Configurações de SIP padrão
<a name="mac-sip-defaults"></a>

A tabela a seguir lista a configuração de SIP padrão para instâncias Mac x86 e instâncias Mac com chip Apple.


|  | Instâncias Mac com chip Apple | Instâncias do Mac x86 | 
| --- | --- | --- | 
| Interno da Apple | Habilitado | Desabilitado | 
| Proteções de sistema de arquivos | Habilitado | Desabilitado | 
| Sistema base | Habilitado | Habilitado | 
| Restrições de depuração | Habilitado | Habilitado | 
| Restrições de acesso | Habilitado | Habilitado | 
| Assinatura de Kext | Habilitado | Habilitado | 
| Proteções de Nvram | Habilitado | Habilitado | 

## Verifique sua configuração de SIP
<a name="mac-sip-check-settings"></a>

Recomendamos que você verifique a configuração de SIP antes e depois de fazer alterações para garantir que ela esteja configurada conforme o esperado.

**Para verificar a configuração de SIP de uma instância Mac do Amazon EC2**  
[Conecte-se à instância usando SSH](connect-to-mac-instance.md#mac-instance-ssh) e execute o comando a seguir na linha de comando.

```
$ csrutil status
```

O seguinte é um exemplo de saída.

```
System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled
```

## Pré-requisitos para instâncias Mac com chip Apple
<a name="mac-sip-prereqs"></a>

Antes de configurar as configurações de SIP para instâncias Mac com chip Apple, é necessário definir uma senha e ativar o token seguro para o usuário administrativo do volume raiz do Amazon EBS (`ec2-user`).

**nota**  
A senha e o token seguro são definidos na primeira vez que você se conecta a uma instância Mac com chip Apple usando a GUI. Se você já se [conectou à instância usando a GUI](connect-to-mac-instance.md#mac-instance-vnc), ou se estiver usando uma instância Mac x86, **não** será necessário executar essas etapas.

**nota**  
Todos os nomes de usuário e senhas do macOS usados para autenticação do macOS precisam ter entre 4 e 16 caracteres para uso com chamadas da API de configurações SIP.

**Para definir uma senha e ativar o token seguro para o usuário administrativo do volume raiz do EBS**

1. [Conecte-se à instância usando SSH](connect-to-mac-instance.md#mac-instance-ssh).

1. Defina a senha do usuário `ec2-user`.

   ```
   $ sudo /usr/bin/dscl . -passwd /Users/ec2-user
   ```

1. Ative o token seguro para o usuário `ec2-user`. Em `-oldPassword`, especifique a mesma senha da etapa anterior. Em `-newPassword`, especifique uma senha diferente. O comando a seguir pressupõe que suas senhas salvas antigas e novas estejam salvas em arquivos `.txt`.

   ```
   $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`
   ```

1. Verifique se o token seguro está habilitado.

   ```
   $ sysadminctl -secureTokenStatus ec2-user
   ```

## Configurar as opções de SIP
<a name="mac-sip-configure"></a>

Ao configurar as opções de SIP para sua instância, é possível habilitar ou desabilitar todas as configurações de SIP ou especificar uma configuração personalizada que habilite ou desabilite seletivamente configurações de SIP específicas.

**nota**  
Se você implementar uma configuração personalizada, [conecte-se à instância e verifique as configurações](#mac-sip-check-settings) para garantir que seus requisitos sejam implementados adequadamente e funcionem conforme o esperado.  
As configurações de SIP podem mudar com as atualizações do macOS. Recomendamos revisar as configurações de SIP personalizadas após qualquer atualização da versão do macOS para garantir a compatibilidade contínua e a funcionalidade adequada das suas configurações de segurança.

Para configurar as opções de SIP para sua instância, é necessário criar uma tarefa de configuração de SIP. A tarefa de configuração de SIP especifica as configurações de SIP para sua instância.

Ao criar uma configuração de SIP para uma instância Mac com chip Apple, é necessário especificar as seguintes credenciais:
+ **Usuário administrativo do disco interno**
  + Nome de usuário: somente o usuário administrativo padrão (`aws-managed-user`) é aceito e é usado por padrão. Não é possível especificar um usuário administrativo diferente.
  + Senha: se você não alterou a senha padrão para `aws-managed-user`, especifique a senha padrão, que está *em branco*. Caso contrário, especifique sua senha.
+ **Usuário administrativo do volume raiz do Amazon EBS**
  + Nome de usuário: se você não alterou o usuário administrativo padrão, especifique `ec2-user`. Caso contrário, especifique o nome de usuário do seu usuário administrativo.
  + Senha: a senha deve ser sempre especificada.

Use os métodos a seguir para criar uma tarefa de configuração de SIP.

------
#### [ Console ]

**Para criar uma tarefa de configuração de SIP usando o console**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação à esquerda, escolha **Instâncias** e, em seguida, selecione a instância Mac do Amazon EC2.

1. Na guia **Segurança**, escolha **Modificar Mac, Modificar proteção de integridade do sistema**.

1. Para habilitar todas as configurações de SIP, selecione **Habilitar SIP**. Para desabilitar todas as configurações de SIP, desmarque **Habilitar SIP**.

1. Para especificar uma configuração personalizada que habilite ou desabilite seletivamente configurações de SIP específicas, selecione **Especificar uma configuração de SIP personalizada** e, em seguida, selecione as configurações de SIP a serem habilitadas ou desmarque as configurações de SIP a serem desabilitadas.

1. Especifique as credenciais do usuário do volume raiz e do proprietário do disco interno.

1. Escolha **Criar tarefa de modificação de SIP**.

------
#### [ AWS CLI ]

**Para criar uma tarefa de configuração de SIP usando a AWS CLI**  
Use o comando [ create-mac-system-integrity-protection-modification-task](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-mac-system-integrity-protection-modification-task.html).

**Habilitar ou desabilitar todas as configurações de SIP**  
Para habilitar ou desabilitar completamente todas as configurações de SIP, use somente o parâmetro `--mac-system-integrity-protection-status`.

O comando de exemplo a seguir habilita todas as configurações de SIP.

```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
```

**Especificar uma configuração de SIP personalizada**  
Para especificar uma configuração de SIP personalizada que habilite ou desabilite seletivamente configurações de SIP específicas, especifique os parâmetros `--mac-system-integrity-protection-status` e `--mac-system-integrity-protection-configuration`. Nesse caso, use `mac-system-integrity-protection-status` para especificar o status geral da SIP e use `mac-system-integrity-protection-configuration` para habilitar ou desabilitar seletivamente as configurações individuais de SIP.

O comando de exemplo a seguir cria uma tarefa de configuração de SIP para habilitar todas as configurações de SIP, exceto `NvramProtections` e `FilesystemProtections`.

```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json
```

O comando de exemplo a seguir cria uma tarefa de configuração de SIP para desabilitar todas as configurações de SIP, exceto `DtraceRestrictions`.

```
aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
```

**Conteúdo do arquivo `mac-credentials.json`**  
O conteúdo a seguir faz parte do arquivo `mac-credentials.json` mencionado nos exemplos anteriores.

```
{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}
```

------

## Verificar o status da tarefa de configuração de SIP
<a name="mac-sip-state"></a>

Use um dos métodos a seguir para verificar o estado das tarefas de configuração de SIP.

------
#### [ Console ]

**Para visualizar tarefas de configuração de SIP usando o console**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação à esquerda, escolha **Instâncias** e, em seguida, selecione a instância Mac do Amazon EC2.

1. Na guia **Segurança**, role para baixo até a seção **Tarefas de modificação do Mac**.

------
#### [ AWS CLI ]

**Para verificar o estado das tarefas de configuração de SIP usando a AWS CLI**  
Use o comando [describe-mac-modification-tasks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-mac-modification-tasks.html).

------