Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer l’accès à l’EC2 Serial Console
Pour configurer l’accès à la console série, vous devez accorder l’accès à la console série au niveau du compte, puis configurer des politiques IAM pour accorder l’accès à vos utilisateurs. Pour les instances Linux, vous devez également configurer un utilisateur avec mot de passe sur chaque instance afin que vos utilisateurs puissent utiliser la console série pour la résolution des problèmes.
EC2 Serial Console utilise une connexion par port série virtuel pour interagir avec une instance. Cette connexion est indépendante du VPC de l’instance, ce qui vous permet de travailler avec le système d’exploitation de l’instance et d’exécuter des outils de résolution des problèmes même en cas d’échec du démarrage ou de problèmes de configuration réseau. Comme cette connexion se trouve en dehors du réseau VPC, l’EC2 Serial Console n’utilise pas le groupe de sécurité de l’instance ou l’ACL du réseau de sous-réseaux pour autoriser le trafic vers l’instance.
Avant de commencer
Vérifiez que les conditions préalables sont remplies.
Table des matières
Niveaux d’accès à l’EC2 Serial Console
Par défaut, il n’est pas possible d’accéder à la console série au niveau du compte. Vous devez accorder explicitement l’accès à la console série au niveau du compte. Pour plus d’informations, veuillez consulter Gérer l’accès du compte à l’EC2 Serial Console.
Vous pouvez utiliser une politique de contrôle de service (SCP) pour autoriser l’accès à la console série au sein de votre organisation. Vous pouvez ensuite disposer d’un contrôle d’accès granulaire au niveau de l’utilisateur à l’aide d’une politique IAM pour contrôler l’accès. En combinant des politiques SCP et IAM, vous disposez de différents niveaux de contrôle d’accès à la console série.
- Niveau de l’organisation
-
Vous pouvez utiliser une politique de contrôle de service (SCP) pour autoriser l’accès à la console série aux comptes membre au sein de votre organisation. Pour plus d'informations SCPs, consultez la section Politiques de contrôle des services dans le Guide de AWS Organizations l'utilisateur.
- Niveau de l’instance
-
Vous pouvez configurer les politiques d'accès à la console série en utilisant IAM PrincipalTag et les ResourceTag constructions et en spécifiant les instances par leur ID. Pour de plus amples informations, veuillez consulter Configurer les politiques IAM pour l’accès à l’EC2 Serial Console.
- Niveau utilisateur
-
Vous pouvez configurer l’accès au niveau de l’utilisateur en configurant une politique IAM pour autoriser ou interdire à un utilisateur spécifié d’envoyer la clé publique SSH en mode push au service de console série d’une instance particulière. Pour de plus amples informations, veuillez consulter Configurer les politiques IAM pour l’accès à l’EC2 Serial Console.
- Niveau du système d’exploitation (instances Linux uniquement)
-
Vous pouvez définir un mot de passe utilisateur au niveau du système d’exploitation invité. Cela permet d’accéder à la console série pour certains cas d’utilisation. Toutefois, pour surveiller les journaux, vous n’avez pas besoin d’un utilisateur avec un mot de passe. Pour plus d’informations, veuillez consulter Définir un mot de passe utilisateur de système d’exploitation sur une instance Linux.
Gérer l’accès du compte à l’EC2 Serial Console
Par défaut, il n’est pas possible d’accéder à la console série au niveau du compte. Vous devez accorder explicitement l’accès à la console série au niveau du compte.
Ce paramètre est configuré au niveau du compte, soit directement dans le compte, soit à l’aide d’une politique déclarative. Il doit être configuré dans chaque Région AWS endroit où vous souhaitez autoriser l'accès à la console série. L’utilisation d’une politique déclarative vous permet d’appliquer le paramètre à plusieurs régions simultanément, ainsi qu’à plusieurs comptes simultanément. Lorsqu’une politique déclarative est utilisée, vous ne pouvez pas modifier le paramètre directement dans un compte. Cette rubrique décrit comment configurer le paramètre directement dans un compte. Pour plus d’informations sur l’utilisation des politiques déclaratives, consultez la section Politiques déclaratives dans le Guide de l’utilisateur AWS Organizations .
Table des matières
Autoriser les utilisateurs à gérer l’accès du compte
Pour permettre à vos utilisateurs de gérer l’accès du compte à l’EC2 Serial Console, vous devez leur octroyer les autorisations IAM requises.
La politique suivante accorde des autorisations pour afficher l’état du compte, et autoriser et interdire le compte à accéder à l’EC2 Serial Console .
Pour plus d’informations, consultez Création de politiques IAM dans le Guide de l’utilisateur IAM.
Afficher l’état de l’accès du compte à la console série
Autoriser le compte à accéder à la console série
Interdire au compte l’accès à la console série
Configurer les politiques IAM pour l’accès à l’EC2 Serial Console
Par défaut, vos utilisateurs n’ont pas accès à la console série. Votre organisation doit configurer des politiques IAM pour accorder à vos utilisateurs l’accès requis. Pour plus d’informations, consultez Création de politiques IAM dans le IAM Guide de l’utilisateur.
Pour accéder à la console série, créez un document de politique JSON qui inclut l’action ec2-instance-connect:SendSerialConsoleSSHPublicKey. Cette action accorde à un utilisateur l’autorisation d’envoyer la clé publique en mode push au service de console série, qui démarre une session de console série. Nous vous recommandons de limiter l’accès à des instances EC2 spécifiques. Sinon, tous les utilisateurs disposant de cette autorisation peuvent se connecter à la console série de toutes les instances EC2.
Exemple de politiques IAM
Autoriser explicitement l’accès à la console série
Par défaut, personne n’a accès à la console série. Pour accorder l’accès à la console série, vous devez configurer une politique pour autoriser explicitement cet accès. Nous vous recommandons de configurer une politique qui restreint l’accès à des instances spécifiques.
La politique suivante permet d’accéder à la console série d’une instance spécifique, identifiée par son ID d’instance.
Notez que les actions DescribeInstances, DescribeInstanceTypes et GetSerialConsoleAccessStatus ne prennent pas en charge les autorisations au niveau des ressources. Par conséquent, toutes les ressources, indiquées par un astérisque *, doivent être spécifiées pour ces actions.
Refuser explicitement l’accès à la console série
La politique IAM suivante autorise l’accès à la console série de toutes les instances, désignées par * (astérisque), et refuse explicitement l’accès à la console série d’une instance spécifique, identifiée par son ID.
Utiliser des balises de ressources pour contrôler l’accès à la console série
Vous pouvez utiliser des balises de ressource pour contrôler l’accès à la console série d’une instance.
Le contrôle d'accès basé sur les attributs est une stratégie d'autorisation qui définit les autorisations en fonction de balises pouvant être associées aux utilisateurs et AWS aux ressources. Par exemple, la politique suivante permet à un utilisateur d’initier une connexion à la console série pour une seule instance si la balise de ressource de cette instance et la balise du principal possèdent la même valeur SerialConsole en clé de balise.
Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès à vos AWS ressources, consultez la section Contrôle de l'accès aux AWS ressources dans le guide de l'utilisateur IAM.
Notez que les actions DescribeInstances, DescribeInstanceTypes et GetSerialConsoleAccessStatus ne prennent pas en charge les autorisations au niveau des ressources. Par conséquent, toutes les ressources, indiquées par un astérisque *, doivent être spécifiées pour ces actions.
Définir un mot de passe utilisateur de système d’exploitation sur une instance Linux
Vous pouvez vous connecter à la console série sans mot de passe. Toutefois, pour utiliser la console série pour résoudre les problèmes d’une instance, cette dernière doit avoir un utilisateur de système d’exploitation avec mot de passe.
Vous pouvez définir le mot de passe pour n’importe quel utilisateur du système d’exploitation, y compris l’utilisateur racine. Notez que l’utilisateur racine peut modifier tous les fichiers, tandis que chaque utilisateur du système d’exploitation peut avoir des autorisations limitées.
Vous devez définir un mot de passe utilisateur pour chaque instance pour laquelle vous utilisez la console série. Vous n’aurez besoin d’effectuer cette opération qu’une seule fois pour chaque instance.
Note
Par défaut, les AMIs données fournies par ne AWS sont pas configurées avec un utilisateur basé sur un mot de passe. Si vous avez lancé votre instance à l’aide d’une AMI sur laquelle le mot de passe utilisateur racine est déjà configuré, vous pouvez ignorer ces instructions.
Pour définir un mot de passe utilisateur de système d’exploitation sur une instance Linux
-
Connectez-vous à votre instance. Vous pouvez utiliser n’importe quelle méthode de connexion à votre instance, à l’exception de la méthode de connexion à l’EC2 Serial Console .
-
Pour définir le mot de passe d’un utilisateur, utilisez la commande passwd. Dans l’exemple suivant, l’utilisateur est
root.[ec2-user ~]$sudo passwd rootVoici un exemple de sortie.
Changing password for user root. New password: -
À l’invite
New password, entrez le nouveau mot de passe. -
À l’invite, saisissez à nouveau le mot de passe.
