Configurer les outils AMI Amazon EC2 - Amazon Elastic Compute Cloud
Gérer les certificats de signature

Configurer les outils AMI Amazon EC2

Vous pouvez utiliser les outils AMI pour créer et gérer des AMI Linux basées sur Amazon S3. Pour utiliser ces outils, vous devez les installer sur votre instance Linux. Les outils AMI sont disponibles sous forme de fichiers RPM et .zip pour les distributions Linux ne prenant pas en charge RPM.

Pour installer les outils AMI à l’aide d’un fichier RPM

  1. Installez Ruby en utilisant le gestionnaire de package pour votre distribution de Linux, par exemple yum. Exemples :

    [ec2-user ~]$ sudo yum install -y ruby

  2. Téléchargez le fichier RPM à l’aide d’un outil tel que wget ou curl. Exemples :

    [ec2-user ~]$ wget https://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.noarch.rpm

  3. Vérifiez la signature du fichier RPM en utilisant la commande suivante :

    [ec2-user ~]$ rpm -K ec2-ami-tools.noarch.rpm

    La commande ci-dessus doit indiquer que les hachages SHA1 et MD5 du fichier sont OK. Si la commande indique que les hachages sont NOT OK, utilisez la commande suivante pour afficher les hachages SHA1 et MD5 d’en-tête du fichier :

    [ec2-user ~]$ rpm -Kv ec2-ami-tools.noarch.rpm

    Ensuite, comparez les hachages SHA1 et MD5 d’en-tête du fichier avec les hachages des outils d’AMI vérifiés suivants pour confirmer l’authenticité du fichier :

    • SHA1 d’en-tête : a1f662d6f25f69871104e6a62187fa4df508f880

    • MD5 : 9faff05258064e2f7909b66142de6782

    Si les hachages SHA1 et MD5 d’en-tête du fichier correspondent aux hachages des outils d’AMI vérifiés, passez à l’étape suivante.

  4. Installez le fichier RPM à l’aide de la commande suivante:

    [ec2-user ~]$ sudo yum install ec2-ami-tools.noarch.rpm

  5. Vérifiez l’installation de vos outils AMI avec la commande ec2-ami-tools-version.

    [ec2-user ~]$ ec2-ami-tools-version
    Note

    Si vous recevez une erreur de chargement comme « cannot load such file -- ec2/amitools/version (LoadError) », terminez l’étape suivante pour ajouter l’emplacement d’installation de vos outils AMI dans votre chemin d’accès RUBYLIB.

  6. (Facultatif) Si vous avez reçu une erreur à l’étape précédente, ajoutez l’emplacement d’installation de vos outils AMI pour votre chemin d’accès RUBYLIB.

    1. Exécutez la commande suivante afin de déterminer les chemins à ajouter.

      [ec2-user ~]$ rpm -qil ec2-ami-tools | grep ec2/amitools/version
/usr/lib/ruby/site_ruby/ec2/amitools/version.rb
/usr/lib64/ruby/site_ruby/ec2/amitools/version.rb

      Dans l’exemple ci-dessus, le fichier manquant à partir de l’erreur de chargement précédente est situé aux emplacements /usr/lib/ruby/site_ruby et /usr/lib64/ruby/site_ruby.

    2. Ajoutez les emplacements à partir de l’étape précédente pour votre chemin d’accès. RUBYLIB

      [ec2-user ~]$ export RUBYLIB=$RUBYLIB:/usr/lib/ruby/site_ruby:/usr/lib64/ruby/site_ruby

    3. Vérifiez l’installation de vos outils AMI avec la commande ec2-ami-tools-version.

      [ec2-user ~]$ ec2-ami-tools-version
Pour installer les outils AMI à l’aide du fichier .zip

  1. Installez Ruby et décompressez en utilisant le gestionnaire de package pour votre distribution de Linux, comme apt-get. Exemples :

    [ec2-user ~]$ sudo apt-get update -y && sudo apt-get install -y ruby unzip

  2. Téléchargez le fichier .zip à l’aide d’un outil tel que wget ou curl. Exemples :

    [ec2-user ~]$ wget https://s3.amazonaws.com/ec2-downloads/ec2-ami-tools.zip

  3. Décompressez les fichiers dans un répertoire d’installation approprié, tel que /usr/local/ec2.

    [ec2-user ~]$ sudo mkdir -p /usr/local/ec2
$ sudo unzip ec2-ami-tools.zip -d /usr/local/ec2

    Notez que le fichier .zip contient un dossier ec2-ami-tools-x.x.x, où x.x.x correspond au numéro de version des outils (par exemple, ec2-ami-tools-1.5.7).

  4. Définissez la variable d’environnement EC2_AMITOOL_HOME sur le répertoire d’installation des outils. Exemples :

    [ec2-user ~]$ export EC2_AMITOOL_HOME=/usr/local/ec2/ec2-ami-tools-x.x.x

  5. Ajoutez les outils à votre variable d’environnement PATH. Exemples :

    [ec2-user ~]$ export PATH=$EC2_AMITOOL_HOME/bin:$PATH

  6. Vous pouvez vérifier l’installation de vos outils AMI avec la commande ec2-ami-tools-version.

    [ec2-user ~]$ ec2-ami-tools-version

Gérer les certificats de signature

Certaines commandes dans les outils AMI nécessitent un certificat de signature (également appelé certificat X.509). Vous devez créer et importer le certificat et le télécharger dans AWS. Par exemple, vous pouvez utiliser un outil tiers tel que OpenSSL pour créer le certificat.

Pour créer un certificat de signature

  1. Installer et configurer OpenSSL.

  2. Créez une clé privée à l’aide de la commande openssl genrsa et enregistrez la sortie dans un fichier .pem. Nous vous recommandons de créer une clé RSA 2048 bits ou 4096 bits.

    openssl genrsa 2048 > private-key.pem

  3. Générez un certificat à l’aide de la commande openssl req.

    openssl req -new -x509 -nodes -sha256 -days 365 -key private-key.pem -outform PEM -out certificate.pem

Pour charger le certificat dans AWS, utilisez la commande upload-signing-certificate.

aws iam upload-signing-certificate --user-name user-name --certificate-body file://path/to/certificate.pem

Pour afficher les certificats d’un utilisateur, utilisez la commande list-signing-certificates :

aws iam list-signing-certificates --user-name user-name

Pour désactiver ou réactiver un certificat de signature pour un utilisateur, utilisez la commande update-signing-certificate. La commande suivante désactive le certificat :

aws iam update-signing-certificate --certificate-id OFHPLP4ZULTHYPMSYEX7O4BEXAMPLE --status Inactive --user-name user-name

Pour supprimer un certificat, utilisez la commande delete-signing-certificate :

aws iam delete-signing-certificate --user-name user-name --certificate-id OFHPLP4ZULTHYPMSYEX7O4BEXAMPLE