Tutorial: Cómo completar la configuración necesaria para conectarse a la instancia mediante EC2 Instance Connect

Para conectarse a la instancia mediante EC2 Instance Connect en la consola de Amazon EC2, debe completar la configuración previa que le permitirá conectarse correctamente a la instancia. El objetivo de este tutorial es guiarlo a través de las tareas necesarias para completar la configuración previa.

Información general del tutorial

En este tutorial, deberá completar las cuatro tareas detalladas a continuación:

• Tarea 1: conceder los permisos necesarios para utilizar EC2 Instance Connect

  En primer lugar, debe crear una política de IAM que contenga los permisos de IAM que le permitirán introducir una clave pública en los metadatos de la instancia. Deberá asociar esta política a su identidad de IAM (usuario, grupo de usuarios o rol) para que su identidad de IAM obtenga estos permisos.

• Tarea 2: permitir el tráfico entrante desde el servicio EC2 Instance Connect a la instancia

  A continuación, deberá crear un grupo de seguridad que permita el tráfico desde el servicio EC2 Instance Connect a la instancia. Esto es necesario cuando utiliza EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia.

• Tarea 3: Iniciar la instancia

  A continuación, deberá lanzar una instancia de EC2 con una AMI preinstalada en EC2 Instance Connect y agregar el grupo de seguridad que creó en el paso anterior.

• Tarea 4: Conectarse a la instancia

  Por último, deberá utilizar EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia. Si puede conectarse, esto significa que la configuración previa que completó en las tareas 1, 2 y 3 se realizó correctamente.

Tarea 1: conceder los permisos necesarios para utilizar EC2 Instance Connect

Cuando se conecta a una instancia con EC2 Instance Connect, la API de EC2 Instance Connect inserta una clave pública SSH en los metadatos de la instancia, donde permanece por 60 segundos. Necesita una política de IAM asociada a su identidad de IAM (usuario, grupo de usuarios o rol) a fin de obtener el permiso necesario para insertar la clave pública en los metadatos de la instancia.

Objetivo de la tarea

Creará la política de IAM que concede el permiso para insertar la clave pública en la instancia. La acción específica que debe permitir es ec2-instance-connect:SendSSHPublicKey. También debe permitir la acción ec2:DescribeInstances para poder ver y seleccionar la instancia en la consola de Amazon EC2.

Después de haber creado la política, deberá asociar esta política a su identidad de IAM (usuario, grupo de usuarios o rol) para que esta obtenga los permisos.

Deberá crear una política con la siguiente configuración:

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}

importante

La política de IAM creada en este tutorial es muy permisiva; le permite conectarse a cualquier instancia mediante cualquier nombre de usuario de AMI. Utilizamos esta política altamente permisiva para que el tutorial sea sencillo y se enfoque en las configuraciones específicas que se enseñan en él. Sin embargo, en un entorno de producción, le recomendamos que la política de IAM esté configurada para proporcionar permisos con privilegios mínimos. Para ver ejemplos de políticas de IAM, consulte Concesión de permisos de IAM para EC2 Instance Connect.

Cómo crear y asociar una política de IAM que le permita usar EC2 Instance Connect para conectarse a las instancias

1. Primero: crear la política de IAM

   1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

   2. En el panel de navegación, seleccione Políticas.

   3. Elija Create Policy (Crear política).

   4. En la página Especificar permiso, haga lo siguiente:

      1. En Servicio, elija EC2 Instance Connect.

      2. En Acciones permitidas, en el campo de búsqueda, comience a escribir send para ver las acciones relevantes y, a continuación, seleccione SendSSHPublicKey.

      3. En Recursos, elija Todos. Para un entorno de producción, se recomienda especificar la instancia por su ARN, pero, en este tutorial, se permiten todas las instancias.

      4. Elija Add more permissions.

      5. En Servicio, elija EC2.

      6. En Acciones permitidas, en el campo de búsqueda, comience a escribir describein para ver las acciones relevantes y, a continuación, seleccione DescribeInstances.

      7. Elija Siguiente.

   5. En la página Revisar y crear, haga lo siguiente:

      1. En Nombre de política, escriba un nombre para la política.

      2. Elija Crear política.

2. A continuación, asocie la política a su identidad

   1. En la consola de IAM, en el panel de navegación, elija Políticas.

   2. En la lista de políticas, seleccione el botón de opción situado junto al nombre de la política que creó. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

   3. Elija Acciones, Asociar.

   4. En Entidades de IAM, seleccione la casilla de verificación junto a la identidad (usuario, grupo de usuarios o rol). Puede utilizar el cuadro de búsqueda para filtrar la lista de entidades.

   5. Elija Asociar política.

Ver una animación: crear una política de IAM

Ver animación: Asociar una política de IAM

Tarea 2: permitir el tráfico entrante desde el servicio EC2 Instance Connect a la instancia

Cuando utiliza EC2 Instance Connect en la consola de Amazon EC2 para conectarse a una instancia, el tráfico que debe permitir que llegue a la instancia es el tráfico desde el servicio EC2 Instance Connect. Esto es diferente a conectarse desde el equipo local a una instancia; en ese caso, debe permitir el tráfico desde el equipo local a la instancia. Para permitir el tráfico desde el servicio EC2 Instance Connect, debe crear un grupo de seguridad que permita el tráfico SSH entrante desde el rango de direcciones IP para el servicio EC2 Instance Connect.

Los rangos de direcciones IP de los servicios de AWS están disponibles en https://ip-ranges.amazonaws.com/ip-ranges.json. Los rangos de direcciones IP de EC2 Instance Connect se identifican mediante "service": "EC2_INSTANCE_CONNECT".

Objetivo de la tarea

Primero encontrará el rango de direcciones IP para EC2_INSTANCE_CONNECT en Región de AWS, en donde se encuentra la instancia. Luego deberá crear un grupo de seguridad que permita el tráfico entrante SSH en el puerto 22 de ese rango de direcciones IP.

Crear un grupo de seguridad que permita el tráfico entrante desde el servicio EC2 Instance Connect a la instancia

1. Primero, debe obtener el rango de direcciones IP para el servicio EC2 Instance Connect

   1. Abra el archivo JSON de rangos de direcciones IP de AWS en https://ip-ranges.amazonaws.com/ip-ranges.json.

   2. Elija Datos sin procesar.

   3. Busque el rango de direcciones IP para EC2_INSTANCE_CONNECT correspondiente a la Región de AWS en la que se encuentra la instancia. Puede usar el campo de búsqueda del navegador para buscar el servicio EC2_INSTANCE_CONNECT y continuar hasta encontrar la región en la que se encuentra la instancia.

      Por ejemplo, si la instancia está ubicada en la región Este de EE. UU. (Norte de Virginia) (us-east-1), el rango de direcciones IP para EC2_INSTANCE_CONNECT en esa región es 18.206.107.24/29.

      nota

      Los rangos de direcciones IP son diferentes para cada Región de AWS.

   4. Copie el rango de direcciones IP que aparece junto a ip_prefix. Usará este rango de direcciones IP más tarde en este procedimiento.

   Para obtener más información acerca de cómo descargar el archivo JSON de rangos de direcciones IP de AWS y filtrar por servicio, consulte Rangos de direcciones IP de AWS en la Guía del usuario de Amazon VPC.

2. A continuación, cree el grupo de seguridad con una regla de entrada para permitir el tráfico procedente del rango de direcciones IP copiado

   1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

   2. En el panel de navegación, elija Grupos de seguridad.

   3. Seleccione Crear grupo de seguridad.

   4. En Basic details (Detalles básicos), haga lo siguiente:

      1. En Nombre del grupo de seguridad, ingrese un nombre significativo para el grupo de seguridad.

      2. En Descripción, escriba una descripción significativa para el grupo de seguridad.

   5. En Reglas de entrada, haga lo siguiente:

      1. Seleccione Agregar regla.

      2. En Tipo, seleccione SSH.

      3. En Fuente, deje Personalizado.

      4. En el campo situado junto a Fuente, pegue el rango de direcciones IP del servicio EC2 Instance Connect que copió anteriormente en este procedimiento.

         Por ejemplo, si la instancia está ubicada en la región Este de EE. UU. (Norte de Virginia) (us-east-1), pegue el siguiente rango de direcciones IP en el campo: 18.206.107.24/29

   6. Elija Crear grupo de seguridad.

Ver una animación: obtener el rango de direcciones IP de EC2 Instance Connect para una región específica

Ver una animación: configuración de un grupo de seguridad

Tarea 3: Iniciar la instancia

Cuando se inicia una instancia, debe especificar una AMI que contenga la información necesaria para lanzar la instancia. Puede elegir iniciar una instancia con o sin EC2 Instance Connect preinstalado. En esta tarea, especificamos una AMI que viene preinstalada con EC2 Instance Connect.

Si inicia la instancia sin EC2 Instance Connect preinstalado y desea usar EC2 Instance Connect para conectarse a la instancia, tendrá que completar pasos de configuración adicionales. Esos pasos están fuera del alcance de este tutorial.

Objetivo de la tarea

Iniciará una instancia con la AMI de Amazon Linux 2023, que viene preinstalada con EC2 Instance Connect. Además, especificará el grupo de seguridad que creó anteriormente para poder usar EC2 Instance Connect en la consola de Amazon EC2 para conectarse a la instancia. Como utilizará EC2 Instance Connect para conectarse a la instancia y, por lo tanto, se introducirá una clave pública en los metadatos de esta, no necesitará especificar una clave SSH cuando inicie dicha instancia.

Cómo iniciar una instancia que pueda usar EC2 Instance Connect en la consola de Amazon EC2 para conectarse

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En la barra de navegación en la parte superior de la pantalla, se muestra la región actual de AWS (por ejemplo, Irlanda). Seleccione una región en la que se va a iniciar la instancia. Esta elección es importante porque creó un grupo de seguridad que permite el tráfico en una región específica, por lo que debe seleccionar la misma región en la que desea iniciar la instancia.

3. En el panel de la consola de Amazon EC2, elija Iniciar instancia.

4. (Opcional) En Name and tags (Nombre y etiquetas), escriba un nombre descriptivo para la instancia en Name (Nombre).

5. En Imágenes de aplicaciones y SO (Imagen de máquina de Amazon), elija Inicio rápido. Amazon Linux está seleccionado de forma predeterminada. En Imagen de máquina de Amazon (AMI), AMI de Amazon Linux 2023 está seleccionado de forma predeterminada. Mantenga la selección predeterminada para esta tarea.

6. En Tipo de instancia, para Tipo de instancia, mantenga la selección predeterminada o seleccione un tipo de instancia diferente.

7. En Par de claves (inicio de sesión), para Nombre del par de claves, elija Continuar sin un par de claves (no se recomienda). Cuando utiliza EC2 Instance Connect para conectarse a una instancia, EC2 Instance Connect envía un par de claves a los metadatos de la instancia y es este par de claves el que se utiliza para la conexión.

8. En Network settings (Configuración de red), haga lo siguiente:

   1. En Autoasignar IP pública, seleccione Habilitar.

      nota

      Para utilizar EC2 Instance Connect en la consola de Amazon EC2 para conectarse a una instancia, esta debe tener una dirección IPv4 pública.

   2. En Firewall (grupos de seguridad), elija Seleccionar un grupo de seguridad existente.

   3. En Grupos de seguridad habituales, elija el grupo de seguridad que creó anteriormente.

9. En el panel Resumen, elija Iniciar instancia.

Ver animación: Iniciar la instancia

Tarea 4: Conectarse a la instancia

Cuando se conecta a una instancia con EC2 Instance Connect, la API de EC2 Instance Connect inserta una clave pública SSH en los metadatos de la instancia, donde permanece por 60 segundos. El daemon SSH utiliza AuthorizedKeysCommand y AuthorizedKeysCommandUser para buscar la clave pública en los metadatos de la instancia para su autenticación y la conecta a la instancia.

Objetivo de la tarea

En esta tarea, se conectará a la instancia mediante EC2 Instance Connect en la consola de Amazon EC2. Si completó las tareas 1, 2 y 3 la conexión debería realizarse correctamente.

Pasos para conectarse a la instancia

Los pasos siguientes le permiten conectarse a la instancia. Para ver una animación de los pasos, consulte Ver animación: Conectarse a la instancia.

Conectarse a una instancia mediante EC2 Instance Connect en la consola de Amazon EC2

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En la barra de navegación en la parte superior de la pantalla, se muestra la región actual de AWS (por ejemplo, Irlanda). Seleccione la región en la que se encuentra la instancia.

3. En el panel de navegación, seleccione Instances (Instancia[s]).

4. Seleccione la instancia y elija Connect.

5. Elija la pestaña EC2 Instance Connect.

6. En Tipo de conexión, elija Conectarse a una instancia mediante EC2 Instance Connect.

7. Elija Conectar.

   Se abre una ventana terminal en el navegador y está conectado a la instancia.

Ver animación: Conectarse a la instancia