Tutorial: Completa la configurazione richiesta per connettersi all’istanza tramite EC2 Instance Connect - Amazon Elastic Compute Cloud
Attività 1: Concessione delle autorizzazioni necessarie per utilizzare EC2 Instance ConnectAttività 2: Consenti il traffico in entrata dal servizio EC2 Instance Connect all’istanza in usoAttività 3: Avvia la tua istanzaAttività 4: Connessione all’istanza

Tutorial: Completa la configurazione richiesta per connettersi all’istanza tramite EC2 Instance Connect

Per connetterti alla tua istanza tramite EC2 Instance Connect nella console Amazon EC2, devi prima completare la configurazione dei prerequisiti che ti consentirà di connetterti con successo all’istanza. Lo scopo di questo tutorial è di guidarti attraverso le attività per completare la configurazione dei prerequisiti.

Panoramica del tutorial

In questo tutorial, completerai le quattro seguenti attività:

Attività 1: Concessione delle autorizzazioni necessarie per utilizzare EC2 Instance Connect

Quando ti connetti a un’istanza tramite EC2 Instance Connect, l’API di EC2 Instance Connect invia una chiave pubblica SSH ai metadati dell’istanza, dove rimane per 60 secondi. Hai bisogno di una policy IAM collegata alla tua identità IAM (utente, gruppo di utenti o ruolo) per concederti l’autorizzazione richiesta per inviare la chiave pubblica ai metadati dell’istanza.

Obiettivo dell’attività

Creerai la policy IAM che concede l’autorizzazione per inviare la chiave pubblica all’istanza. L’azione specifica da consentire è ec2-instance-connect:SendSSHPublicKey. Devi anche consentire l’azione ec2:DescribeInstances in modo da poter visualizzare e selezionare l’istanza nella console Amazon EC2.

Dopo aver creato la policy, la collegherai alla tua identità IAM (utente, gruppo di utenti o ruolo) in modo tale che la tua identità IAM ottenga le autorizzazioni.

Creerai una policy configurata come indicato di seguito:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}
Importante

La policy IAM creata in questo tutorial è una politica altamente permissiva; consente di connettersi a qualsiasi istanza utilizzando qualsiasi nome utente dell’AMI. Stiamo usando questa politica altamente permissiva per mantenere il tutorial semplice e focalizzato sulle configurazioni specifiche illustrate da questo tutorial. Tuttavia, in un ambiente di produzione, consigliamo di configurare la policy IAM in modo da fornire autorizzazioni con privilegi minimi. Per esempi di policy IAM, consulta Concessione di un’autorizzazione IAM per EC2 Instance Connect.

Per creare e collegare una policy IAM che consenta di utilizzare EC2 Instance Connect per connetterti alle istanze

  1. Innanzitutto, crea la policy IAM

    1. Aprire la console IAM all’indirizzo https://console.aws.amazon.com/iam/.

    2. Nel pannello di navigazione, selezionare Policies (Policy).

    3. Scegli Create Policy (Crea policy).

    4. Nella pagina Specifica autorizzazione, procedi nel modo seguente:

      1. Per Servizio, scegli EC2 Instance Connect.

      2. In Operazioni consentite, nel campo di ricerca inizia a digitare send per mostrare le operazioni pertinenti, poi seleziona SendSSHPublicKey.

      3. In Risorse, scegli Tutte. Per un ambiente di produzione, consigliamo di specificare l’istanza tramite il relativo ARN, ma per questo tutorial, consentirai tutte le istanze.

      4. Scegli Aggiungere più autorizzazioni.

      5. Per Servizio, scegli EC2.

      6. In Operazioni consentite, nel campo di ricerca inizia a digitare describein per mostrare le operazioni pertinenti, poi seleziona DescribeInstances.

      7. Scegli Next (Successivo).

    5. Nella pagina Rivedi e crea, effettua le operazioni seguenti:

      1. In Policy name (Nome policy), immettere un nome per la policy.

      2. Scegli Crea policy.

  2. Poi collega la policy alla tua identità

    1. Nel pannello di navigazione della console IAM seleziona Policy.

    2. Nell’elenco di policy, seleziona il pulsante di opzione accanto al nome della policy da te creata. Puoi utilizzare la casella di ricerca per filtrare l’elenco di policy.

    3. Seleziona Operazioni, Collega.

    4. In Entità IAM, seleziona la casella di spunta accanto alla tua identità (utente, gruppo di utenti o ruolo). Puoi utilizzare la casella di ricerca per filtrare l’elenco di entità.

    5. Scegli Collega policy.

Questa animazione mostra come creare una policy IAM. Per la versione testuale di questa animazione consulta i passaggi della procedura precedente.
Questa animazione mostra come collegare una policy IAM a un’identità IAM. Per la versione testuale di questa animazione consulta i passaggi della procedura precedente.

Attività 2: Consenti il traffico in entrata dal servizio EC2 Instance Connect all’istanza in uso

Quando utilizzi EC2 Instance Connect nella console Amazon EC2 per connetterti a un’istanza, il traffico a cui deve essere consentito di raggiungere l’istanza è il traffico proveniente dal servizio EC2 Instance Connect. Questa operazione è diversa dalla connessione dal computer locale a un’istanza; in quel caso, devi consentire il traffico dal computer locale all’istanza. Per consentire il traffico dal servizio EC2 Instance Connect, devi creare un gruppo di sicurezza che consenta il traffico SSH in entrata dall’intervallo di indirizzi IP per il servizio EC2 Instance Connect.

AWS utilizza elenchi di prefissi per gestire gli intervalli di indirizzi IP. I nomi degli elenchi di prefissi di EC2 Instance Connect sono i seguenti, con la regione sostituita dal codice della regione:

  • Nome dell’elenco di prefissi IPv4: com.amazonaws.region.ec2-instance-connect

  • Nome dell’elenco di prefissi IPv6: com.amazonaws.region.ipv6.ec2-instance-connect

Obiettivo dell’attività

Creerai un gruppo di sicurezza che consente il traffico SSH in entrata sulla porta 22 dall’elenco dei prefissi IPv4 nella regione in cui si trova l’istanza.

Per creare un gruppo di sicurezza che consenta il traffico in entrata dal servizio EC2 Instance Connect verso la tua istanza

  1. Apri la console Amazon EC2 all’indirizzo https://console.aws.amazon.com/ec2/.

  2. Fare clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Scegliere Create Security Group (Crea gruppo di sicurezza).

  4. In Basic details (Dettagli di base), eseguire le operazioni seguenti:

    1. In Nome gruppo di sicurezza, inserisci un nome significativo per il tuo gruppo di sicurezza.

    2. In Descrizione, inserisci una descrizione significativa per il tuo gruppo di sicurezza.

  5. In Regole in entrata, effettua le operazioni seguenti:

    1. Scegli Aggiungi regola.

    2. Per Type (Tipo) scegli SSH.

    3. Per Origine, lascia Personalizzata.

    4. Nel campo accanto a Origine, seleziona l’elenco dei prefissi per EC2 Instance Connect.

      Ad esempio, se la tua istanza si trova nella regione Stati Uniti orientali (Virginia settentrionale) (us-east-1) e gli utenti si connetteranno al relativo indirizzo IPv4 pubblico, scegli il seguente elenco di prefissi: com.amazonaws.us-east-1.ec2-instance-connect

  6. Scegliere Create Security Group (Crea gruppo di sicurezza).

Questa animazione mostra come configurare un gruppo di sicurezza. Per la versione testuale di questa animazione consulta i passaggi della procedura precedente.

Attività 3: Avvia la tua istanza

Quando avvii un’istanza, devi specificare un’AMI contenente le informazioni richieste per avviare l’istanza. Puoi scegliere di avviare un’istanza con o senza EC2 Instance Connect preinstallato. In questa attività, specifichiamo un’AMI preinstallata con EC2 Instance Connect.

Se avvii l’istanza senza EC2 Instance Connect preinstallato, e desideri utilizzare EC2 Instance Connect per connetterti alla tua istanza, dovrai svolgere alcuni passaggi di configurazione aggiuntivi. Tali passaggi non rientrano nell’ambito di questo tutorial.

Obiettivo dell’attività

Avvierai un’istanza con l’AMI di Amazon Linux 2023, preinstallata con EC2 Instance Connect. Specificherai anche il gruppo di sicurezza da te creato in precedenza in modo tale da poter utilizzare EC2 Instance Connect nella console Amazon EC2 per connetterti all’istanza. Poiché utilizzerai EC2 Instance Connect per connetterti alla tua istanza, che invia una chiave pubblica ai metadati dell’istanza, non dovrai necessariamente specificare una chiave SSH all’avvio dell’istanza.

Per avviare un’istanza in grado di utilizzare EC2 Instance Connect nella console Amazon EC2 per la connessione:

  1. Apri la console Amazon EC2 all’indirizzo https://console.aws.amazon.com/ec2/.

  2. Nella barra di navigazione nella parte superiore della schermata, viene visualizzata la regione AWS attuale (ad esempio, Irlanda). Seleziona una regione in cui avviare l’istanza. Questa scelta è importante perché hai creato un gruppo di sicurezza che consente il traffico per una regione specifica, quindi devi selezionare la stessa regione in cui avviare l’istanza.

  3. Dal pannello di controllo della console Amazon EC2, scegli Launch Instance (Avvia istanza).

  4. (Facoltativo) in Name and tags (Nome e tag), per Name (Nome), inserire un nome descrittivo per la propria istanza.

  5. In Applicazioni e immagini SO (Amazon Machine Image), scegli Avvio rapido. Amazon Linux è selezionato per impostazione predefinita. In Amazon Machine Image (AMI) è selezionato AMI Amazon Linux 2023 per impostazione predefinita. Mantieni la selezione predefinita per questa attività.

  6. In Tipo di istanza, per Tipo di istanza, mantieni la selezione predefinita, oppure scegli un diverso tipo di istanza.

  7. In Coppia di chiavi (login), per Nome della coppia di chiavi, scegli Procedi senza una coppia di chiavi (non consigliato). Quando utilizzi EC2 Instance Connect per connetterti a un’istanza, EC2 Instance Connect invia una coppia di chiavi ai metadati dell’istanza, e questa coppia di chiavi viene utilizzata per la connessione.

  8. Sotto Network settings (Impostazioni di rete) effettua le seguenti operazioni:

    1. Per Assegna automaticamente IP pubblico, seleziona Abilita.

      Nota

      Per utilizzare EC2 Instance Connect nella console Amazon EC2 per connettersi a un’istanza, l’istanza deve disporre di un indirizzo IPv4 o IPv6 pubblico.

    2. Per Firewall (gruppi di sicurezza), scegli Seleziona un gruppo di sicurezza esistente.

    3. In Gruppi di sicurezza comuni, scegli il gruppo di sicurezza da te creato in precedenza.

  9. Nel pannello Summary (Riepilogo), scegliere Launch instance (Avvia istanza).

Questa animazione mostra come avviare un’istanza. Per la versione testuale di questa animazione consulta i passaggi della procedura precedente.

Attività 4: Connessione all’istanza

Quando ti connetti a un’istanza tramite EC2 Instance Connect, l’API di EC2 Instance Connect invia una chiave pubblica SSH ai metadati dell’istanza, dove rimane per 60 secondi. Il daemon SSH utilizza AuthorizedKeysCommand e AuthorizedKeysCommandUser per recuperare la chiave pubblica dai metadati dell’istanza al fine effettuare l’autenticazione e ti permette di collegarti all’istanza.

Obiettivo dell’attività

In questa attività, ti connetterai alla tua istanza usando EC2 Instance Connect nella console Amazon EC2. Se hai completato le Attività preliminari 1, 2 e 3, la connessione dovrebbe avere successo.

Passaggi per connetterti alla tua istanza

Segui questi passaggi per connetterti alla tua istanza. Per visualizzare un’animazione di questi passaggi, consulta Visualizzazione di un’animazione: Connessione a un’istanza.

Per connetterti a un’istanza usando EC2 Instance Connect nella console Amazon EC2

  1. Apri la console Amazon EC2 all’indirizzo https://console.aws.amazon.com/ec2/.

  2. Nella barra di navigazione nella parte superiore della schermata, viene visualizzata la regione AWS attuale (ad esempio, Irlanda). Seleziona la regione in cui si trova l’istanza.

  3. Nel riquadro di navigazione, seleziona Istanze.

  4. Seleziona l’istanza e scegli Connetti.

  5. Scegli la scheda EC2 Instance Connect.

  6. Scegli Connettiti usando un IP pubblico.

  7. Scegliere Connetti.

    Si apre una finestra del terminale nel browser e viene stabilita la connessione all’istanza.

Questa animazione mostra come connettersi a un’istanza tramite EC2 Instance Connect. Per la versione testuale di questa animazione consulta i passaggi della procedura precedente.