Amazon Elastic Compute Cloud
Guide de l'utilisateur pour les instances Linux

Configuration avec Amazon EC2

Si vous êtes déjà inscrit à Amazon Web Services (AWS), vous pouvez commencer à utiliser Amazon EC2 dès maintenant. Vous pouvez ouvrir la console Amazon EC2. Choisissez Lancer une instance et suivez les étapes de l'assistant de lancement pour lancer votre première instance.

Si vous n'êtes pas encore inscrit à AWS ou si vous avez besoin d'aide pour lancer votre première instance, effectuez les tâches suivantes pour vous préparer à utiliser Amazon EC2 :

Inscrivez-vous à AWS

Lorsque vous vous inscrivez à Amazon Web Services (AWS), votre compte AWS est automatiquement inscrit à tous les services d'AWS, y compris Amazon EC2. Seuls les services que vous utilisez vous sont facturés.

Avec Amazon EC2, vous ne payez que ce que vous utilisez. Si vous êtes un nouveau client AWS, vous pouvez démarrer avec Amazon EC2 gratuitement. Pour plus d'informations, consultez la page sur l'offre gratuite AWS.

Si vous possédez déjà un compte AWS, passez à la prochaine étape. Si tel n'est pas le cas, observez la procédure suivante pour en créer un.

Pour créer un compte AWS

  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d'inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

Notez votre numéro de compte AWS, car vous en aurez besoin lors de la prochaine tâche.

Créer un utilisateur IAM

Pour accéder à un service d'AWS, tel qu'Amazon EC2, vous devez fournir vos informations d'identification afin que le service puisse déterminer si vous êtes autorisé à accéder à ses ressources. La console exige votre mot de passe. Vous pouvez créer des clés d'accès pour votre compte AWS afin d'accéder à l'interface ligne de commande ou à l'API. Cependant, il est déconseillé d'accéder à AWS à l'aide des informations d'identification de votre compte AWS ; utilisez plutôt AWS Identity and Access Management (IAM). Créez un utilisateur IAM, puis ajoutez-le à un groupe IAM disposant des autorisations administratives et attribuez-lui ces autorisations. Vous pouvez alors accéder à AWS à l'aide d'une URL spéciale et des informations d'identification de l'utilisateur IAM.

Si vous êtes inscrit à AWS, mais que vous n'avez pas créé d'utilisateur IAM pour vous-même, vous pouvez le faire avec la console IAM. Si vous ne maîtrisez pas bien la console, consultez Utilisation de l'AWS Management Console pour obtenir une présentation.

Pour créer un administrateur pour vous-même et ajouter l'utilisateur à un groupe d'administrateurs (console)

  1. Utilisez l'adresse e-mail et le mot de passe de votre compte AWS pour vous connecter en tant qu'Utilisateur racine d'un compte AWS à la console IAM à l'adresse https://console.aws.amazon.com/iam/.

    Note

    Nous vous recommandons vivement de respecter la bonne pratique qui consiste à avoir recours à l'utilisateur Administrator IAM ci-dessous et à mettre en sécurité les informations d'identification de l'utilisateur racine. Connectez-vous en tant qu'utilisateur racine pour effectuer certaines tâches de gestion des comptes et des services.

  2. Dans le panneau de navigation, choisissez Utilisateurs, puis Add user (Ajouter un utilisateur).

  3. Dans User name (Nom d'utilisateur), entrez Administrator.

  4. Cochez la case en regard de AWS Management Console access. Puis, sélectionnez Custom password (Mot de passe personnalisé, et entrez votre nouveau mot de passe dans la zone de texte.

  5. Par défaut, AWS oblige le nouvel utilisateur à créer un nouveau mot de passe lors de sa première connexion. Décochez la case en regard de User must create a new password at next sign-in (L'utilisateur doit créer un nouveau mot de passe à sa prochaine connexion) pour autoriser le nouvel utilisateur à réinitialiser son mot de passe une fois qu'il s'est connecté.

  6. Choisissez Next: Permissions (Suivant : Autorisations).

  7. Sous Set permissions (Accorder des autorisations), choisissez Add user to group (Ajouter un utilisateur au groupe).

  8. Choisissez Create group.

  9. Dans la boîte de dialogue Create group (Créer un groupe), pour Group name (Nom du groupe), tapez Administrators.

  10. Choisissez Filter policies (Filtrer les stratégies), puis sélectionnez AWS managed -job function (Fonction -job gérée par) pour filtrer le contenu de la table.

  11. Dans la liste des stratégies, cochez la case AdministratorAccess. Choisissez ensuite Create group.

    Note

    Vous devez activer l'accès des rôles et utilisateurs IAM à la facturation avant de pouvoir utiliser les autorisations AdministratorAccess pour accéder à la console AWS Billing and Cost Management. Pour ce faire, suivez les instructions de l'étape 1 du didacticiel portant sur comment déléguer l'accès à la console de facturation.

  12. De retour dans la liste des groupes, activez la case à cocher du nouveau groupe. Choisissez Refresh si nécessaire pour afficher le groupe dans la liste.

  13. Choisissez Next: Tags (Suivant : Balises).

  14. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez Balisage des entités IAM dans le IAM Guide de l'utilisateur.

  15. Choisissez Next: Review pour afficher la liste des membres du groupe à ajouter au nouvel utilisateur. Une fois que vous êtes prêt à continuer, choisissez Create user.

Vous pouvez utiliser ce même processus pour créer d'autres groupes et utilisateurs et pour accorder à vos utilisateurs l'accès aux ressources de votre compte AWS. Pour en savoir plus sur l'utilisation des stratégies afin de limiter les autorisations d'accès des utilisateurs à certaines ressources AWS, consultez Gestion des accès et Exemples de stratégies.

Pour vous connecter en tant que nouvel utilisateur IAM, déconnectez-vous de la console AWS, puis utilisez l'URL suivante, où votre_id_de_compte_aws désigne votre numéro de compte AWS sans les traits d'union (par exemple, si votre numéro de compte AWS est 1234-5678-9012, votre ID de compte AWS est 123456789012) :

https://your_aws_account_id.signin.aws.amazon.com/console/

Entrez le nom d'utilisateur IAM (pas votre adresse électronique) et le mot de passe que vous venez de créer. Lorsque vous êtes connecté, la barre de navigation affiche « votre_nom_utilisateur @ votre_id_de_compte_aws ».

Si vous ne voulez pas que l'URL de votre page de connexion contienne votre ID de compte AWS, vous pouvez créer un alias de compte. Sur la console IAM, sélectionnez Tableau de bord dans le panneau de navigation. Dans le tableau de bord, choisissez Personnaliser et entrez un alias, tel que le nom de votre société. Pour vous connecter après avoir créé un alias de compte, utilisez l'URL suivante :

https://your_account_alias.signin.aws.amazon.com/console/

Pour contrôler le lien de connexion des utilisateurs IAM de votre compte, ouvrez la console IAM et vérifiez le lien sous IAM users sign-in link sur le tableau de bord.

Pour plus d'informations sur IAM, consultez IAM et Amazon EC2.

Créer une paire de clés

AWS utilise le chiffrement de clé publique pour sécuriser les informations de connexion de votre instance. Une instance Linux n'ayant pas de mot de passe, vous utilisez une paire de clés pour vous connecter à votre instance en toute sécurité. Vous indiquez le nom de la paire de clés au lancement de votre instance, puis fournissez la clé privée lorsque vous vous connectez avec SSH.

Si vous n'avez pas encore créé de paire de clés, vous pouvez le faire à l'aide de la console Amazon EC2. Notez que si vous prévoyez de lancer des instances dans plusieurs régions, vous devez créer une paire de clés dans chaque région. Pour plus d'informations sur les régions, consultez Régions et zones de disponibilité.

Pour créer une paire de clés

  1. Connectez-vous à AWS à l'aide de l'URL que vous avez créée dans la section précédente.

  2. Sur le tableau de bord AWS, choisissez EC2 pour ouvrir la console Amazon EC2.

  3. Dans la barre de navigation, sélectionnez une région pour la paire de clés. Vous pouvez sélectionner n'importe quelle région disponible, quel que soit votre emplacement. Cependant, les paires de clés sont propres à une région ; par exemple, si vous prévoyez de lancer une instance dans la région Région USA Est (Ohio), vous devez créer une paire de clés pour l'instance dans la région Région USA Est (Ohio).

    
						Sélectionner une région
  4. Dans le panneau de navigation, sous NETWORK & SECURITY, choisissez Key Pairs.

    Astuce

    Le panneau de navigation est situé sur la gauche de la console. Si le volet n'est pas visible, il se peut qu'il soit réduit ; cliquez sur la flèche pour le développer. Vous devrez peut-être faire défiler l'écran pour afficher le lien Paires de clés.

    
						Ouvrir la page relative aux paires de clés
  5. Choisissez Create Key Pair.

  6. Attribuez un nom à la nouvelle paire de clés dans le champ Nom de la paire de clés de la boîte de dialogue Créer une paire de clés, puis choisissez Créer. Utilisez un nom facile à retenir, tel que votre nom d'utilisateur IAM, suivi de -key-pair et du nom de la région. Par exemple, moi-key-pair-useast2.

  7. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Le nom de fichier de base est le nom que vous avez spécifié comme nom de votre paire de clés et l'extension du nom de fichier est .pem. Enregistrez le fichier de clé privée en lieu sûr.

    Important

    C'est votre seule occasion d'enregistrer le fichier de clé privée. Vous devez fournir le nom de votre paire de clés quand vous lancez une instance, ainsi que la clé privée correspondante chaque fois que vous vous connectez à l'instance.

  8. Si vous envisagez d'utiliser un client SSH sur un ordinateur Mac ou Linux pour vous connecter à votre instance Linux, utilisez la commande suivante pour définir les autorisations de votre fichier de clé privée afin d'être la seule personne autorisée à le lire.

    chmod 400 your_user_name-key-pair-region_name.pem

    Si vous ne définissez pas ces autorisations, vous ne pouvez pas vous connecter à votre instance à l'aide de cette paire de clés. Pour plus d'informations, consultez Erreur : fichier de clé privée non protégé.

Pour plus d'informations, consultez Amazon EC2 Paires de clés.

Pour vous connecter à votre instance à l'aide de votre paire de clés

Pour vous connecter à votre instance Linux à partir d'un ordinateur exécutant Mac ou Linux, spécifiez le fichier .pem associé au client SSH avec l'option -i et le chemin d'accès à la clé privée. Pour vous connecter à votre instance Linux à partir d'un ordinateur exécutant Windows, vous pouvez utiliser PuTTY, le sous-système Windows pour Linux ou le Gestionnaire de session AWS Systems Manager. Si vous prévoyez d'utiliser PuTTY, vous devez exécuter la procédure suivante pour convertir le fichier .pem en un fichier .ppk.

(Facultatif) Pour préparer la connexion à une instance Linux depuis Windows avec PuTTY

  1. Téléchargez PuTTY depuis http://www.chiark.greenend.org.uk/~sgtatham/putty/, puis installez-le. Assurez-vous d'installer toute la suite.

  2. Lancez PuTTYgen (par exemple, dans le menu Démarrer, choisissez Tous les programmes > PuTTY > PuTTYgen).

  3. Sous Type of key to generate (Type de clé à générer), sélectionnez RSA.

    
						Clé SSH-2 RSA dans PuTTYgen
  4. Choisissez Charger. Par défaut, PuTTYgen affiche uniquement les fichiers ayant l'extension .ppk. Pour retrouver votre fichier .pem, sélectionnez l'option permettant d'afficher tous les types de fichiers.

    
						Sélectionner tous les types de fichiers
  5. Sélectionnez la clé privée créée dans la procédure précédente, puis sélectionnez Ouvrir. Sélectionnez OK pour ignorer la boîte de dialogue de confirmation.

  6. Choisissez Save private key (Enregistrer la clé privée). PuTTYgen affiche un avertissement sur l'enregistrement de la clé sans une phrase passe. Choisissez Oui.

  7. Spécifiez le même nom pour la clé que vous avez utilisé pour la paire de clés. PuTTY ajoute automatiquement l'extension de fichier .ppk.

Créer un Virtual Private Cloud (VPC)

Amazon VPC vous permet de lancer des ressources AWS dans un réseau virtuel défini par vos soins, appelé cloud privé virtuel (virtual private cloud, VPC). Les nouveaux types d'instance EC2 nécessitent que vous lanciez vos instances dans un VPC. Si vous avez déjà un VPC par défaut, vous pouvez ignorer cette section et passer à la tâche suivante, Créer un groupe de sécurité. Pour déterminer si vous possédez un VPC par défaut, ouvrez la console Amazon EC2 et recherchez VPC par défaut sous Attributs du compte sur le tableau de bord. Si aucun VPC par défaut n'est indiqué sur la tableau de bord, vous pouvez créer un VPC personnalisé en suivant la procédure suivante.

Pour créer un VPC autre qu'un VPC par défaut

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans la barre de navigation, sélectionnez une région pour le VPC. Comme les VPC sont propres à une région, vous devez sélectionner la même région que celle que vous avez créée avec votre paire de clés.

  3. Sur le tableau de bord VPC, choisissez Launch VPC Wizard (Lancer l'assistant VPC).

  4. Sur la page Étape 1 : Sélectionner une configuration VPC, assurez-vous que l'option VPC avec un seul sous-réseau public est activée et choisissez Sélectionner.

  5. Sur la page Étape 2 : VPC avec un seul sous-réseau public, entrez un nom convivial pour votre VPC dans le champ Nom du VPC. Conservez les autres paramètres de configuration par défaut et choisissez Créer VPC. Dans la page de confirmation, sélectionnez OK.

Pour plus d'informations sur les VPC, consultez le Amazon VPC Guide de l'utilisateur.

Créer un groupe de sécurité

Les groupes de sécurité font office de pare-feu pour les instances associées, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance. Vous devez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter à votre adresse IP avec SSH. Vous pouvez aussi ajouter des règles qui permettent les accès HTTP et HTTPS entrants et sortants depuis n'importe quel emplacement.

Notez que si vous prévoyez de lancer des instances dans plusieurs régions, vous devez créer un groupe de sécurité dans chaque région. Pour plus d'informations sur les régions, consultez Régions et zones de disponibilité.

Prérequis

Vous aurez besoin de l'adresse IPv4 publique de votre ordinateur local. L'éditeur de groupe de sécurité de la console Amazon EC2 peut détecter automatiquement l'adresse IPv4 publique pour vous. Sinon, vous pouvez utiliser l'expression de recherche « quelle est mon adresse IP ? » dans un navigateur Internet, ou utiliser le service suivant : Check IP. Si votre connexion s'effectue via un fournisseur de services Internet (ISP) ou derrière un pare-feu sans adresse IP statique, vous devez déterminer la plage d'adresses IP utilisée par les ordinateurs clients.

Pour créer un groupe de sécurité avec le principe du moindre privilège

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

    Astuce

    Vous pouvez aussi utiliser la console Amazon VPC pour créer un groupe de sécurité. Cependant, les instructions de cette procédure ne correspondent pas à la console Amazon VPC. Par conséquent, si, dans la section précédente, vous avez basculé sur la console Amazon VPC, repassez sur la console Amazon EC2 et utilisez les présentes instructions, ou utilisez celles de Configurer un groupe de sécurité pour votre VPC dans le Amazon VPC Guide de mise en route.

  2. Dans la barre de navigation, sélectionnez une région pour le groupe de sécurité. Comme les groupes de sécurité sont propres à une région, vous devez sélectionner la même région que celle que vous avez créée avec votre paire de clés.

    
						Sélectionner une région
  3. Choisissez Security Groups dans le panneau de navigation.

  4. Sélectionnez Create Security Group.

  5. Entrez un nom et une description pour le nouveau groupe de sécurité. Utilisez un nom facile à retenir, tel que votre nom d'utilisateur IAM, suivi de _SG_ et du nom de la région. Par exemple, moi-SG-uswest2.

  6. Dans la liste VPC, sélectionnez votre VPC. Si vous disposez d'un VPC par défaut, il s'agit de celui marqué avec un astérisque (*).

  7. Sous l'onglet Entrant, créez les règles suivantes (choisissez Ajouter une règle pour chaque nouvelle règle), puis Créer :

    • Choisissez HTTP dans la liste Type et vérifiez que Source a bien la valeur N'importe où (0.0.0.0/0).

    • Choisissez HTTPS dans la liste Type et vérifiez que Source a bien la valeur N'importe où (0.0.0.0/0).

    • Choisissez SSH dans la liste Type. Dans la zone Source, choisissez Mon IP pour remplir automatiquement le champ avec l'adresse IPv4 publique de votre ordinateur local. Sinon, choisissez Personnalisé et spécifiez l'adresse IPv4 publique de votre ordinateur ou réseau en notation CIDR. Pour spécifier une adresse IP individuelle en notation CIDR, ajoutez le suffixe de routage /32 : 203.0.113.25/32, par exemple. Si votre entreprise alloue des adresses à partir d'une plage, spécifiez la plage complète, telle que 203.0.113.0/24.

      Avertissement

      Pour des raisons de sécurité, il est déconseillé d'autoriser l'accès de SSH à votre instance à partir de toutes les adresses IPv4 (0.0.0.0/0), si ce n'est à titre de test et pour une très brève durée.

Pour plus d'informations, consultez Groupes de sécurité Amazon EC2 pour les instances Linux.