Connectez-vous à vos instances à l'aide du point de terminaison EC2 Instance Connect - Amazon Elastic Compute Cloud
Comment ça marcheConsidérations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez-vous à vos instances à l'aide du point de terminaison EC2 Instance Connect

Le point de terminaison EC2 Instance Connect vous permet de vous connecter en toute sécurité à une instance depuis Internet, sans utiliser d'hôte bastion ni exiger que votre cloud privé virtuel (VPC) dispose d'une connexion Internet directe.

Avantages

  • Vous pouvez vous connecter à vos instances sans que celles-ci aient besoin d'une adresse IPv4 publique. AWS frais pour toutes les adresses IPv4 publiques, y compris les adresses IPv4 publiques associées aux instances en cours d'exécution et les adresses IP Elastic. Pour plus d’informations, consultez l’onglet Adresse IPv4 publique de la page de tarification d’Amazon VPC.

  • Vous pouvez vous connecter à vos instances depuis Internet sans que votre VPC dispose d'une connexion Internet directe via une passerelle Internet.

  • Vous pouvez contrôler l'accès à la création et à l'utilisation des points de terminaison EC2 Instance Connect pour vous connecter aux instances à l'aide des politiques et autorisations IAM.

  • Toutes les tentatives de connexion à vos instances, qu'elles soient réussies ou non, sont enregistrées CloudTrail.

Tarification

L'utilisation des points de terminaison EC2 Instance Connect est gratuite. Si vous utilisez un point de terminaison EC2 Instance Connect pour vous connecter à une instance située dans une autre zone de disponibilité, des frais supplémentaires sont facturés pour le transfert de données entre les zones de disponibilité.

Table des matières

Comment ça marche

Le point de terminaison EC2 Instance Connect est un proxy TCP sensible à l'identité. Le service EC2 Instance Connect Endpoint établit un tunnel privé entre votre ordinateur et le point de terminaison à l'aide des informations d'identification de votre entité IAM. Le trafic est authentifié et autorisé avant d'atteindre votre VPC.

Vous pouvez configurer des règles de groupe de sécurité supplémentaires pour limiter le trafic entrant vers vos instances. Par exemple, vous pouvez utiliser des règles entrantes pour autoriser le trafic sur les ports de gestion uniquement à partir du point de terminaison EC2 Instance Connect.

Vous pouvez configurer les règles de table de routage pour permettre au point de terminaison de se connecter à n'importe quelle instance de n'importe quel sous-réseau du VPC.

Le schéma suivant montre comment un utilisateur peut se connecter à ses instances depuis Internet à l'aide d'un point de terminaison EC2 Instance Connect. Créez d'abord un point de terminaison EC2 Instance Connect dans le sous-réseau A. Nous créons une interface réseau pour le point de terminaison du sous-réseau, qui sert de point d'entrée pour le trafic destiné à vos instances dans le VPC. Si la table de routage du sous-réseau B autorise le trafic en provenance du sous-réseau A, vous pouvez utiliser le point de terminaison pour atteindre les instances du sous-réseau B.

Présentation du flux du point de terminaison EC2 Instance Connect.

Considérations

Avant de commencer, considérez les points suivants.

  • Le point de terminaison EC2 Instance Connect est spécifiquement conçu pour les cas d'utilisation du trafic de gestion, et non pour les transferts de données à volume élevé. Les transferts de données à haut volume sont limités.

  • Votre instance doit avoir une adresse IPv4 (privée ou publique). Le point de terminaison EC2 Instance Connect ne prend pas en charge la connexion aux instances à l'aide d'adresses IPv6.

  • (Instances Linux) Si vous utilisez votre propre paire de clés, vous pouvez utiliser n'importe quelle AMI Linux. Dans le cas contraire, EC2 Instance Connect doit être installé sur votre instance. Pour plus d'informations sur les AMI qui incluent EC2 Instance Connect et sur la manière de l'installer sur d'autres AMI prises en charge, consultezInstallation d’EC2 Instance Connect.

  • Vous pouvez attribuer un groupe de sécurité à un point de terminaison EC2 Instance Connect lorsque vous le créez. Dans le cas contraire, nous utilisons le groupe de sécurité par défaut pour le VPC. Le groupe de sécurité d'un point de terminaison EC2 Instance Connect doit autoriser le trafic sortant vers les instances de destination. Pour plus d’informations, consultez Groupes de sécurité pour le point de terminaison EC2 Instance Connect.

  • Vous pouvez configurer un point de terminaison EC2 Instance Connect pour conserver les adresses IP sources des clients lors du routage des demandes vers les instances. Dans le cas contraire, l'adresse IP de l'interface réseau devient l'adresse IP du client pour tout le trafic entrant.

    • Si vous activez la préservation de l'adresse IP des clients, les groupes de sécurité des instances doivent autoriser le trafic provenant des clients. Les instances doivent également se trouver dans le même VPC que le point de terminaison EC2 Instance Connect.

    • Si vous désactivez la préservation de l'adresse IP du client, les groupes de sécurité des instances doivent autoriser le trafic en provenance du VPC. Il s’agit de l’option par défaut.

    • Les types d'instance suivants ne prennent pas en charge la préservation de l'adresse IP du client : C1, CG1, CG2, G1, HI1, M1, M2, M3 et T1. Si vous activez la préservation de l'adresse IP du client et que vous tentez de vous connecter à une instance avec l'un de ces types d'instance à l'aide du point de terminaison EC2 Instance Connect, la connexion échoue.

    • La préservation de l'adresse IP du client n'est pas prise en charge lorsque le trafic est acheminé via une passerelle de transit.

  • Lorsque vous créez un point de terminaison EC2 Instance Connect, un rôle lié à un service est automatiquement créé pour le service Amazon EC2 dans (IAM). AWS Identity and Access Management Amazon EC2 utilise le rôle lié à un service pour allouer des interfaces réseau dans votre compte, qui sont nécessaires lors de la création de points de terminaison EC2 Instance Connect. Pour plus d’informations, consultez Rôle lié à un service pour le point de terminaison EC2 Instance Connect.

  • Chaque point de terminaison EC2 Instance Connect peut prendre en charge jusqu’à 20 connexions simultanées.

  • La durée maximale d'une connexion TCP établie est de 1 heure (3 600 secondes). Vous pouvez spécifier la durée maximale autorisée dans une politique IAM, qui peut aller jusqu'à 3 600 secondes. Pour plus d’informations, consultez Autorisations permettant d'utiliser le point de terminaison EC2 Instance Connect pour se connecter aux instances.

  • Le point de terminaison EC2 Instance Connect n'est pas pris en charge dans l'ouest du Canada (Calgary).