Configurer la protection de l'intégrité du système pour les instances Amazon EC2 Mac - Amazon Elastic Compute Cloud
ConsidérationsConfigurations SIP par défautVérifiez votre configuration SIPConditions préalables pour les instances Apple Silicon MacConfiguration des paramètres SIPVérifier l'état de la tâche de configuration SIP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer la protection de l'intégrité du système pour les instances Amazon EC2 Mac

Vous pouvez configurer les paramètres de protection de l'intégrité du système (SIP) pour les instances Mac x86 et les instances Mac Apple Silicon. Le protocole SIP est une fonctionnalité de sécurité essentielle de macOS qui permet d'empêcher l'exécution non autorisée de code et les modifications au niveau du système. Pour plus d'informations, voir À propos de la protection de l'intégrité du système.

Vous pouvez soit activer ou désactiver complètement le protocole SIP, soit activer ou désactiver des paramètres SIP spécifiques de manière sélective. Il est recommandé de ne désactiver le protocole SIP que temporairement pour effectuer les tâches nécessaires, puis de le réactiver dès que possible. Si vous désactivez le protocole SIP, votre instance risque de devenir vulnérable au code malveillant.

La configuration SIP est prise en charge dans toutes les AWS régions où les instances Amazon EC2 Mac sont prises en charge.

Considérations

  • Les types d'instances Amazon EC2 Mac et versions de macOS suivants sont pris en charge :

    • Mac1 | Mac2 | Mac2-M1Ultra — macOS Ventura (version 13.0 ou ultérieure)

    • Mac2-M2 | Mac2-M2Pro — macOS Ventura (version 13.2 ou ultérieure)

    Note

    Les versions bêta et préliminaire de macOS ne sont pas prises en charge.

  • Vous pouvez spécifier une configuration SIP personnalisée pour activer ou désactiver de manière sélective des paramètres SIP individuels. Si vous implémentez une configuration personnalisée, connectez-vous à l'instance et vérifiez les paramètres pour vous assurer que vos exigences sont correctement mises en œuvre et fonctionnent comme prévu.

    Les configurations SIP peuvent changer avec les mises à jour de macOS. Nous vous recommandons de vérifier les paramètres SIP personnalisés après toute mise à niveau de version de macOS afin de garantir la compatibilité continue et le bon fonctionnement de vos configurations de sécurité.

  • Pour les instances Mac x86, les paramètres SIP sont appliqués au niveau de l'instance. Tout volume racine attaché à l'instance héritera automatiquement des paramètres SIP configurés.

    Pour les instances Apple Silicon Mac, les paramètres SIP sont appliqués au niveau du volume. Les volumes racine attachés à l'instance n'héritent pas des paramètres SIP. Si vous connectez un autre volume racine, vous devez reconfigurer les paramètres SIP à l'état requis.

  • L'exécution des tâches de configuration SIP peut prendre jusqu'à 90 minutes. L'instance reste inaccessible pendant que la tâche de configuration SIP est en cours.

  • Les configurations SIP ne sont pas transférées vers les instantanés ou ceux AMIs que vous créez ultérieurement à partir de l'instance.

  • Les instances Apple Silicon Mac ne doivent comporter qu'un seul volume de démarrage, et chaque volume attaché ne peut avoir qu'un seul utilisateur administrateur supplémentaire.

Configurations SIP par défaut

Le tableau suivant répertorie la configuration SIP par défaut pour les instances Mac x86 et les instances Mac Apple Silicon.

Instances Mac Apple Silicon Instances Mac x86
Interne Apple Activé Désactivé
Protections des systèmes de fichiers Activé Désactivé
Système de base Activé Activé
Restrictions de débogage Activé Activé
Restrictions relatives au traçage Activé Activé
Signature suivante Activé Activé
Protections Nvram Activé Activé

Vérifiez votre configuration SIP

Nous vous recommandons de vérifier votre configuration SIP avant et après avoir apporté des modifications afin de vous assurer qu'elle est configurée comme prévu.

Pour vérifier la configuration SIP d'une instance Amazon EC2 Mac

Connectez-vous à l'instance via SSH, puis exécutez la commande suivante sur la ligne de commande.

$ csrutil status

Voici un exemple de sortie.

System Integrity Protection status: enabled.

Configuration:
    Apple Internal: enabled
    Kext Signing: disabled
    Filesystem Protections: enabled
    Debugging Restrictions: enabled
    DTrace Restrictions: enabled
    NVRAM Protections: enabled
    BaseSystem Verification: disabled

Conditions préalables pour les instances Apple Silicon Mac

Avant de configurer les paramètres SIP pour les instances Apple Silicon Mac, vous devez définir un mot de passe et activer le jeton sécurisé pour l'utilisateur administratif du volume racine Amazon EBS (ec2-user).

Note

Le mot de passe et le jeton sécurisé sont définis la première fois que vous vous connectez à une instance Apple Silicon Mac à l'aide de l'interface graphique. Si vous vous êtes déjà connecté à l'instance à l'aide de l'interface graphique ou si vous utilisez une instance Mac x86, vous n'avez pas besoin d'effectuer ces étapes.

Pour définir un mot de passe et activer le jeton sécurisé pour l'utilisateur administratif du volume racine EBS

  1. Connectez-vous à l'instance via SSH.

  2. Définissez le mot de passe de l'ec2-userutilisateur.

    $ sudo /usr/bin/dscl . -passwd /Users/ec2-user

  3. Activez le jeton sécurisé pour l'ec2-userutilisateur. Pour-oldPassword, spécifiez le même mot de passe que celui de l'étape précédente. Pour-newPassword, spécifiez un autre mot de passe. La commande suivante suppose que vos anciens et nouveaux mots de passe sont enregistrés dans .txt des fichiers.

    $ sysadminctl -oldPassword `cat old_password.txt` -newPassword `cat new_password.txt`

  4. Vérifiez que le jeton sécurisé est activé.

    $ sysadminctl -secureTokenStatus ec2-user

Configuration des paramètres SIP

Lorsque vous configurez les paramètres SIP de votre instance, vous pouvez activer ou désactiver tous les paramètres SIP, ou vous pouvez spécifier une configuration personnalisée qui active ou désactive de manière sélective des paramètres SIP spécifiques.

Note

Si vous implémentez une configuration personnalisée, connectez-vous à l'instance et vérifiez les paramètres pour vous assurer que vos exigences sont correctement mises en œuvre et fonctionnent comme prévu.

Les configurations SIP peuvent changer avec les mises à jour de macOS. Nous vous recommandons de vérifier les paramètres SIP personnalisés après toute mise à niveau de version de macOS afin de garantir la compatibilité continue et le bon fonctionnement de vos configurations de sécurité.

Pour configurer les paramètres SIP de votre instance, vous devez créer une tâche de configuration SIP. La tâche de configuration SIP spécifie les paramètres SIP de votre instance.

Lorsque vous créez une configuration SIP pour une instance Apple Silicon Mac, vous devez spécifier les informations d'identification suivantes :

  • Utilisateur administratif du disque interne

    • Nom d'utilisateur — Seul l'utilisateur administratif par défaut (aws-managed-user) est pris en charge et il est utilisé par défaut. Vous ne pouvez pas spécifier un autre utilisateur administratif.

    • Mot de passe — Si vous n'avez pas modifié le mot de passe par défaut pouraws-managed-user, spécifiez le mot de passe par défaut, qui est vide. Dans le cas contraire, spécifiez votre mot de passe.

  • Utilisateur administratif du volume racine Amazon EBS

    • Nom d'utilisateur — Si vous n'avez pas modifié l'utilisateur administratif par défaut, spécifiez-leec2-user. Dans le cas contraire, spécifiez le nom d'utilisateur de votre utilisateur administratif.

    • Mot de passe — Vous devez toujours spécifier le mot de passe.

Utilisez les méthodes suivantes pour créer une tâche de configuration SIP.

Console
Pour créer une tâche de configuration SIP à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances, puis sélectionnez l'instance Amazon EC2 Mac.

  3. Dans l'onglet Sécurité, choisissez Modifier Mac, Modifier la protection de l'intégrité du système.

  4. Pour activer tous les paramètres SIP, sélectionnez Activer le protocole SIP. Pour désactiver tous les paramètres SIP, décochez Activer le protocole SIP.

  5. Pour spécifier une configuration personnalisée qui active ou désactive de manière sélective des paramètres SIP spécifiques, sélectionnez Spécifier une configuration SIP personnalisée, puis sélectionnez les paramètres SIP à activer, ou effacez les paramètres SIP pour les désactiver.

  6. Spécifiez les informations d'identification de l'utilisateur du volume racine et du propriétaire du disque interne.

  7. Choisissez Créer une tâche de modification SIP.

AWS CLI
Pour créer une tâche de configuration SIP à l'aide du AWS CLI

Utilisez la protection-modification-task commande create-mac-system-integrity-.

Activer ou désactiver tous les paramètres SIP

Pour activer ou désactiver complètement tous les paramètres SIP, utilisez uniquement le --mac-system-integrity-protection-status paramètre.

L'exemple de commande suivant active tous les paramètres SIP.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-credentials file://mac-credentials.json
Spécifier une configuration SIP personnalisée

Pour spécifier une configuration SIP personnalisée qui active ou désactive de manière sélective des paramètres SIP spécifiques, spécifiez les --mac-system-integrity-protection-configuration paramètres --mac-system-integrity-protection-status et. Dans ce cas, utilisez-le mac-system-integrity-protection-status pour spécifier l'état global du SIP et mac-system-integrity-protection-configuration pour activer ou désactiver de manière sélective les paramètres SIP individuels.

L'exemple de commande suivant crée une tâche de configuration SIP pour activer tous les paramètres SIP, sauf NvramProtections etFilesystemProtections.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status enabled \
--mac-system-integrity-protection-configuration "NvramProtections=disabled, FilesystemProtections=disabled" \
--mac-credentials file://mac-credentials.json

L'exemple de commande suivant crée une tâche de configuration SIP pour désactiver tous les paramètres SIP, saufDtraceRestrictions.

aws ec2 create-mac-system-integrity-protection-modification-task \
--instance-id i-0abcdef9876543210 \
--mac-system-integrity-protection-status disabled \
--mac-system-integrity-protection-configuration "DtraceRestrictions=enabled" \
--mac-credentials file://mac-credentials.json
Contenu du mac-credentials.json fichier

Voici le contenu du mac-credentials.json fichier référencé dans les exemples précédents.

{
  "internalDiskPassword":"internal-disk-admin_password",
  "rootVolumeUsername":"root-volume-admin_username",
  "rootVolumepassword":"root-volume-admin_password"
}

Vérifier l'état de la tâche de configuration SIP

Utilisez l'une des méthodes suivantes pour vérifier l'état des tâches de configuration SIP.

Console
Pour afficher les tâches de configuration SIP à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances, puis sélectionnez l'instance Amazon EC2 Mac.

  3. Dans l'onglet Sécurité, faites défiler l'écran jusqu'à la section Tâches de modification sur Mac.

AWS CLI
Pour vérifier l'état des tâches de configuration SIP à l'aide du AWS CLI

Utilisez la commande describe-mac-modification-tasks.