Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasikan akses ke Konsol Serial EC2
Untuk mengonfigurasi akses ke konsol serial, Anda harus memberikan akses konsol serial pada tingkat akun, lalu mengonfigurasi kebijakan IAM untuk memberikan akses kepada pengguna IAM. Untuk instance Linux, Anda juga harus mengonfigurasi pengguna berbasis kata sandi pada setiap instance sehingga pengguna Anda dapat menggunakan konsol serial untuk pemecahan masalah.
EC2 Serial Console menggunakan koneksi port serial virtual untuk berinteraksi dengan sebuah instans. Koneksi ini independen dari VPC instance, sehingga Anda dapat bekerja dengan sistem operasi instance dan menjalankan alat pemecahan masalah bahkan jika ada kegagalan boot atau masalah konfigurasi jaringan. Karena koneksi ini berada di luar jaringan VPC, EC2 Serial Console tidak menggunakan grup keamanan instans atau jaringan subnet ACL untuk mengotorisasi lalu lintas ke instans.
**Sebelum Anda mulai**
Verifikasi bahwa [prasyarat terpenuhi](ec2-serial-console-prerequisites.md).
**Topics**
+ [Tingkat akses ke Konsol Serial EC2](#serial-console-access-levels)
+ [Kelola akses akun ke Konsol Serial EC2](#serial-console-account-access)
+ [Konfigurasikan kebijakan IAM untuk akses Konsol Serial EC2](#serial-console-iam)
+ [Tetapkan kata sandi pengguna OS pada instance Linux](#set-user-password)
## Tingkat akses ke Konsol Serial EC2
Secara default, tidak ada akses ke konsol serial pada tingkat akun. Anda perlu secara eksplisit memberikan akses ke konsol serial pada tingkat akun. Untuk informasi selengkapnya, lihat [Kelola akses akun ke Konsol Serial EC2](#serial-console-account-access).
Anda dapat menggunakan kebijakan kontrol layanan (SCP) untuk mengizinkan akses ke konsol serial dalam organisasi. Anda selanjutnya dapat memiliki kontrol akses terperinci pada tingkat pengguna menggunakan kebijakan IAM untuk mengontrol akses. Dengan menggunakan kombinasi kebijakan SCP dan IAM, Anda memiliki beragam tingkat kontrol akses ke konsol serial.
**Tingkat organisasi**
Anda dapat menggunakan kebijakan kontrol layanan (SCP) untuk mengizinkan akses ke konsol serial di organisasi Anda. Untuk informasi selengkapnya SCPs, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) di *Panduan AWS Organizations Pengguna*.
**Tingkat instans**
Anda dapat mengonfigurasi kebijakan akses konsol serial dengan menggunakan IAM PrincipalTag dan ResourceTag konstruksi dan dengan menentukan instance berdasarkan ID mereka. Untuk informasi selengkapnya, lihat [Konfigurasikan kebijakan IAM untuk akses Konsol Serial EC2](#serial-console-iam).
**Tingkat pengguna**
Anda dapat mengonfigurasi akses pada tingkat pengguna dengan mengonfigurasi kebijakan IAM untuk mengizinkan atau menolak pengguna tertentu izin guna mendorong kunci publik SSH ke layanan konsol serial instans tertentu. Untuk informasi selengkapnya, lihat [Konfigurasikan kebijakan IAM untuk akses Konsol Serial EC2](#serial-console-iam).
**Tingkat OS** (hanya instance Linux)
Anda dapat mengatur kata sandi pengguna pada tingkat OS tamu. Tingkat ini menyediakan akses ke konsol serial untuk beberapa kasus penggunaan. Namun, untuk memantau log, Anda tidak memerlukan pengguna berbasis kata sandi. Untuk informasi selengkapnya, lihat [Tetapkan kata sandi pengguna OS pada instance Linux](#set-user-password).
## Kelola akses akun ke Konsol Serial EC2
Secara default, tidak ada akses ke konsol serial pada tingkat akun. Anda perlu secara eksplisit memberikan akses ke konsol serial pada tingkat akun.
Pengaturan ini dikonfigurasi di tingkat akun, baik secara langsung di akun atau dengan menggunakan kebijakan deklaratif. Itu harus dikonfigurasi di setiap Wilayah AWS tempat Anda ingin memberikan akses ke konsol serial. Menggunakan kebijakan deklaratif memungkinkan Anda menerapkan pengaturan di beberapa Wilayah secara bersamaan, serta di beberapa akun secara bersamaan. Saat kebijakan deklaratif sedang digunakan, Anda tidak dapat mengubah setelan secara langsung di dalam akun. Topik ini menjelaskan cara mengonfigurasi pengaturan secara langsung di dalam akun. Untuk informasi tentang penggunaan kebijakan deklaratif, lihat [Kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) di *AWS Organizations Panduan Pengguna*.
**Contents**
+ [Memberikan izin kepada pengguna untuk mengelola akses akun](#sc-account-access-permissions)
+ [Melihat status akses akun ke konsol serial](#sc-view-account-access)
+ [Memberikan akses akun ke konsol serial](#sc-grant-account-access)
+ [Menolak akses akun ke konsol serial](#sc-deny-account-access)
### Memberikan izin kepada pengguna untuk mengelola akses akun
Untuk mengizinkan pengguna mengelola akses akun ke konsol serial EC2, Anda perlu memberi mereka izin IAM yang diperlukan.
Kebijakan berikut memberikan izin untuk melihat status akun serta untuk mengizinkan dan mencegah akses akun ke konsol serial EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:GetSerialConsoleAccessStatus",
"ec2:EnableSerialConsoleAccess",
"ec2:DisableSerialConsoleAccess"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya, lihat [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
### Melihat status akses akun ke konsol serial
------
#### [ Console ]
**Untuk melihat akses akun ke konsol serial**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Dasbor**.
1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Konsol Serial EC2**.
1. **Pada tab **Konsol Serial EC2**, nilai **akses Konsol Serial EC2** **Diizinkan atau Dicegah**.**
------
#### [ AWS CLI ]
**Untuk melihat akses akun ke konsol serial**
Gunakan perintah [get-serial-console-access-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-serial-console-access-status.html).
```
aws ec2 get-serial-console-access-status
```
Berikut ini adalah output contoh. Nilai `true` menunjukkan bahwa akun diizinkan akses ke konsol serial.
```
{
"SerialConsoleAccessEnabled": true,
"ManagedBy": "account"
}
```
`ManagedBy`Bidang menunjukkan entitas yang mengkonfigurasi pengaturan. Nilai yang mungkin `account` (dikonfigurasi secara langsung) atau`declarative-policy`. Untuk informasi selengkapnya, lihat [Kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) di *Panduan AWS Organizations Pengguna*.
------
#### [ PowerShell ]
**Untuk melihat akses akun ke konsol serial**
Gunakan [Get-EC2SerialConsoleAccessStatus](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SerialConsoleAccessStatus.html)cmdlet.
```
Get-EC2SerialConsoleAccessStatus -Select *
```
Berikut ini adalah output contoh. Nilai `True` menunjukkan bahwa akun diizinkan akses ke konsol serial.
```
ManagedBy SerialConsoleAccessEnabled
--------- --------------------------
account True
```
`ManagedBy`Bidang menunjukkan entitas yang mengkonfigurasi pengaturan. Nilai yang mungkin `account` (dikonfigurasi secara langsung) atau`declarative-policy`. Untuk informasi selengkapnya, lihat [Kebijakan deklaratif](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html) di *Panduan AWS Organizations Pengguna*.
------
### Memberikan akses akun ke konsol serial
------
#### [ Console ]
**Untuk memberikan akses akun ke konsol serial**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Dasbor**.
1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Konsol Serial EC2**.
1. Pilih **Kelola**.
1. Untuk mengizinkan akses ke konsol serial EC2 dari semua instance di akun, pilih kotak centang **Izinkan**.
1. Pilih **Perbarui**.
------
#### [ AWS CLI ]
**Untuk memberikan akses akun ke konsol serial**
Gunakan perintah [enable-serial-console-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-serial-console-access.html).
```
aws ec2 enable-serial-console-access
```
Berikut ini adalah output contoh.
```
{
"SerialConsoleAccessEnabled": true
}
```
------
#### [ PowerShell ]
**Untuk memberikan akses akun ke konsol serial**
Gunakan [Enable-EC2SerialConsoleAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2SerialConsoleAccess.html)cmdlet.
```
Enable-EC2SerialConsoleAccess
```
Berikut ini adalah output contoh.
```
True
```
------
### Menolak akses akun ke konsol serial
------
#### [ Console ]
**Untuk menolak akses akun ke konsol serial**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Dasbor**.
1. Pada kartu **Atribut akun**, di bawah **Pengaturan**, pilih **Konsol Serial EC2**.
1. Pilih **Kelola**.
1. Untuk mencegah akses ke konsol serial EC2 dari semua instance di akun, kosongkan kotak centang **Izinkan**.
1. Pilih **Perbarui**.
------
#### [ AWS CLI ]
**Untuk menolak akses akun ke konsol serial**
Gunakan perintah [disable-serial-console-access](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-serial-console-access.html).
```
aws ec2 disable-serial-console-access
```
Berikut ini adalah output contoh.
```
{
"SerialConsoleAccessEnabled": false
}
```
------
#### [ PowerShell ]
**Untuk menolak akses akun ke konsol serial**
Gunakan [Disable-EC2SerialConsoleAccess](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2SerialConsoleAccess.html)cmdlet.
```
Disable-EC2SerialConsoleAccess
```
Berikut ini adalah output contoh.
```
False
```
------
## Konfigurasikan kebijakan IAM untuk akses Konsol Serial EC2
Secara default, pengguna Anda tidak memiliki akses ke konsol serial. Organisasi Anda harus mengonfigurasi kebijakan IAM untuk memberikan akses yang diperlukan kepada pengguna. Untuk informasi selengkapnya, lihat [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Untuk akses konsol serial, buat dokumen kebijakan JSON yang mencakup tindakan `ec2-instance-connect:SendSerialConsoleSSHPublicKey`. Tindakan ini memberi pengguna izin untuk mendorong kunci publik ke layanan konsol serial, yang memulai sesi konsol serial. Sebaiknya batasi akses ke instans EC2 tertentu. Jika tidak, semua pengguna IAM dengan izin ini dapat terhubung ke konsol serial dari semua instans EC2.
**Topics**
+ [Secara eksplisit mengizinkan akses ke konsol serial](#iam-explicitly-allow-access)
+ [Secara eksplisit mengizinkan akses ke konsol serial](#serial-console-IAM-policy)
+ [Gunakan tanda sumber daya untuk mengontrol akses ke konsol serial](#iam-resource-tags)
### Secara eksplisit mengizinkan akses ke konsol serial
Secara default, tidak ada yang memiliki akses ke konsol serial. Untuk memberikan akses ke konsol serial, Anda perlu mengonfigurasi kebijakan untuk secara eksplisit mengizinkan akses. Sebaiknya konfigurasikan kebijakan yang membatasi akses ke instans tertentu.
Kebijakan berikut memungkinkan akses ke konsol serial instans tertentu, diidentifikasi berdasarkan ID instansnya.
Perhatikan bahwa tindakan `DescribeInstances`, `DescribeInstanceTypes`, dan `GetSerialConsoleAccessStatus` tidak mendukung izin tingkat sumber daya, dan oleh karena itu semua sumber daya, yang ditunjukkan oleh `*` (tanda bintang), harus ditentukan untuk tindakan ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeInstances",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:GetSerialConsoleAccessStatus"
],
"Resource": "*"
},
{
"Sid": "AllowinstanceBasedSerialConsoleAccess",
"Effect": "Allow",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7"
}
]
}
```
------
### Secara eksplisit mengizinkan akses ke konsol serial
Kebijakan IAM berikut memungkinkan akses ke konsol serial semua instans, dilambangkan dengan `*` (tanda bintang), dan secara eksplisit menolak akses ke konsol serial instans tertentu, diidentifikasi berdasarkan ID-nya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSerialConsoleAccess",
"Effect": "Allow",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:GetSerialConsoleAccessStatus"
],
"Resource": "*"
},
{
"Sid": "DenySerialConsoleAccess",
"Effect": "Deny",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7"
}
]
}
```
------
### Gunakan tanda sumber daya untuk mengontrol akses ke konsol serial
Anda dapat menggunakan tanda sumber daya untuk mengontrol akses ke konsol serial dari sebuah instans.
Kontrol akses berbasis atribut adalah strategi otorisasi yang mendefinisikan izin berdasarkan tag yang dapat dilampirkan ke pengguna dan sumber daya. AWS Misalnya, kebijakan berikut ini mengizinkan pengguna untuk memulai koneksi konsol serial untuk sebuah instans hanya jika tanda sumber daya instans dan tanda pengguna utama memiliki nilai `SerialConsole` yang sama untuk kunci tanda tersebut.
Untuk informasi selengkapnya tentang penggunaan tag untuk mengontrol akses ke AWS sumber daya Anda, lihat [Mengontrol akses ke AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources) di *Panduan Pengguna IAM*.
Perhatikan bahwa tindakan `DescribeInstances`, `DescribeInstanceTypes`, dan `GetSerialConsoleAccessStatus` tidak mendukung izin tingkat sumber daya, dan oleh karena itu semua sumber daya, yang ditunjukkan oleh `*` (tanda bintang), harus ditentukan untuk tindakan ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeInstances",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:GetSerialConsoleAccessStatus"
],
"Resource": "*"
},
{
"Sid": "AllowTagBasedSerialConsoleAccess",
"Effect": "Allow",
"Action": [
"ec2-instance-connect:SendSerialConsoleSSHPublicKey"
],
"Resource": "arn:aws:ec2:us-east-1:111122223333:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SerialConsole": "${aws:PrincipalTag/SerialConsole}"
}
}
}
]
}
```
------
## Tetapkan kata sandi pengguna OS pada instance Linux
Anda dapat terhubung ke konsol serial tanpa kata sandi. Namun, untuk *menggunakan* konsol serial untuk memecahkan masalah instance Linux, instance harus memiliki pengguna OS berbasis kata sandi.
Anda dapat mengatur kata sandi untuk pengguna OS apa pun, termasuk pengguna root. Perhatikan bahwa pengguna root dapat memodifikasi semua file, sementara setiap pengguna OS mungkin memiliki izin terbatas.
Anda harus mengatur kata sandi pengguna pada setiap instans untuk konsol serial yang akan Anda gunakan. Ini adalah persyaratan satu kali untuk setiap instans.
**catatan**
Secara default, AMIs disediakan oleh tidak AWS dikonfigurasi dengan pengguna berbasis kata sandi. Jika Anda meluncurkan instans menggunakan AMI yang sudah memiliki kata sandi pengguna root yang dikonfigurasikan, Anda dapat melewati instruksi ini.
**Untuk mengatur kata sandi pengguna OS pada instance Linux**
1. [Terhubung](connect-to-linux-instance.md) ke instans Anda. Anda dapat menggunakan metode apa pun untuk terhubung ke instans, kecuali metode koneksi Konsol Serial EC2.
1. Untuk mengatur kata sandi pengguna, gunakan perintah **passwd**. Pada contoh berikut, pengguna adalah `root`.
```
[ec2-user ~]$ sudo passwd root
```
Berikut ini adalah output contoh.
```
Changing password for user root.
New password:
```
1. Pada perintah `New password`, masukkan kata sandi baru.
1. Pada perintah, masukkan kembali kata sandinya.