Connexion à vos instances à l’aide d’une adresse IP privée et d’un point de terminaison EC2 Instance Connect

Avantages

• Vous pouvez vous connecter à vos instances sans qu'elles aient besoin d'une adresse publique IPv4 ou d'une IPv6 adresse. AWS frais pour toutes les IPv4 adresses publiques, y compris les IPv4 adresses publiques associées aux instances en cours d'exécution et les adresses IP Elastic. Pour plus d'informations, consultez l'onglet IPv4 Adresse publique sur la page de tarification d'Amazon VPC.

• Vous pouvez vous connecter à vos instances depuis Internet sans que votre VPC ait besoin d’une connexion directe à Internet par le biais d’une passerelle Internet.

• Vous pouvez contrôler l’accès à la création et à l’utilisation des points de terminaison EC2 Instance Connect pour se connecter aux instances à l’aide de politiques et d’autorisations IAM.

• Toutes les tentatives de connexion à vos instances, qu'elles soient réussies ou non, sont enregistrées CloudTrail.

• Le point de terminaison EC2 Instance Connect est conçu spécifiquement pour les cas d’utilisation du trafic de gestion, et non pour les transferts de données à haut volume. Les transferts de données à haut volume sont limités.

• Vous pouvez créer un point de terminaison EC2 Instance Connect pour prendre en charge le trafic vers une instance dotée d'une IPv4 adresse ou IPv6 d'une adresse privée. Le type d’adresse IP du point de terminaison doit correspondre à l’adresse IP de l’instance. Vous pouvez créer un point de terminaison qui prend en charge tous les types d’adresses IP.

• (Instances Linux) Si vous utilisez votre propre paire de clés, vous pouvez utiliser n’importe quelle AMI Linux. Dans le cas contraire, EC2 Instance Connect doit être installé sur votre instance. Pour plus d'informations sur les AMI qui incluent EC2 Instance Connect et sur la manière de l'installer sur d'autres AMI prises en charge AMIs, consultezInstallation d’EC2 Instance Connect.

• Vous pouvez assigner un groupe de sécurité à un point de terminaison EC2 Instance Connect. Dans le cas contraire, nous utilisons le groupe de sécurité par défaut pour le VPC. Le groupe de sécurité d’un point de terminaison EC2 Instance Connect doit autoriser le trafic sortant vers les instances de destination. Pour de plus amples informations, veuillez consulter Groupes de sécurité pour le point de terminaison EC2 Instance Connect.

• Vous pouvez configurer un point de terminaison EC2 Instance Connect afin de préserver les adresses IP source des clients lors du routage des demandes vers les instances. Dans le cas contraire, l’adresse IP de l’interface réseau devient l’adresse IP client pour tout le trafic entrant.

  • Si vous activez la préservation de l’adresse IP des clients, les groupes de sécurité des instances doivent autoriser le trafic provenant des clients. De plus, les instances doivent se trouver dans le même VPC que le point de terminaison EC2 Instance Connect.

  • Si vous désactivez la préservation des adresses IP client, les groupes de sécurité des instances doivent autoriser le trafic provenant du VPC. Il s’agit de l’option par défaut.

  • La préservation de l’adresse IP du client n’est prise en charge que sur les points de terminaison EC2 Instance Connect IPv4. Pour utiliser la préservation de l'adresse IP du client, le type d'adresse IP du point de terminaison EC2 Instance Connect doit être IPv4. La préservation de l'adresse IP du client n'est pas prise en charge lorsque le type d'adresse IP est à double pile ou IPv6.

  • Les types d’instance suivants ne prennent pas en charge la préservation de l’IP du client : C1, CG1, CG2, G1, HI1, M1, M2, M3 et T1. Si vous activez la préservation de l’adresse IP du client et que vous tentez de vous connecter à une instance avec l’un de ces types d’instance à l’aide du point de terminaison EC2 Instance Connect, la connexion échoue.

  • La préservation de l’IP du client n’est pas prise en charge lorsque le trafic est acheminé par une passerelle de transit.

• Lorsque vous créez un point de terminaison EC2 Instance Connect, un rôle lié à un service est automatiquement créé pour le service Amazon EC2 dans (IAM). Gestion des identités et des accès AWS Amazon EC2 utilise le rôle lié à un service pour allouer des interfaces réseau dans votre compte, qui sont nécessaires lors de la création de points de terminaison EC2 Instance Connect. Pour de plus amples informations, veuillez consulter Rôle lié à un service pour le point de terminaison EC2 Instance Connect.

• Vous ne pouvez créer qu’un seul point de terminaison EC2 Instance Connect par VPC et par sous-réseau. Pour de plus amples informations, veuillez consulter Quotas pour le point de terminaison EC2 Instance Connect. Si vous devez créer un autre point de terminaison EC2 Instance Connect dans une autre zone de disponibilité au sein du même VPC, vous devez d’abord supprimer le point de terminaison EC2 Instance Connect existant. Dans le cas contraire, vous recevrez une erreur de quota.

• Chaque point de terminaison EC2 Instance Connect peut prendre en charge jusqu’à 20 connexions simultanées.

• La durée maximale d’une connexion TCP établie est de 1 heure (3 600 secondes). Vous pouvez spécifier la durée maximale autorisée dans une politique IAM, qui peut aller jusqu’à 3 600 secondes. Pour de plus amples informations, veuillez consulter Autorisations pour utiliser le point de terminaison EC2 Instance Connect afin de se connecter aux instances.

  La durée de la connexion n’est pas déterminée par la durée de validité de vos informations d’identification IAM. Si vos informations d’identification IAM expirent, la connexion reste active jusqu’à ce que la durée maximale spécifiée soit atteinte. Lorsque vous vous connectez à une instance à l’aide de l’expérience de console EC2 Instance Connect Endpoint, définissez la durée maximale du tunnel (en secondes) sur une valeur inférieure à la durée de vos informations d’identification IAM. Si vos informations d’identification IAM expirent plus tôt, mettez fin à la connexion à votre instance en fermant la page du navigateur.