EC2 Instance Connect 的先决条件

安装 EC2 Instance Connect

要使用 EC2 Instance Connect 连接到实例，该实例必须安装 EC2 Instance Connect。您可以使用预装 EC2 Instance Connect 的 AMI 启动实例，也可以在使用支持的 AMI 启动的实例上安装 EC2 Instance Connect。有关更多信息，请参阅 在您的 EC2 实例上安装 EC2 Instance Connect。

保障网络连接质量

可以将实例配置为允许用户通过互联网或通过实例的私有 IP 地址连接到您的实例。根据您的用户使用 EC2 Instance Connect 连接到实例的方式，您必须配置以下网络访问：

如果您的实例没有公有 IPv4 或公有 IPv6 地址，并且您不希望按照上述方式配置网络访问权限，则可以考虑将 EC2 Instance Connect 端点作为 EC2 Instance Connect 的替代方案。借助 EC2 Instance Connect 端点，您可以通过 SSH 或 RDP 连接到实例，即使实例没有公有 IPv4 或公有 IPv6 地址。有关更多信息，请参阅 使用 Amazon EC2 控制台连接到您的 Linux 实例。

允许入站 SSH 流量

使用 Amazon EC2 控制台连接到实例时

当用户使用 Amazon EC2 控制台连接到实例时，必须允许到达实例的流量是来自 EC2 Instance Connect 服务的流量。该服务由特定的 IP 地址范围标识，AWS 通过前缀列表来管理这些地址范围。您必须创建一个安全组，以允许来自 EC2 Instance Connect 服务的入站 SSH 流量。要进行此配置，对于入站规则，请在来源旁的字段中，选择 EC2 Instance Connect 前缀列表。

AWS 为每个区域的 IPv4 和 IPv6 地址提供了不同的托管前缀列表。EC2 Instance Connect 前缀列表的名称如下，请将 region 替换为区域代码：

有关创建安全组的说明，请参阅 任务 2：允许从 EC2 Instance Connect 服务到实例的入站流量。有关更多信息，请参阅《Amazon VPC 用户指南》中的可用的 AWS 托管前缀列表。

使用 CLI 或 SSH 连接到实例时

确保与您实例关联的安全组允许来自您 IP 地址端口 22 或您网络上的传入 SSH 流量。默认情况下，VPC 的默认安全组不允许传入 SSH 流量。默认情况下，启动实例向导创建的安全组允许传入的 SSH 流量。有关更多信息，请参阅 用于从您的计算机连接到实例的规则。

授予权限

您必须向使用 EC2 Instance Connect 连接到实例的每个 IAM 用户授予所需的权限。有关更多信息，请参阅 为 EC2 Instance Connect 授予 IAM 权限。

在本地计算机上安装 SSH 客户端

如果您的用户使用 SSH 进行连接，他们必须确保其本地计算机具有 SSH 客户端。

用户的本地计算机可能已默认安装 SSH 客户端。他们可以通过在命令行键入 ssh 来检查 SSH 客户端。如果他们的本地计算机无法识别该命令，可安装 SSH 客户端。有关在 Linux 或 macOS X 上安装 SSH 客户端的信息，请参阅 http://www.openssh.com。有关在 Windows 10 上安装 SSH 客户端的信息，请参阅 Windows 中的 OpenSSH。

如果用户仅使用 Amazon EC2 控制台连接到实例，则无需在本地计算机上安装 SSH 客户端。

满足用户名要求

使用 EC2 Instance Connect 连接到实例时，用户名必须满足以下要求：