Verbindung über EC2 Instance Connect

Im Folgenden wird beschrieben, wie Sie über EC2 Instance Connect Verbindungen mit Ihrer Linux-Instance herstellen.

Entscheiden Sie, welche Verbindungsoption Sie verwenden möchten.Welche Verbindungsoption verwendet werden soll, hängt davon ab, ob Ihre Instance über eine öffentliche IPv4-Adresse verfügt:

• Amazon-EC2-Konsole – Um eine Verbindung über die Amazon-EC2-Konsole herzustellen, muss die Instance über eine öffentliche IPv4-Adresse verfügen.

• SSH-Client – Wenn die Instance keine öffentliche IP-Adresse hat, können Sie eine Verbindung über ein privates Netzwerk mithilfe eines SSH-Clients herstellen. Beispielsweise können Sie eine Verbindung innerhalb derselben VPC oder über eine VPN-Verbindung, ein Transit-Gateway oder AWS Direct Connect herstellen.

EC2 Instance Connect unterstützt keine Verbindung über eine IPv6-Adresse.

Tipp

EC2 Instance Connect ist eine der Optionen, mit denen Sie eine Verbindung zu Ihrer Linux-Instance herstellen können. Weitere Optionen finden Sie unter Herstellen einer Verbindung zur Linux-Instance. Informationen zum Herstellen einer Verbindung mit einer Windows-Instance finden Sie unter Herstellen einer Verbindung mit Ihrer Windows-Instance.

Herstellen von Verbindungen über die Amazon-EC2-Konsole

Sie können über die Amazon-EC2-Konsole Verbindungen mit einer Instance herstellen, indem Sie die Instance in der Konsole auswählen und die Verbindung über EC2 Instance Connect wählen. Instance Connect verarbeitet die Berechtigungen und stellt eine erfolgreiche Verbindung bereit.

Um eine Verbindung über die Amazon-EC2-Konsole herzustellen, muss die Instance über eine öffentliche IPv4-Adresse verfügen. Bevor Sie eine Verbindung herstellen, sollten Sie alle Voraussetzungen überprüfen.

So stellen Sie über den browserbasierten Client und die Amazon EC2-Konsole Verbindungen mit Ihrer Instance her

1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

2. Wählen Sie im Navigationsbereich Instances aus.

3. Wählen Sie die Instance und Connect (Verbinden) aus.

4. Wählen Sie EC2 Instance Connect aus.

5. Überprüfen Sie den Benutzernamen und wählen Sie Connect (Verbinden), um ein Terminalfenster zu öffnen.

Herstellen von Verbindungen über Ihren eigenen Schlüssel und einen SSH-Client

Sie können mittels Ihres eigenen SSH-Schlüssels über einen SSH-Client Ihrer Wahl Verbindungen mit Ihrer Instance herstellen, während Sie die EC2 Instance Connect-API verwenden. Auf diese Weise können Sie die Instance Connect-Funktion für die Push-Übergabe öffentlicher Schlüssel an Instances nutzen. Diese Verbindungsmethode funktioniert für Instances mit öffentlichen und privaten IP-Adressen.

Voraussetzungen

• Anforderungen für Schlüsselpaare

  • Unterstützte Typen: RSA (OpenSSH und SSH2) und ED25519

  • Die unterstützten Längen sind 2048 und 4096.

  • Weitere Informationen finden Sie unter Erstellen Sie ein Schlüsselpaar mit einem Drittanbieter-Tool und importieren Sie den öffentlichen Schlüssel in Amazon EC2.

• Wenn Sie eine Verbindung zu einer Instance herstellen, die nur über private IP-Adressen verfügt, muss der lokale Computer, von dem aus Sie die SSH-Sitzung initiieren, Konnektivität zum EC2 Instance Connect-Service-Endpunkt (um Ihren öffentlichen SSH-Schlüssel auf die Instance zu übertragen) sowie über Netzwerkkonnektivität zur privaten IP-Adresse der Instance verfügen, um eine SSH-Sitzung zu etablieren. Der EC2-Instance-Connect-Service-Endpunkt ist über das Internet oder über eine öffentliche virtuelle AWS Direct Connect -Schnittstelle erreichbar. Um eine Verbindung mit der privaten IP-Adresse der Instance herzustellen, können Sie Dienste wie AWS Direct Connect, AWS Site-to-Site VPN oder VPC-Peering nutzen.

Bevor Sie eine Verbindung herstellen, sollten Sie alle Voraussetzungen überprüfen.

So stellen Sie eine Verbindung zu Ihrer Instance mit einem eigenen Schlüssel und einem beliebigen SSH-Client her

1. (Optional) Generieren neuer privater und öffentlicher SSH-Schlüssel.

   Sie können mit dem folgenden Befehl neue private und öffentliche SSH-Schlüssel, my_key und my_key.pub, erstellen:

   $ ssh-keygen -t rsa -f my_key

2. Übertragen Ihres öffentlichen SSH-Schlüssels per Push an die Instance.

   Verwenden Sie den send-ssh-public-key-Befehl, um Ihren öffentlichen SSH-Schlüssel an die Instance zu übertragen. Wenn Sie Ihre Instance mit AL2023 oder Amazon Linux 2 gestartet haben, lautet der Standardbenutzername für das AMI ec2-user. Wenn Sie Ihre Instance mit Ubuntu gestartet haben, lautet der Standardbenutzername für das AMI ubuntu.

   Im folgenden Beispiel wird der öffentliche Schlüssel per Push an die angegebene Instance in der angegebenen Availability Zone übertragen, um ec2-user zu authentifizieren.

   $ aws ec2-instance-connect send-ssh-public-key \
       --region us-west-2 \
       --availability-zone us-west-2b \
       --instance-id i-001234a4bf70dec41EXAMPLE \
       --instance-os-user ec2-user \
       --ssh-public-key file://my_key.pub

3. Stellen Sie mit Ihrem privaten Schlüssel eine Verbindung zu der Instance her.

   Stellen Sie mit dem Befehl ssh eine Verbindung zu Ihrer Instance mit dem privaten Schlüssel her, ehe der öffentliche Schlüssel aus den Instance-Metadaten entfernt wird. Sie haben dafür 60 Sekunden Zeit. Geben Sie den privaten Schlüssel an, der dem öffentlichen entspricht, den Standardbenutzernamen für das AMI, mit dem Sie Ihre Instance gestartet haben, und den öffentlichen DNS-Namen der Instance (wenn Sie eine Verbindung über ein privates Netzwerk herstellen, geben Sie den privaten DNS-Namen oder die IP-Adresse an). Fügen Sie die IdentitiesOnly=yes-Option hinzu, um sicherzustellen, dass nur die Dateien in der SSH-Konfiguration und der angegebene Schlüssel für die Verbindung verwendet werden.

   $ ssh -o "IdentitiesOnly=yes" -i my_key ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com

Verwenden von EC2 Instance Connect zum Herstellen einer Verbindung mit Ihrer Linux-Instance über die  AWS CLI

Wenn Sie Ihre Instance-ID kennen, können Sie Amazon EC2 Instance Connect verwenden, um über einen SSH-Client eine Verbindung zu Ihrer Instance herzustellen. Wenn Sie keinen Verbindungstyp angeben, versucht EC2 Instance Connect automatisch eine Verbindung zur öffentlichen IPv4-Adresse Ihrer Instance herzustellen. Wenn Ihre Instance keine öffentliche IPv4-Adresse hat, versucht EC2 Instance Connect, über einen EC2-Instance-Connect-Endpunkt eine Verbindung zur privaten IPv4-Adresse Ihrer Instance herzustellen. Wenn Ihre Instance keine private IPv4-Adresse hat oder Ihre VPC keinen EC2-Instance-Connect-Endpunkt hat, versucht EC2 Instance Connect, sich mit der IPv6-Adresse Ihrer Instance zu verbinden.

Bevor Sie mit dieser Methode eine Verbindung herstellen, stellen Sie sicher AWS CLI, dass Sie die konfiguriert haben, einschließlich der verwendeten Anmeldeinformationen, und dass Sie die neueste Version von verwenden AWS CLI. Weitere Informationen finden Sie unter Installieren oder Aktualisieren auf die neueste Version von  AWS CLI und Konfiguration der  AWS CLI im AWS Command Line Interface -Benutzerhandbuch.

Verbindungstypen

auto (Standard)

Die CLI versucht, mithilfe der IP-Adressen der Instance in der folgenden Reihenfolge und mit dem entsprechenden Verbindungstyp eine Verbindung herzustellen:

• Öffentliche IPv4: direct

• Private IPv4: eice

• IPv6: direct

direct

Die CLI versucht, mithilfe der IP-Adressen der Instance in der folgenden Reihenfolge eine Verbindung herzustellen (sie stellt keine Verbindung über einen EC2-Instance-Connect-Endpunkt her):

• Öffentliche IPv4

• IPv6

• Private IPv4

eice

Die CLI verwendet immer die private IPv4-Adresse der Instance.

Anmerkung

In der Zukunft könnten wir das Verhalten des auto-Verbindungstyps ändern. Um sicherzustellen, dass Ihr gewünschter Verbindungstyp verwendet wird, empfehlen wir, dass Sie den --connection-type explizit entweder auf direct oder eice zu setzen.

Wenn Sie über EC2 Instance Connect eine Verbindung mit einer Instance herstellen, überträgt die Instance-Connect-API per Push einen öffentlichen SSH-Schlüssel an die Instance-Metadaten, wo er 60 Sekunden verbleibt. Eine an Ihren Benutzer angefügte IAM-Richtlinie autorisiert Ihren Benutzer, den öffentlichen Schlüssel an die Instance-Metadaten zu übertragen. Weitere Information über EC2 Instance Connect erhalten Sie unter Herstellen einer Verbindung zu Ihrer Linux-Instance mit EC2 Instance Connect.

So stellen Sie unter Verwendung der Instance-ID eine Verbindung mit einer Instance her

Wenn Sie nur die Instance-ID kennen und Sie EC2 Instance Connect den Verbindungstyp bestimmen lassen möchten, der für die Verbindung mit Ihrer Instance verwendet werden soll, verwenden Sie die ec2-instance-connect-CLI und geben Sie den ssh-Befehl und die Instance-ID an.

aws ec2-instance-connect ssh --instance-id i-1234567890example

So stellen Sie eine Verbindung zu einer Instance über die Instance-ID und einen EC2-Instance-Connect-Endpunkt her

Wenn Sie über einen EC2-Instance-Connect-Endpunkt eine Verbindung zu Ihrer Instance herstellen möchten, verwenden Sie den vorherigen Befehl und geben Sie auch den --connection-type-Parameter mit dem eice-Wert an.

aws ec2-instance-connect ssh --instance-id i-1234567890example --connection-type eice

So stellen Sie mithilfe der Instance-ID und Ihrer eigenen privaten Schlüsseldatei eine Verbindung zu einer Instance her

Wenn Sie über einen EC2-Instance-Connect-Endpunkt mit Ihrem eigenen privaten Schlüssel eine Verbindung zu Ihrer Instance herstellen möchten, geben Sie die Instance-ID und den Pfad zur privaten Schlüsseldatei an. Fügen Sie file:// nicht in den Pfad ein. Das folgende Beispiel wird fehlschlagen: file: ///path/to/key.

aws ec2-instance-connect ssh --instance-id i-1234567890example --private-key-file /path/to/key.pem

Fehlerbehebung

Weitere Informationen zu Problemen, die beim Aufbau einer Verbindung zu Instances auftreten können, finden Sie unter:

• Beheben von Problemen mit der Verbindung Ihrer Instance

• Wie behebe ich Probleme bei der Verbindung mit meiner EC2-Instance mithilfe von EC2 Instance Connect?