Einrichtung für die Verwendung von Amazon EC2 - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichtung für die Verwendung von Amazon EC2

Schließen Sie die Aufgaben in diesem Abschnitt ab, um den erstmaligen Start einer Amazon-EC2-Instance einzurichten:

Wenn Sie fertig sind, sind Sie bereit für das Tutorial Amazon EC2 – Erste Schritte.

So melden Sie sich für ein AWS-Konto an

Wenn Sie kein AWS-Konto haben, führen Sie die folgenden Schritte zum Erstellen durch.

Anmeldung für ein AWS-Konto
  1. Öffnen Sie https://portal.aws.amazon.com/billing/signup.

  2. Folgen Sie den Online-Anweisungen.

    Bei der Anmeldung müssen Sie auch einen Telefonanruf entgegennehmen und einen Verifizierungscode über die Telefontasten eingeben.

    Wenn Sie sich für ein AWS-Konto anmelden, wird ein Root-Benutzer des AWS-Kontos erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Administratorbenutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um Aufgaben auszuführen, die Root-Benutzerzugriff erfordern.

AWS sendet Ihnen eine Bestätigungs-E-Mail, sobald die Anmeldung abgeschlossen ist. Sie können jederzeit Ihre aktuelle Kontoaktivität anzeigen und Ihr Konto verwalten. Rufen Sie dazu https://aws.amazon.com/ auf und klicken Sie auf Mein Konto.

Erstellen eines Administratorbenutzers

Nachdem Sie sich für ein AWS-Kontoangemeldet haben, sichern Sie Ihr Root-Benutzer des AWS-Kontos, aktivieren Sie AWS IAM Identity Centerund erstellen Sie einen administrativen Benutzer, damit Sie nicht den Root-Benutzer für alltägliche Aufgaben verwenden.

Schützen Ihres Root-Benutzer des AWS-Kontos
  1. Melden Sie sich bei der AWS Management Console als Kontobesitzer an, indem Sie Root-Benutzer auswählen und Ihre AWS-Konto-E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

    Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter Anmelden als Root-Benutzer im AWS-AnmeldungBenutzerhandbuch zu .

  2. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.

    Anweisungen dazu finden Sie unter Aktivieren eines virtuellen MFA-Geräts für den Root-Benutzer Ihres AWS-Konto (Konsole) im IAM-Benutzerhandbuch.

Erstellen eines Administratorbenutzers
  1. Aktivieren von IAM Identity Center.

    Anweisungen finden Sie unter Aktivieren AWS IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.

  2. Im IAM Identity Center gewähren Sie einem administrativen Benutzer administrativen Zugriff.

    Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie unter Benutzerzugriff mit dem standardmäßigen IAM-Identity-Center-Verzeichnis konfigurieren im AWS IAM Identity Center-Benutzerhandbuch.

Anmelden als Administratorbenutzer
  • Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

    Hilfe bei der Anmeldung mit einem IAM-Identity-Center-Benutzer finden Sie unter Anmelden beim AWS-Zugangsportal im AWS-Anmeldung Benutzerhandbuch zu.

Erstellen eines Schlüsselpaares

AWS verwendet Kryptografie für öffentliche Schlüssel, um die Anmeldeinformationen für Ihre Instance zu sichern. Für Linux-Instances gibt es kein Passwort. Sie verwenden ein Schlüsselpaar, um sich sicher bei Ihrer Instance anzumelden. Sie geben den Namen des Schlüsselpaares beim Start Ihrer Instance an und geben dann den privaten Schlüssel an, wenn Sie sich mit SSH anmelden,

Wenn Sie nicht bereits ein Schlüsselpaar erstellt haben, können Sie mit der Amazon-EC2-Konsole eines erstellen. Beachten Sie, dass Sie, wenn Sie Instances in mehreren AWS-Regionen starten möchten, in jeder Region ein Schlüsselpaar erstellen müssen. Weitere Informationen zu Regionen finden Sie unter Regionen und Zonen.

So erstellen Sie Ihr Schlüsselpaar
  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option Key Pairs aus.

  3. Wählen Sie Create Key Pair (Schlüsselpaar erstellen) aus.

  4. Geben Sie unter Name einen aussagekräftigen Namen für das Schlüsselpaar ein. Amazon EC2 ordnet den öffentlichen Schlüssel dem Namen zu, den Sie als Schlüsselnamen angeben. Ein Schlüsselname kann bis zu 255 ASCII-Zeichen enthalten. Er darf keine führenden oder nachfolgenden Leerzeichen enthalten.

  5. FürSchlüsselpaar-Typ, wählen Sie entweder RSA oder ED25519 aus. Hinweis: ED25519-Schlüssel werden für Windows-Instances nicht unterstützt.

  6. Wählen Sie unter Dateiformat für den privaten Schlüssel das Format aus, in dem der private Schlüssel gespeichert werden soll. Um den privaten Schlüssel in einem Format zu speichern, das mit OpenSSH verwendet werden kann, wählen Sie pem. Um den privaten Schlüssel in einem Format zu speichern, das mit PuTTY verwendet werden kann, wählen Sie ppk.

  7. Wählen Sie Create Key Pair (Schlüsselpaar erstellen) aus.

  8. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Der Basisdateiname ist der Name, den Sie als Name des Schlüsselpaars angegeben haben, und die Dateinamenserweiterung wird durch das ausgewählte Dateiformat bestimmt. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.

    Wichtig

    Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern.

  9. Wenn Sie einen SSH-Kunden auf einem macOS- oder Linux-Computer verwenden möchten, um eine Verbindung zu Ihrer Linux Instance herzustellen, legen Sie mit dem folgenden Befehl die Berechtigungen für Ihre private Schlüsseldatei so fest, dass nur Sie sie lesen können.

    chmod 400 key-pair-name.pem

    Wenn Sie diese Berechtigungen nicht festlegen, können Sie unter Verwendung dieses Schlüsselpaars keine Verbindung zu Ihrer Instance herstellen. Weitere Informationen finden Sie unter Fehler: Ungeschützte private Schlüsseldatei.

Weitere Informationen finden Sie unter Amazon-EC2-Schlüsselpaare und Linux-Instances.

Erstellen einer Sicherheitsgruppe

Sicherheitsgruppen fungieren als Firewall für zugeordnet Instances. Sie steuern den ein- und ausgehenden Datenverkehr auf der Instance-Ebene. Sie müssen einer Sicherheitsgruppe Regeln hinzufügen, die es Ihnen ermöglichen, von Ihrer IP-Adresse über SSH eine Verbindung zu Ihrer Instance herzustellen. Sie können auch Regeln hinzufügen, die den ein- und ausgehenden HTTP- und HTTPS-Zugriff von überall zulassen.

Beachten Sie, dass Sie, wenn Sie Instances in mehreren AWS-Regionen starten möchten, in jeder Region eine Sicherheitsgruppe erstellen müssen. Weitere Informationen zu Regionen finden Sie unter Regionen und Zonen.

Voraussetzungen

Sie benötigen die öffentliche IPv4-Adresse Ihres lokalen Computers. Der Sicherheitsgruppen-Editor in der Amazon EC2-Konsole kann die öffentliche IPv4-Adresse automatisch für Sie erkennen. Alternativ können Sie den Suchausdruck „wie ist meine IP-Adresse“ in einem Internet-Browser eingeben oder den folgenden Service verwenden: Check IP. Wenn Sie eine Verbindung über einen Internetdienstanbieter (ISP) oder hinter einer Firewall ohne statische IP-Adresse herstellen, müssen Sie herausfinden, welchen IP-Adressbereich die Client-Computer verwenden.

Sie können eine benutzerdefinierte Sicherheitsgruppe mit einer der folgenden Methoden erstellen.

Console
So erstellen Sie eine Sicherheitsgruppe auf der Grundlage der geringsten Rechte
  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie in der Navigationsleiste oben eine AWS-Region für die Sicherheitsgruppe aus. Sicherheitsgruppen gelten spezifisch für eine Region, daher müssen Sie die gleiche Region auswählen, in der Sie Ihr Schlüsselpaar erstellt haben.

  3. Klicken Sie im linken Navigationsbereich auf Security Groups.

  4. Wählen Sie Sicherheitsgruppe erstellen aus.

  5. Gehen Sie für Grundlegende Angaben wie folgt vor:

    1. Geben Sie einen Namen und eine Beschreibung für die neue Sicherheitsgruppe ein. Wählen Sie einen Namen aus, den Sie sich leicht merken können, wie z. B. Ihr Benutzername, gefolgt von _SG_ und dem Namen der Region. Beispiel: me_SG_uswest2.

    2. Wählen Sie in der Liste VPC die Standard-VPC für die Region aus.

  6. Erstellen Sie für eingehende Regeln Regeln, die zulassen, dass bestimmten Datenverkehr Ihre Instance erreicht. Verwenden Sie beispielsweise die folgenden Regeln für einen Webserver, der HTTP- und HTTPS-Datenverkehr akzeptiert. Weitere Beispiele finden Sie unter Sicherheitsgruppenregeln für verschiedene Anwendungsfälle.

    1. Wählen Sie Regel hinzufügen aus. Wählen Sie für Typ die Option HTTP aus. Wählen Sie für Quelle Anywhere-IPv4 aus, um eingehenden HTTP-Datenverkehr von jeder IPv4-Adresse zuzulassen, oder Anywhere-IPv6, um eingehenden HTTP-Datenverkehr von jeder IPv6-Adresse zuzulassen.

    2. Wählen Sie Regel hinzufügen aus. Wählen Sie für Type (Typ) die Option HTTPS aus. Wählen Sie für Quelle Anywhere-IPv4 aus, um eingehenden HTTPS-Datenverkehr von jeder IPv4-Adresse zuzulassen, oder Anywhere-IPv6, um eingehenden HTTPS-Datenverkehr von jeder IPv6-Adresse zuzulassen.

    3. Wählen Sie Add rule. Wählen Sie als Typ die Option SSH aus. Führen Sie für Quelle eine der folgenden Aktionen aus.

      • Wählen Sie Meine IP, um die öffentliche IPv4-Adresse Ihres lokalen Computers automatisch hinzuzufügen.

      • Sie können benutzerdefiniert auswählen und die öffentliche IPv4-Adresse Ihres Computers oder Netzwerks in CIDR-Notation angeben. Um eine einzelne IP-Adresse in CIDR-Notation anzugeben, fügen Sie das Routing-Suffix /32 hinzu, z. B. 203.0.113.25/32. Wenn Ihr Unternehmen oder Ihr Router Adressen aus einem Bereich zuweist, geben Sie den gesamten Bereich an, z. B. 203.0.113.0/24.

      Warnung

      Wählen Sie aus Sicherheitsgründen nicht Anywhere-IPv4 oder Anywhere-IPv6 als Quelle mit einer Regel für SSH aus. Dies würde den Zugriff auf Ihre Instance von allen IP-Adressen im Internet ermöglichen. Dies ist zwar für kurze Zeit in einer Testumgebung akzeptabel, aber für Produktionsumgebungen sehr unsicher.

  7. Behalten Sie für ausgehende Regeln die Standardregel bei, die den gesamten ausgehenden Datenverkehr zulässt.

  8. Wählen Sie Sicherheitsgruppe erstellen aus.

AWS CLI

Wenn Sie die AWS CLI verwenden, um eine Sicherheitsgruppe zu erstellen, wird der Sicherheitsgruppe automatisch eine Regel für ausgehenden Datenverkehr hinzugefügt, die den gesamten ausgehenden Datenverkehr zulässt. Eine Regel für eingehenden Datenverkehr wird nicht automatisch hinzugefügt. Sie müssen sie hinzufügen.

In diesem Verfahren kombinieren Sie die AWS CLI-Befehle ucreate-security-group und authorize-security-group-ingress, um die Sicherheitsgruppe zu erstellen, und fügen die eingehende Regel hinzu, die den angegebenen eingehenden Datenverkehr zulässt. Eine Alternative zum folgenden Verfahren besteht darin, die Befehle separat auszuführen. Dazu wird zunächst eine Sicherheitsgruppe erstellt, der anschließend eine Regel für eingehenden Datenverkehr hinzugefügt wird.

Erstellen einer Sicherheitsgruppe und Hinzufügen einer Regel für eingehenden Datenverkehr zu dieser Sicherheitsgruppe

Verwenden Sie die AWS CLI-Befehle create-security-group und authorize-security-group-ingress wie folgt:

aws ec2 authorize-security-group-ingress \ --region us-west-2 \ --group-id $(aws ec2 create-security-group \ --group-name myname_SG_uswest2 \ --description "Security group description" \ --vpc-id vpc-12345678 \ --output text \ --region us-west-2) \ --ip-permissions \ IpProtocol=tcp,FromPort=80,ToPort=80,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTP from anywhere"}]' \ IpProtocol=tcp,FromPort=443,ToPort=443,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTPS from anywhere"}]' \ IpProtocol=tcp,FromPort=22,ToPort=22,IpRanges='[{CidrIp=172.31.0.0/16,Description="SSH from private network"}]' \ IpProtocol=tcp,FromPort=22,ToPort=22,IpRanges='[{CidrIp=203.0.113.25/32,Description="SSH from public IP"}]'

Für:

  • --region: Geben Sie die Region an, in der die Regeln für eingehenden Datenverkehr erstellt werden sollen.

  • --group-id: Geben Sie den create-security-group-Befehl und die folgenden Parameter an, um die Sicherheitsgruppe zu erstellen:

    • --group-name: Geben Sie einen Namen für die neue Sicherheitsgruppe an. Wählen Sie einen Namen aus, den Sie sich leicht merken können, wie z. B. Ihren Benutzernamen, gefolgt von _SG_ und dem Namen der Region. Beispiel: myname_SG_uswest2

    • --description: Geben Sie eine Beschreibung an, anhand derer Sie feststellen können, welchen Datenverkehr die Sicherheitsgruppe zulässt.

    • --vpc-id: Geben Sie Ihre Standard-VPC für die Region an.

    • --output: Geben Sie text als Ausgabeformat für den Befehl an.

    • --region: Geben Sie die Region an, in der die Sicherheitsgruppe erstellt werden soll. Dabei muss es sich um dieselbe Region handeln, die Sie für die Regeln für eingehenden Datenverkehr angegeben haben.

  • --ip-permissions: Geben Sie die Regeln für eingehenden Datenverkehr an, die der Sicherheitsgruppe hinzugefügt werden sollen. Die Regeln in diesem Beispiel gelten für einen Webserver, der HTTP- und HTTPS-Verkehr von überall akzeptiert und SSH--Verkehr aus einem privaten Netzwerk akzeptiert (wenn Ihr Unternehmen oder Ihr Router Adressen aus einem Bereich zuweist) und eine angegebene öffentliche IP-Adresse (z. B. die öffentliche IPv4-Adresse Ihres Computers oder Netzwerks in CIDR-Notation).

    Warnung

    Geben Sie aus Sicherheitsgründen nicht 0.0.0.0/0 für CidrIp mit einer Regel für SSH- an. Dies würde den Zugriff auf Ihre Instance von allen IP-Adressen im Internet ermöglichen. Dies ist zwar für kurze Zeit in einer Testumgebung akzeptabel, aber für Produktionsumgebungen sehr unsicher.

PowerShell

Wenn Sie die AWS Tools for Windows PowerShell verwenden, um eine Sicherheitsgruppe zu erstellen, wird der Sicherheitsgruppe automatisch eine Regel für ausgehenden Datenverkehr hinzugefügt, die den gesamten ausgehenden Datenverkehr zulässt. Eine Regel für eingehenden Datenverkehr wird nicht automatisch hinzugefügt. Sie müssen sie hinzufügen.

In diesem Verfahren kombinieren Sie die AWS Tools for Windows PowerShell-Befehle uNew-EC2SecurityGroup und Grant-EC2SecurityGroupIngress, um die Sicherheitsgruppe zu erstellen, und fügen die eingehende Regel hinzu, die den angegebenen eingehenden Datenverkehr zulässt. Eine Alternative zum folgenden Verfahren besteht darin, die Befehle separat auszuführen. Dazu wird zunächst eine Sicherheitsgruppe erstellt, der anschließend eine Regel für eingehenden Datenverkehr hinzugefügt wird.

So erstellen Sie eine Sicherheitsgruppe

Verwenden Sie die AWS Tools for Windows PowerShell-Befehle New-EC2SecurityGroup und Grant-EC2SecurityGroupIngress wie folgt:

Import-Module AWS.Tools.EC2 New-EC2SecurityGroup -GroupName myname_SG_uswest2 -Description 'Security group description' -VpcId vpc-12345678 -Region us-west-2 | ` Grant-EC2SecurityGroupIngress ` -GroupName $_ ` -Region us-west-2 ` -IpPermission @( (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 80; ToPort = 80; Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTP from anywhere'}) }), (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 443; ToPort = 443; Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTPS from anywhere'}) }), (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 3389; ToPort = 3389; Ipv4Ranges = @( @{CidrIp = '172.31.0.0/16'; Description = 'RDP from private network'}, @{CidrIp = '203.0.113.25/32'; Description = 'RDP from public IP'} ) }) )

Für die Sicherheitsgruppe:

  • -GroupName: Geben Sie einen Namen für die neue Sicherheitsgruppe an. Wählen Sie einen Namen aus, den Sie sich leicht merken können, wie z. B. Ihren Benutzernamen, gefolgt von _SG_ und dem Namen der Region. Beispiel: myname_SG_uswest2

  • -Description: Geben Sie eine Beschreibung an, anhand derer Sie feststellen können, welchen Datenverkehr die Sicherheitsgruppe zulässt.

  • -VpcId: Geben Sie Ihre Standard-VPC für die Region an.

  • -Region: Geben Sie die Region an, in der die Sicherheitsgruppe erstellt werden soll.

Für die Regeln für eingehenden Datenverkehr:

  • -GroupName: Geben Sie $_ an, um auf die Sicherheitsgruppe zu verweisen, die Sie erstellen.

  • -Region: Geben Sie die Region an, in der die Regeln für eingehenden Datenverkehr erstellt werden sollen. Dabei muss es sich um dieselbe Region handeln, die Sie für die Sicherheitsgruppe angegeben haben.

  • -IpPermission: Geben Sie die Regeln für eingehenden Datenverkehr an, die der Sicherheitsgruppe hinzugefügt werden sollen. Die Regeln in diesem Beispiel gelten für einen Webserver, der HTTP- und HTTPS-Verkehr von überall akzeptiert und RDP-Verkehr aus einem privaten Netzwerk akzeptiert (wenn Ihr Unternehmen oder Ihr Router Adressen aus einem Bereich zuweist) und eine angegebene öffentliche IP-Adresse (z. B. die öffentliche IPv4-Adresse Ihres Computers oder Netzwerks in CIDR-Notation).

    Warnung

    Geben Sie aus Sicherheitsgründen nicht 0.0.0.0/0 für CidrIp mit einer Regel für RDP an. Dies würde den Zugriff auf Ihre Instance von allen IP-Adressen im Internet ermöglichen. Dies ist zwar für kurze Zeit in einer Testumgebung akzeptabel, aber für Produktionsumgebungen sehr unsicher.

Weitere Informationen finden Sie unter Amazon-EC2-Sicherheitsgruppen für Linux-Instances.