Administración de las cuentas de usuario en su instancia de Amazon Linux - Amazon Elastic Compute Cloud

Administración de las cuentas de usuario en su instancia de Amazon Linux

Cada de instancia de Linux se lanza con una cuenta de usuario predeterminada del sistema Linux. La AMI determina el nombre de usuario predeterminado que se especificó cuando lanzó la instancia.

  • Para Amazon Linux 2 o la AMI de Amazon Linux, el nombre de usuario es ec2-user.

  • Para una AMI de CentOS, el nombre de usuario es centos.

  • Para una AMI de Debian, el nombre de usuario es admin.

  • Para una AMI de Fedora, el nombre de usuario es ec2-user o fedora.

  • Para una AMI de RHEL, el nombre de usuario es ec2-user o root.

  • Para una AMI de SUSE, el nombre de usuario es ec2-user o root.

  • Para una AMI de Ubuntu, el nombre de usuario es ubuntu.

  • Si ec2-user y root no funcionan, consulte con el proveedor de la AMI.

nota

Los usuarios del sistema Linux no deben confundirse con los usuarios de AWS Identity and Access Management (IAM). Para obtener más información, consulte el tema relacionado con los usuarios y grupos de IAM en la Guía del usuario de IAM.

Consideraciones

Es correcto utilizar la cuenta de usuario predeterminada para muchas aplicaciones. Sin embargo, es posible que elija agregar cuentas de usuario de modo que las personas puedan tener sus propios archivos y zonas de trabajo. Además, crear cuentas de usuarios para usuarios nuevos es mucho más seguro que conceder a múltiples usuarios (posiblemente inexpertos) acceso a la cuenta de usuario predeterminado porque cuenta de usuario predeterminada puede causar mucho daño en un sistema si no se usa adecuadamente. Para obtener más información, consulte Sugerencias para proteger la instancia EC2.

Para permitir a los usuarios el acceso SSH a su instancia EC2 mediante una cuenta de usuario del sistema Linux, debe compartir la clave SSH con el usuario. De forma alternativa, puede utilizar EC2 Instance Connect para permitir el acceso a los usuarios sin necesidad de compartir y administrar claves SSH. Para obtener más información, consulte Conexión a la instancia de Linux mediante EC2 Instance Connect.

Creación de una cuenta de usuario

En primer lugar, cree la cuenta de usuario y, a continuación, añada la clave pública SSH que permite al usuario conectar e iniciar sesión en la instancia.

Para crear una cuenta de usuario

  1. Cree un nuevo par de claves. Debe proporcionar el archivo .pem al usuario para el que va a crear la cuenta de usuario. Debe usar este archivo para conectarse a la instancia.

  2. Recupere la clave pública del par de claves que creó en el paso anterior.

    $ ssh-keygen -y -f /path_to_key_pair/key-pair-name.pem

    El comando devuelve la clave pública, como se muestra en el siguiente ejemplo.

    ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6Vhz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXrlsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZqaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3RbBQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE
  3. Conéctese a la instancia.

  4. Utilice el comando adduser para crear la cuenta de usuario y añádala al sistema (con una entrada en el archivo /etc/passwd). El comando también crea un grupo y un directorio principal para la cuenta. En este ejemplo, la cuenta de usuario se denomina newuser.

    • Amazon Linux y Amazon Linux 2

      [ec2-user ~]$ sudo adduser newuser
    • Ubuntu

      Incluya el parámetro --disabled-password para crear la cuenta de usuario sin una contraseña.

      [ubuntu ~]$ sudo adduser newuser --disabled-password
  5. Cambie a la nueva cuenta de forma que el directorio y el archivo que cree tengan la propiedad adecuada.

    [ec2-user ~]$ sudo su - newuser

    El símbolo cambia de ec2-user a newuser para indicar que ha cambiado la sesión del shell a una nueva cuenta.

  6. Añada la clave pública SSH a la cuenta de usuario. En primer lugar, cree un directorio en el directorio de inicio del usuario para el archivo de clave SSH, a continuación cree el archivo de clave y, finalmente, pegue la clave pública en el archivo de clave, tal como se describe en los siguientes pasos secundarios.

    1. Cree un directorio .ssh en el directorio principal newuser y cambie los permisos de archivo a 700 (solo el propietario puede leer, escribir o abrir el directorio).

      [newuser ~]$ mkdir .ssh
      [newuser ~]$ chmod 700 .ssh
      importante

      Sin estos permisos de archivo exactos, el usuario no podrá iniciar sesión.

    2. Cree un archivo llamado authorized_keys en el directorio .ssh y cambie los permisos de archivo a 600 (solo el propietario puede leer o escribir en el archivo).

      [newuser ~]$ touch .ssh/authorized_keys
      [newuser ~]$ chmod 600 .ssh/authorized_keys
      importante

      Sin estos permisos de archivo exactos, el usuario no podrá iniciar sesión.

    3. Abra el archivo authorized_keys con el editor de texto que prefiera (como vim o nano).

      [newuser ~]$ nano .ssh/authorized_keys

      Pegue la clave pública que recuperó en el paso 2 en el archivo y guarde los cambios.

      importante

      Asegúrese de pegar la clave pública en una línea continua. La clave pública no debe dividirse en varias líneas.

      Ahora el usuario debería poder iniciar sesión en la cuenta newuser de la instancia usando la clave privada que corresponde a la clave pública que ha agregado al archivo authorized_keys. Para obtener más información acerca de los diferentes métodos de conexión a una instancia de Linux, consulte Conexión con la instancia de Linux.

Eliminación de una cuenta de usuario

Si ya no necesita una cuenta de usuario, puede eliminarla para que no pueda volver a utilizarse.

Utilice el comando userdel para eliminar la cuenta de usuario del sistema. Cuando especifica el parámetro -r, el directorio principal del usuario y la carpeta spool de correo se eliminan. Para mantener el directorio principal del usuario y la carpeta spool de correo, omita el parámetro -r.

[ec2-user ~]$ sudo userdel -r olduser