Configuración de la Protección de Integridad del Sistema para instancias de Mac de Amazon EC2 - Amazon Elastic Compute Cloud
ConsideracionesConfiguraciones de SIP predeterminadasComprobación de la configuración de SIPRequisitos previos para las instancias de Mac de silicio con AppleConfiguración de los ajustes de SIPComprobación del estado de la tarea de configuración de SIP

Configuración de la Protección de Integridad del Sistema para instancias de Mac de Amazon EC2

Puede configurar los ajustes de Protección de Integridad del Sistema (SIP) para instancias Mac x86 e instancias Mac de silicio con Apple. SIP es una característica de seguridad crítica de macOS que ayuda a prevenir la ejecución de código no autorizado y las modificaciones a nivel del sistema. Para obtener más información, consulte Acerca de la Protección de Integridad del Sistema.

Puede habilitar o deshabilitar SIP por completo, o puede habilitar o deshabilitar de forma selectiva determinadas configuraciones de SIP. Se recomienda deshabilitar el SIP solo temporalmente para realizar las tareas necesarias y, a continuación, volver a habilitarlo lo antes posible. Si se deshabilita el SIP, la instancia podría quedar vulnerable a códigos malintencionados.

La configuración SIP se admite en todas las regiones de AWS en las que se admiten las instancias de Mac de Amazon EC2.

Consideraciones

  • Se admiten los siguientes tipos de instancias de Mac de Amazon EC2 y versiones de macOS:

    • Mac1 | Mac2 | MAc2-m1ultra: macOS Ventura (versión 13.0 o posterior)

    • Mac2-m2 | Mac2-m2pro: macOS Ventura (versión 13.2 o posterior)

    nota

    No se admiten las versiones beta y preliminar de macOS.

  • Puede especificar una configuración de SIP personalizada para habilitar o deshabilitar de forma selectiva las distintas configuraciones de SIP. Si implementa una configuración personalizada, conéctese a la instancia y verifique la configuración para asegurarse de que sus requisitos se implementan correctamente y funcionan según lo previsto.

    Las configuraciones de SIP pueden cambiar con las actualizaciones de macOS. Le recomendamos que revise la configuración de SIP personalizada después de actualizar la versión de macOS para garantizar la compatibilidad continua y el correcto funcionamiento de sus configuraciones de seguridad.

  • En el caso de las instancias de Mac x86, la configuración de SIP se aplica a nivel de instancia. Cualquier volumen raíz adjunto a la instancia heredará automáticamente la configuración de SIP configurada.

    En el caso de las instancias de Mac de silicio con Apple, la configuración de SIP se aplica a nivel de volumen. Los volúmenes raíz adjuntos a la instancia no heredan la configuración de SIP. Si conecta otro volumen raíz, debe volver a configurar los ajustes de SIP en el estado requerido.

  • Las tareas de configuración de SIP pueden tardar hasta 90 minutos en completarse. No se puede acceder a la instancia mientras se realiza la tarea de configuración de SIP.

  • Las configuraciones de SIP no se transfieren a las instantáneas ni a las AMI que se crean posteriormente a partir de la instancia.

  • Las instancias Mac de silicio con Apple solo deben tener un volumen de arranque y cada volumen adjunto solo puede tener un usuario administrador adicional.

Configuraciones de SIP predeterminadas

En la siguiente tabla, se muestra la configuración de SIP predeterminada para las instancias Mac x86 y las instancias Mac de silicio con Apple.

Instancias Mac de silicio con Apple Instancias Mac x86
Apple Internal habilitado Disabled (Desactivado)
Protecciones del sistema de archivos habilitado Disabled (Desactivado)
Sistema base habilitado habilitado
Restricciones de depuración habilitado habilitado
Restricciones de Dtrace habilitado habilitado
Firma de Kext habilitado habilitado
Protecciones Nvram habilitado habilitado

Comprobación de la configuración de SIP

Le recomendamos que compruebe la configuración de SIP antes y después de realizar cambios para asegurarse de que está configurada según lo esperado.

Cómo comprobar la configuración de SIP de una instancia de Mac de Amazon EC2

Conéctese a la instancia mediante SSH y, a continuación, ejecute el siguiente comando en la línea de comandos.

$ csrutil status

A continuación, se muestra un ejemplo del resultado.

System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled

Requisitos previos para las instancias de Mac de silicio con Apple

Antes de poder configurar los ajustes de SIP para las instancias de Mac de silicio con Apple, debe establecer una contraseña y habilitar el token de seguridad para el usuario administrativo del volumen raíz de Amazon EBS (ec2-user).

nota

La contraseña y el token de seguridad se configuran la primera vez que se conecta a una instancia Mac de silicio con Apple mediante la GUI. Si se ha conectado previamente a la instancia mediante la GUI o si utiliza una instancia Mac x86, no necesita realizar estos pasos.

Cómo establecer una contraseña y habilitar el token de seguridad para el usuario administrativo del volumen raíz de EBS

  1. Conéctese a la instancia mediante SSH.

  2. Establezca la contraseña del usuario ec2-user.

    $ sudo /usr/bin/dscl . -passwd /Users/ec2-user

  3. Habilite el token de seguridad para el usuario ec2-user. Para -oldPassword, especifique la misma contraseña del paso anterior. Para -newPassword, especifique una contraseña diferente. El siguiente comando presupone que tiene las contraseñas antigua y nueva guardadas en archivos .txt.

    $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`

  4. Compruebe que el token de seguridad esté habilitado.

    $ sysadminctl -secureTokenStatus ec2-user

Configuración de los ajustes de SIP

Al configurar los ajustes de SIP para la instancia, puede habilitar o deshabilitar todos los ajustes de SIP, o bien puede especificar una configuración personalizada que habilite o deshabilite ajustes de SIP específicos de forma selectiva.

nota

Si implementa una configuración personalizada, conéctese a la instancia y verifique la configuración para asegurarse de que sus requisitos se implementan correctamente y funcionan según lo previsto.

Las configuraciones de SIP pueden cambiar con las actualizaciones de macOS. Le recomendamos que revise la configuración de SIP personalizada después de actualizar la versión de macOS para garantizar la compatibilidad continua y el correcto funcionamiento de sus configuraciones de seguridad.

Para configurar los ajustes de SIP de su instancia, debe crear una tarea de configuración de SIP. La tarea de configuración de SIP especifica los ajustes de SIP de la instancia.

Cuando cree una configuración de SIP para una instancia de Mac de silicio con Apple, debe especificar las siguientes credenciales:

  • Usuario administrativo del disco interno

    • Nombre de usuario: solo se admite el usuario administrativo predeterminado (aws-managed-user) y se usa de forma predeterminada. No puede especificar un usuario administrativo diferente.

    • Contraseña: si no ha cambiado la contraseña predeterminada para aws-managed-user, especifique la contraseña predeterminada, que está en blanco. De lo contrario, especifique su contraseña.

  • Usuario administrativo del volumen raíz de Amazon EBS

    • Nombre de usuario: si no ha cambiado el usuario administrativo predeterminado, especifique ec2-user. De lo contrario, especifique el nombre de usuario de su usuario administrativo.

    • Contraseña: siempre debe especificar la contraseña.

Utilice los siguientes métodos para crear una tarea de configuración de SIP.

Console
Cómo crear una tarea de configuración de SIP mediante la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Instancias y, luego, seleccione la instancia de Mac de Amazon EC2.

  3. En la pestaña Seguridad, seleccione Modificar Mac, Modificar la Protección de Integridad del Sistema.

  4. Para habilitar todos los ajustes de SIP, seleccione Habilitar SIP. Para deshabilitar todos los ajustes de SIP, desmarque Habilitar SIP.

  5. Para especificar una configuración personalizada que habilite o deshabilite de forma selectiva ajustes específicos de SIP, seleccione Especificar una configuración de SIP personalizada y, a continuación, seleccione los ajustes de SIP que desee habilitar o desmarque los ajustes de SIP que desee deshabilitar.

  6. Especifique las credenciales del usuario del volumen raíz y del propietario del disco interno.

  7. Elija Crear tarea de modificación de SIP.

AWS CLI
Cómo crear una tarea de configuración de SIP mediante la AWS CLI

Utilice el comando create-mac-system-integrity-protection-modification-task.

Cómo habilitar o deshabilitar todas las configuraciones de SIP

Para habilitar o deshabilitar por completo todas las configuraciones de SIP, utilice únicamente el parámetro --mac-system-integrity-protection-status.

El siguiente comando de ejemplo activa todas las configuraciones de SIP.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
Especificación de una configuración de SIP personalizada

Para especificar una configuración SIP personalizada que habilite o deshabilite de forma selectiva configuraciones SIP específicas, especifique los parámetros --mac-system-integrity-protection-status y --mac-system-integrity-protection-configuration. En este caso, utilice mac-system-integrity-protection-status para especificar el estado general del SIP y utilice mac-system-integrity-protection-configuration para habilitar o deshabilitar de forma selectiva las configuraciones SIP individuales.

En el siguiente comando de ejemplo, se crea una tarea de configuración de SIP para habilitar todas las configuraciones de SIP, excepto NvramProtections y FilesystemProtections.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json

En el siguiente comando de ejemplo, se crea una tarea de configuración SIP para deshabilitar todas las configuraciones SIP, excepto DtraceRestrictions.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
Contenido del archivo mac-credentials.json

A continuación, se presenta el contenido del archivo mac-credentials.json al que se hace referencia en los ejemplos siguientes.

{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}

Comprobación del estado de la tarea de configuración de SIP

Utilice uno de los siguientes métodos para comprobar el estado de las tareas de configuración de SIP.

Console
Cómo ver las tareas de configuración de SIP mediante la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Instancias y, luego, seleccione la instancia de Mac de Amazon EC2.

  3. En la pestaña Seguridad, desplácese hacia abajo hasta la sección Tareas de modificación de Mac.

AWS CLI
Cómo comprobar el estado de las tareas de configuración del SIP mediante la AWS CLI

Utilice el comando describe-mac-modification-tasks.