Configurer la protection de l'intégrité du système pour les instances Amazon EC2 Mac - Amazon Elastic Compute Cloud
ConsidérationsConfigurations SIP par défautVérifiez votre configuration SIPConditions préalables pour les instances Mac Apple siliconConfigurer les paramètres SIPVérification de l’état de la tâche de configuration SIP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer la protection de l'intégrité du système pour les instances Amazon EC2 Mac

Vous pouvez configurer les paramètres SIP (System Integrity Protection) pour les instances Mac x86 et les instances Mac Apple silicon. Le protocole SIP est une fonctionnalité de sécurité essentielle de macOS qui permet d’empêcher l’exécution non autorisée de code et les modifications au niveau du système. Pour plus d’informations, veuillez consulter la section À propos de la fonctionnalité Protection de l’intégrité du système sur votre Mac.

Vous pouvez soit activer ou désactiver complètement le protocole SIP, soit activer ou désactiver des paramètres SIP spécifiques de manière sélective. Il est recommandé de ne désactiver le protocole SIP que temporairement pour effectuer les tâches nécessaires, puis de le réactiver dès que possible. En laissant le SIP désactivé, votre instance pourrait être vulnérable au code malveillant.

La configuration SIP est prise en charge dans toutes les AWS régions où les instances Amazon EC2 Mac sont prises en charge.

Considérations

  • Les types d'instances Amazon EC2 Mac et versions de macOS suivants sont pris en charge :

    • Mac1 | Mac2 | Mac2-m1ultra : macOS Ventura (version 13.0 ou ultérieure)

    • Mac2-m2 | Mac2-m2pro : macOS Ventura (version 13.2 ou ultérieure)

    • Mac-m4 | Mac-m4pro : macOS Sequoia (version 15.6 ou ultérieure)

    Note

    Les versions bêta et préliminaire de macOS ne sont pas prises en charge.

  • Vous pouvez spécifier une configuration SIP personnalisée pour activer ou désactiver de manière sélective des paramètres SIP individuels. Si vous implémentez une configuration personnalisée, connectez-vous à l’instance et vérifiez les paramètres pour vous assurer que vos exigences sont correctement mises en œuvre et fonctionnent comme prévu.

    Les configurations SIP peuvent changer avec les mises à jour de macOS. Nous vous recommandons de vérifier les paramètres SIP personnalisés après toute mise à niveau de version de macOS afin de garantir la compatibilité continue et le bon fonctionnement de vos configurations de sécurité.

  • Pour les instances Mac x86, les paramètres SIP sont appliqués au niveau de l’instance. Tout volume racine attaché à l’instance héritera automatiquement des paramètres SIP configurés.

    Pour les instances Mac Apple silicon, les paramètres SIP sont appliqués au niveau du volume. Les volumes racine attachés à l’instance n’héritent pas des paramètres SIP. Si vous connectez un autre volume racine, vous devez reconfigurer les paramètres SIP à l’état requis.

  • L’exécution des tâches de configuration SIP peut prendre jusqu’à 90 minutes. L’instance reste inaccessible lorsque la tâche de configuration SIP est en cours.

  • Les configurations SIP ne sont pas transférées vers les instantanés ou ceux AMIs que vous créez ultérieurement à partir de l'instance.

  • Les instances Mac Apple silicon ne doivent comporter qu’un seul volume de démarrage, et chaque volume attaché ne peut avoir qu’un seul utilisateur administrateur supplémentaire.

Configurations SIP par défaut

Le tableau suivant répertorie la configuration SIP par défaut pour les instances Mac x86 et les instances Mac Apple silicon.

Instances Mac Apple silicon Instances Mac x86
Apple interne Activé Désactivé
Protections du système de fichiers Activé Désactivé
Système de base Activé Activé
Restrictions de débogage Activé Activé
Restrictions Dtrace Activé Activé
Signature Kext Activé Activé
Protections Nvram Activé Activé

Vérifiez votre configuration SIP

Nous vous recommandons de vérifier votre configuration SIP avant et après les modifications afin de vous assurer qu’elle est configurée comme prévu.

Pour vérifier la configuration SIP d'une instance Amazon EC2 Mac

Connectez-vous à l’instance via SSH, puis exécutez la commande suivante sur la ligne de commande.

$ csrutil status

Voici un exemple de sortie.

System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled

Conditions préalables pour les instances Mac Apple silicon

Avant de configurer les paramètres SIP pour les instances Mac Apple silicon, vous devez définir un mot de passe et activer le jeton sécurisé pour l’utilisateur administratif du volume racine Amazon EBS (ec2-user).

Note

Le mot de passe et le jeton sécurisé sont définis la première fois que vous vous connectez à une instance Mac Apple silicon à l’aide de l’interface graphique. Si vous vous êtes déjà connecté à l’instance à l’aide de l’interface graphique ou si vous utilisez une instance Mac x86, vous n’avez pas besoin d’effectuer ces étapes.

Pour définir un mot de passe et activer le jeton sécurisé pour l’utilisateur administratif du volume racine EBS

  1. Connectez-vous à l'instance via SSH.

  2. Définissez le mot de passe de l’utilisateur ec2-user.

    $ sudo /usr/bin/dscl . -passwd /Users/ec2-user

  3. Activez le jeton sécurisé pour l’utilisateur ec2-user. Pour -oldPassword, spécifiez le même mot de passe de l’étape précédente. Pour -newPassword, spécifiez un autre mot de passe. La commande suivante suppose que vos anciens et nouveaux mots de passe sont enregistrés dans des fichiers .txt.

    $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`

  4. Vérifiez que le jeton sécurisé est activé.

    $ sysadminctl -secureTokenStatus ec2-user

Configurer les paramètres SIP

Lorsque vous configurez les paramètres SIP de votre instance, vous pouvez activer ou désactiver tous les paramètres SIP, ou vous pouvez spécifier une configuration personnalisée qui active ou désactive de manière sélective des paramètres SIP spécifiques.

Note

Si vous implémentez une configuration personnalisée, connectez-vous à l’instance et vérifiez les paramètres pour vous assurer que vos exigences sont correctement mises en œuvre et fonctionnent comme prévu.

Les configurations SIP peuvent changer avec les mises à jour de macOS. Nous vous recommandons de vérifier les paramètres SIP personnalisés après toute mise à niveau de version de macOS afin de garantir la compatibilité continue et le bon fonctionnement de vos configurations de sécurité.

Pour configurer les paramètres SIP de votre instance, vous devez créer une tâche de configuration SIP. La tâche de configuration SIP spécifie les paramètres SIP de votre instance.

Lorsque vous créez une configuration SIP pour une instance Mac Apple silicon, vous devez indiquer les informations d’identification suivantes :

  • Utilisateur administratif du disque interne

    • Nom d’utilisateur : seul l’utilisateur administratif par défaut (aws-managed-user) est pris en charge et il est utilisé par défaut. Vous ne pouvez pas spécifier un autre utilisateur administratif.

    • Mot de passe : si vous n’avez pas modifié le mot de passe par défaut pour aws-managed-user, spécifiez-le, à savoir un mot de passe vide. Dans le cas contraire, spécifiez votre mot de passe.

  • Utilisateur administrateur du volume racine Amazon EBS

    • Nom d’utilisateur : si vous n’avez pas modifié l’utilisateur administratif par défaut, spécifiez ec2-user. Dans le cas contraire, spécifiez le nom d’utilisateur de votre utilisateur administratif.

    • Mot de passe : vous devez toujours spécifier le mot de passe.

Utilisez les méthodes suivantes pour créer une tâche de la configuration SIP.

Console
Pour créer une tâche de configuration SIP à l’aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances, puis sélectionnez l'instance Amazon EC2 Mac.

  3. Dans l’onglet Sécurité, choisissez Modifier le Mac, Modifier la protection de l’intégrité du système.

  4. Pour activer tous les paramètres SIP, sélectionnez Activer SIP. Pour désactiver tous les paramètres SIP, décochez Activer SIP.

  5. Pour spécifier une configuration personnalisée qui active ou désactive de manière sélective des paramètres SIP spécifiques, sélectionnez Spécifier une configuration SIP personnalisée, puis sélectionnez les paramètres SIP à activer ou décochez les paramètres SIP pour les désactiver.

  6. Spécifiez les informations d’identification de l’utilisateur du volume racine et du propriétaire du disque interne.

  7. Choisissez Créer une tâche de modification SIP.

AWS CLI
Pour créer une tâche de configuration SIP à l'aide du AWS CLI

Utilisez la protection-modification-task commande create-mac-system-integrity-.

Activation ou désactivation de tous les paramètres

Pour activer ou désactiver complètement tous les paramètres SIP, utilisez uniquement le paramètre --mac-system-integrity-protection-status.

L’exemple de commande suivant active tous les paramètres SIP.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
Spécification d’une configuration SIP personnalisée

Pour spécifier une configuration SIP personnalisée qui active ou désactive de manière sélective des paramètres SIP spécifiques, spécifiez les paramètres --mac-system-integrity-protection-status et --mac-system-integrity-protection-configuration. Dans ce cas, utilisez mac-system-integrity-protection-status pour spécifier l’état global du SIP et mac-system-integrity-protection-configuration pour activer ou désactiver de manière sélective les paramètres SIP individuels.

L’exemple de commande suivant crée une tâche de configuration SIP pour activer tous les paramètres SIP, sauf NvramProtections et FilesystemProtections.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json

L’exemple de commande suivant crée une tâche de configuration SIP pour désactiver tous les paramètres SIP, sauf DtraceRestrictions.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
Contenu du fichier mac-credentials.json

Voici le contenu du fichier mac-credentials.json référencé dans les exemples précédents.

{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}

Vérification de l’état de la tâche de configuration SIP

Utilisez l’une des méthodes suivantes pour vérifier l’état des tâches de configuration SIP.

Console
Pour consulter vos tâches de configuration SIP à l’aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances, puis sélectionnez l'instance Amazon EC2 Mac.

  3. Dans l’onglet Sécurité, faites défiler l’écran jusqu’à la section Tâches de modification du Mac.

AWS CLI
Pour vérifier l'état des tâches de configuration SIP à l'aide du AWS CLI

Utilisez la commande describe-mac-modification-tasks.