Configuración para usar Amazon EC2. - Amazon Elastic Compute Cloud

Configuración para usar Amazon EC2.

Complete las tareas de esta sección para configurar el lanzamiento de una instancia de Amazon EC2 por primera vez:

Cuando haya terminado, estará listo para el tutorial de introducción de Amazon EC2.

Registro para obtener una Cuenta de AWS

Si no dispone de una Cuenta de AWS, siga estos pasos para crear una.

Creación de una Cuenta de AWS
  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones que se le indiquen.

    Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

    Al registrarse en una Cuenta de AWS, se crea un Usuario raíz de la cuenta de AWS. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario administrativo y utilice únicamente el usuario raíz para realizar tareas que requieran acceso de usuario raíz.

AWS le enviará un correo electrónico de confirmación después de completar el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/ y seleccionando Mi cuenta.

Crear un usuario administrativo

Después de registrarse para obtener una Cuenta de AWS, proteja su Usuario raíz de la cuenta de AWS, habilite AWS IAM Identity Center y cree un usuario administrativo para no utilizar el usuario raíz en las tareas cotidianas.

Protección de su Usuario raíz de la cuenta de AWS
  1. Inicie sesión en AWS Management Console como propietario de cuenta eligiendo Usuario raíz e introduzca el correo electrónico de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

    Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Iniciar sesión como usuario raíz en la Guía del usuario de AWS Sign-In.

  2. Active la autenticación multifactor (MFA) para el usuario raíz.

    Para obtener instrucciones, consulte Habilitar un dispositivo MFA virtual para el usuario raíz Cuenta de AWS (consola) en la Guía del usuario de IAM.

Creación de un usuario administrativo
  1. Activar IAM Identity Center

    Consulte las instrucciones en Activar AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.

  2. En el Centro de identidades de IAM, conceda acceso administrativo a un usuario administrativo.

    Para ver un tutorial sobre cómo utilizar Directorio de IAM Identity Center como origen de identidad, consulte Configuración del acceso de los usuarios con el Directorio de IAM Identity Center predeterminado en la Guía del usuario de AWS IAM Identity Center.

Cómo iniciar sesión como usuario administrativo
  • Para iniciar sesión con el usuario del Centro de identidades de IAM, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario del IAM Identity Center.

    Para obtener ayuda para iniciar sesión con un usuario del IAM Identity Center, consulte Iniciar sesión en el portal de acceso de AWS en la Guía del usuario de AWS Sign-In.

Crear un par de claves

AWS utiliza criptografía de clave pública para proteger la información de inicio de sesión de la instancia. Tiene que especificar el nombre del par de claves cuando lance la instancia y luego proporcionar la clave privada para obtener la contraseña de administrador de la instancia de Windows, de modo que pueda iniciar sesión mediante el protocolo de escritorio remoto (RDP).

Si aún no ha creado un par de claves, puede crear uno con la consola de Amazon EC2. Tenga en cuenta que si tiene previsto lanzar instancias en varias Regiones de AWS, deberá crear un par de claves en cada una de ellas. Para obtener más información acerca de las regiones, consulte Regiones y zonas.

Para crear un par de claves
  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Key Pairs (Pares de claves).

  3. Elija Create key pair (Crear par de claves).

  4. En Name (Nombre), escriba un nombre descriptivo para el par de claves. Amazon EC2 asocia la clave pública al nombre que especifique como nombre de la clave. El nombre de una clave puede incluir hasta 255 caracteres ASCII. No puede incluir espacios iniciales ni finales.

  5. En Key pair type (Tipo de par de claves), elija RSA o ED25519. Tenga en cuenta que las claves ED25519 no son compatibles con instancias de Windows.

  6. En Private key file format (Formato de archivo de la clave privada), elija el formato en el que desea guardar la clave privada. Para guardar la clave privada en un formato que se pueda utilizar con OpenSSH, elija pem. Para guardar la clave privada en un formato que se puede utilizar con PuTTY, elija ppk.

  7. Elija Create key pair (Crear par de claves).

  8. Su navegador descargará el archivo de clave privada automáticamente. El nombre del archivo base es el nombre especificado como el nombre del par de claves, y la extensión del nombre de archivo viene determinada por el formato de archivo elegido. Guarde el archivo de clave privada en un lugar seguro.

    importante

    Esta es la única oportunidad para guardar el archivo de clave privada.

Para obtener más información, consulte Pares de claves de Amazon EC2 e instancias de Windows.

Crear un grupo de seguridad

Los grupos de seguridad actúan como firewall para las instancias asociadas al controlar el tráfico entrante y saliente en el ámbito de la instancia. Debe agregar reglas a un grupo de seguridad que le permita conectarse a la instancia desde su dirección IP mediante RDP. También se pueden añadir reglas que permitan HTTP de entrada y salida y acceso HTTPS desde cualquier lugar.

Tenga en cuenta que si tiene previsto lanzar instancias en varias Regiones de AWS, deberá crear un grupo de seguridad en cada una de ellas. Para obtener más información acerca de las regiones, consulte Regiones y zonas.

Requisitos previos

Necesitará la dirección IPv4 pública de su equipo local. El editor de grupos de seguridad en la consola de Amazon EC2 puede detectar la dirección IPv4 pública automáticamente. También puede buscar la frase "cuál es mi dirección IP" en un navegador de Internet o utilizar el siguiente servicio: Check IP. Si se conecta a través de un proveedor de Internet (ISP) o protegido por un firewall sin una dirección IP estática, deberá identificar el rango de direcciones IP utilizadas por los equipos cliente.

Puede crear un grupo de seguridad personalizado utilizando uno de los métodos siguientes.

Console
Para crear un grupo de seguridad con los privilegios mínimos
  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En la barra de navegación superior, seleccione una Región de AWS para el grupo de seguridad. Cada grupo de seguridad corresponde a una región específica, así que deberá seleccionar la región en la que creó el par de claves.

  3. En el panel de navegación izquierdo, elija Security Groups.

  4. Elija Crear grupo de seguridad.

  5. En Basic details (Detalles básicos), haga lo siguiente:

    1. Escriba un nombre y una descripción para el nuevo grupo de seguridad. Elija un nombre fácil de recordar, como su nombre de usuario seguido de _SG_ y del nombre de la región. Por ejemplo, me_SG_uswest2.

    2. En la lista VPC seleccione la VPC predeterminada para la región.

  6. En Inbound rules (Reglas de entrada), cree reglas que permitan que el tráfico específico llegue a su instancia. Por ejemplo, utilice las reglas siguientes para un servidor web que acepte tráfico HTTP y HTTPS. Para obtener más ejemplos, consulte Reglas de grupo de seguridad para diferentes casos de uso.

    1. Seleccione Añadir regla. En Tipo, seleccione HTTP. En Origen, elija Anywhere-IPv4 para permitir el tráfico HTTP entrante desde cualquier dirección IPv4 o Anywhere-IPv6 para permitir el tráfico HTTP entrante desde cualquier dirección IPv6.

    2. Seleccione Añadir regla. En Type (Tipo), seleccione HTTPS. En Origen, elija Anywhere-IPv4 para permitir el tráfico HTTPS entrante desde cualquier dirección IPv4 o Anywhere-IPv6 para permitir el tráfico HTTPS entrante desde cualquier dirección IPv6.

    3. Seleccione Add rule (Agregar regla). En Type (Tipo), elija RDP. En Source (Fuente), realice una de las acciones siguientes:

      • Seleccione My IP (Mi IP) para agregar automáticamente la dirección IPv4 pública de su equipo local.

      • Elija Custom (Personalizada) y especifique la dirección IPv4 pública de su equipo o red en notación CIDR. Para especificar una dirección IP individual en notación CIDR, agregue el sufijo de enrutamiento /32, por ejemplo, 203.0.113.25/32. Si su empresa o su enrutador asigna direcciones de un rango, especifíquelo por completo, como, por ejemplo, 203.0.113.0/24.

      aviso

      Por seguridad, no elija Anywhere-IPv4 ni Anywhere-IPv6 en Origen con una regla para RDP. Esto permitiría el acceso a su instancia desde todas las direcciones IP de Internet. Esto es aceptable para un periodo de tiempo corto en un entorno de prueba, pero no es seguro en entornos de producción.

  7. En Outbound rules (Reglas de salida), mantenga la regla predeterminada, que permite todo el tráfico de salida.

  8. Elija Crear grupo de seguridad.

AWS CLI

Al utilizar la AWS CLI para crear un grupo de seguridad, se agrega automáticamente al grupo de seguridad una regla de salida que permite todo el tráfico de salida. Las reglas de entrada no se agregan automáticamente; tendrá que agregarlas.

En este procedimiento, combinará los comandos create-security-group y authorize-security-group-ingress AWS CLI para crear el grupo de seguridad y agregar la regla de entrada que permita el tráfico de entrada especificado. Una alternativa al procedimiento siguiente consiste en ejecutar los comandos por separado. Para ello, cree primero un grupo de seguridad y, a continuación, agregue una regla de entrada al grupo de seguridad.

Para crear un grupo de seguridad y agregar una regla de entrada al grupo de seguridad

Utilice los comandos create-security-group y authorize-security-group-ingress AWS CLI de la siguiente manera:

aws ec2 authorize-security-group-ingress \ --region us-west-2 \ --group-id $(aws ec2 create-security-group \ --group-name myname_SG_uswest2 \ --description "Security group description" \ --vpc-id vpc-12345678 \ --output text \ --region us-west-2) \ --ip-permissions \ IpProtocol=tcp,FromPort=80,ToPort=80,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTP from anywhere"}]' \ IpProtocol=tcp,FromPort=443,ToPort=443,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTPS from anywhere"}]' \ IpProtocol=tcp,FromPort=3389,ToPort=3389,IpRanges='[{CidrIp=172.31.0.0/16,Description="RDP from private network"}]' \ IpProtocol=tcp,FromPort=3389,ToPort=3389,IpRanges='[{CidrIp=203.0.113.25/32,Description="RDP from public IP"}]'

Para:

  • --region: especifique la región en la que se crearán las reglas de entrada.

  • --group-id: especifique el comando create-security-group y los siguientes parámetros para crear el grupo de seguridad:

    • --group-name: especifique un nombre para el nuevo grupo de seguridad. Utilice un nombre fácil de recordar, como su nombre de usuario, seguido de _SG_ y del nombre de la región. Por ejemplo, myname_SG_uswest2.

    • --description: especifique una descripción que le ayude a saber qué tráfico permite el grupo de seguridad.

    • --vpc-id: especifique la VPC predeterminada para la región.

    • --output: especifique text como formato de salida del comando.

    • --region: especifique la región en la que se creará el grupo de seguridad. Debe ser la misma región que especificó para las reglas de entrada.

  • --ip-permissions: especifique las reglas de entrada que se agregarán al grupo de seguridad. Las reglas de este ejemplo son para un servidor web que acepta tráfico HTTP y HTTPS desde cualquier lugar y que acepta tráfico RDP de una red privada (si su empresa o su enrutador asignan direcciones de un rango) y una dirección IP pública especificada (como la dirección IPv4 pública de su equipo o red en notación CIDR).

    aviso

    Por motivos de seguridad, no especifique 0.0.0.0/0 para CidrIp con una regla para RDP. Esto permitiría el acceso a su instancia desde todas las direcciones IP de Internet. Esto es aceptable para un periodo de tiempo corto en un entorno de prueba, pero no es seguro en entornos de producción.

PowerShell

Al utilizar la AWS Tools for Windows PowerShell para crear un grupo de seguridad, se agrega automáticamente al grupo de seguridad una regla de salida que permite todo el tráfico de salida. Las reglas de entrada no se agregan automáticamente; tendrá que agregarlas.

En este procedimiento, combinará los comandos New-EC2SecurityGroup y Grant-EC2SecurityGroupIngress AWS Tools for Windows PowerShell para crear el grupo de seguridad y agregar la regla de entrada que permita el tráfico de entrada especificado. Una alternativa al procedimiento siguiente consiste en ejecutar los comandos por separado. Para ello, cree primero un grupo de seguridad y, a continuación, agregue una regla de entrada al grupo de seguridad.

Para crear un grupo de seguridad

Utilice los comandos New-EC2SecurityGroup y Grant-EC2SecurityGroupIngress AWS Tools for Windows PowerShell de la siguiente manera.

Import-Module AWS.Tools.EC2 New-EC2SecurityGroup -GroupName myname_SG_uswest2 -Description 'Security group description' -VpcId vpc-12345678 -Region us-west-2 | ` Grant-EC2SecurityGroupIngress ` -GroupName $_ ` -Region us-west-2 ` -IpPermission @( (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 80; ToPort = 80; Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTP from anywhere'}) }), (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 443; ToPort = 443; Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTPS from anywhere'}) }), (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 3389; ToPort = 3389; Ipv4Ranges = @( @{CidrIp = '172.31.0.0/16'; Description = 'RDP from private network'}, @{CidrIp = '203.0.113.25/32'; Description = 'RDP from public IP'} ) }) )

Para crear el grupo de seguridad:

  • -GroupName: especifique un nombre para el nuevo grupo de seguridad. Utilice un nombre fácil de recordar, como su nombre de usuario, seguido de _SG_ y del nombre de la región. Por ejemplo, myname_SG_uswest2.

  • -Description: especifique una descripción que le ayude a saber qué tráfico permite el grupo de seguridad.

  • -VpcId: especifique la VPC predeterminada para la región.

  • -Region: especifique la región en la que se creará el grupo de seguridad.

Para las reglas de entrada:

  • -GroupName: especifique $_ para hacer referencia al grupo de seguridad que está creando.

  • -Region: especifique la región en la que se crearán las reglas de entrada. Debe ser la misma región que especificó para el grupo de seguridad.

  • -IpPermission: especifique las reglas de entrada que se agregarán al grupo de seguridad. Las reglas de este ejemplo son para un servidor web que acepta tráfico HTTP y HTTPS desde cualquier lugar y que acepta tráfico RDP de una red privada (si su empresa o su enrutador asignan direcciones de un rango) y una dirección IP pública especificada (como la dirección IPv4 pública de su equipo o red en notación CIDR).

    aviso

    Por motivos de seguridad, no especifique 0.0.0.0/0 para CidrIp con una regla para RDP. Esto permitiría el acceso a su instancia desde todas las direcciones IP de Internet. Esto es aceptable para un periodo de tiempo corto en un entorno de prueba, pero no es seguro en entornos de producción.

Para obtener más información, consulte Grupos de seguridad de Amazon EC2 para instancias de Windows.