Configurer l'utilisation d'Amazon EC2 - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer l'utilisation d'Amazon EC2

Effectuez les tâches décrites dans cette section pour configurer le lancement d'une instance Amazon EC2 pour la première fois :

Lorsque vous avez terminé, vous serez prêt pour le tutoriel Démarrez avec Amazon EC2.

Inscrivez-vous pour un Compte AWS

Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.

Pour vous inscrire à un Compte AWS
  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous vous inscrivez à un Compte AWS, un Utilisateur racine d'un compte AWSest créé. Par défaut, seul l‘utilisateur racine a accès à l‘ensemble des Services AWS et des ressources de ce compte. La meilleure pratique en matière de sécurité consiste à attribuer un accès administratif à un utilisateur et à n'utiliser que l'utilisateur root pour effectuer les tâches nécessitant un accès utilisateur root.

AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. Vous pouvez afficher l‘activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en choisissant Mon compte.

Création d'un utilisateur doté d'un accès administratif

Une fois que vous vous êtes inscrit à un utilisateur administratif Compte AWS, que vous Utilisateur racine d'un compte AWS l'avez sécurisé AWS IAM Identity Center, que vous l'avez activé et que vous en avez créé un, afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisez votre Utilisateur racine d'un compte AWS
  1. Connectez-vous en AWS Management Consoletant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.

    Pour obtenir de l‘aide pour vous connecter en utilisant l‘utilisateur racine, consultez Connexion en tant qu‘utilisateur racine dans le Guide de l‘utilisateur Connexion à AWS .

  2. Activez l‘authentification multifactorielle (MFA) pour votre utilisateur racine.

    Pour obtenir des instructions, consultez la section Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console) dans le guide de l'utilisateur IAM.

Création d'un utilisateur doté d'un accès administratif
  1. Activez IAM Identity Center.

    Pour obtenir des instructions, consultez Activation d’ AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

  2. Dans IAM Identity Center, accordez un accès administratif à un utilisateur.

    Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center dans le Guide de AWS IAM Identity Center l'utilisateur.

Connectez-vous en tant qu'utilisateur disposant d'un accès administratif
  • Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l‘URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l‘utilisateur IAM Identity Center.

    Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section Connexion au portail AWS d'accès dans le guide de l'Connexion à AWS utilisateur.

Attribuer l'accès à des utilisateurs supplémentaires
  1. Dans IAM Identity Center, créez un ensemble d'autorisations conforme aux meilleures pratiques en matière d'application des autorisations du moindre privilège.

    Pour obtenir des instructions, voir Création d'un ensemble d'autorisations dans le guide de AWS IAM Identity Center l'utilisateur.

  2. Affectez des utilisateurs à un groupe, puis attribuez un accès d'authentification unique au groupe.

    Pour obtenir des instructions, consultez la section Ajouter des groupes dans le guide de AWS IAM Identity Center l'utilisateur.

Création d'une paire de clés

AWS utilise le chiffrement à clé publique pour sécuriser les informations de connexion de votre instance. Vous indiquez le nom de la paire de clés au lancement de votre instance, puis fournissez la clé privée pour obtenir le mot de passe administrateur de votre instance Windows et vous connecter ainsi avec le protocole Remote Desktop Protocol (RDP).

Si vous n'avez pas encore créé de paire de clés, vous pouvez le faire à l'aide de la console Amazon EC2. Notez que si vous prévoyez de lancer plusieurs instances Régions AWS, vous devrez créer une paire de clés dans chaque région. Pour plus d'informations sur les régions, consultez Régions et zones.

Pour créer votre paire de clés
  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, cliquez sur Key Pairs.

  3. Choisissez Créer une paire de clés.

  4. Pour Name (Nom), entrez un nom descriptif pour la paire de clés. Amazon EC2 associe la clé publique au nom de clé que vous spécifiez. Le nom peut inclure jusqu’à 255 caractères ASCII. Il ne peut pas inclure d’espaces de début ou de fin.

  5. Pour le Key pair type (Type de paire de clés), sélectionnez RSA ou ED25519. Notez que les clés ED25519 ne sont pas prises en charge pour les instances Windows.

  6. Pour le Private Key File format (Format de fichier de clé privée), sélectionnez le format dans lequel vous souhaitez enregistrer la clé privée. Pour enregistrer la clé privée dans un format qui peut être utilisé avec OpenSSH, choisissez pem. Pour enregistrer la clé privée dans un format qui peut être utilisé avec PuTTY, choisissez ppk.

  7. Choisissez Créer une paire de clés.

  8. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Le nom de fichier de base est le nom que vous avez spécifié pour votre paire de clés, et l'extension de nom de fichier est déterminée par le format de fichier que vous avez choisi. Enregistrez le fichier de clé privée en lieu sûr.

    Important

    C’est votre seule occasion d’enregistrer le fichier de clé privée.

Pour plus d’informations, consultez Paires de clés Amazon EC2 et instances Amazon EC2.

Création d'un groupe de sécurité

Les groupes de sécurité font office de pare-feu pour les instances associées, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance. Vous devez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter à votre instance depuis votre adresse IP avec RDP. Vous pouvez aussi ajouter des règles qui permettent les accès HTTP et HTTPS entrants et sortants depuis n'importe quel emplacement.

Notez que si vous prévoyez de lancer plusieurs instances Régions AWS, vous devez créer un groupe de sécurité dans chaque région. Pour plus d'informations sur les régions, consultez Régions et zones.

Prérequis

Vous aurez besoin de l'adresse IPv4 publique de votre ordinateur local. L'éditeur de groupe de sécurité de la console Amazon EC2 peut détecter automatiquement l'adresse IPv4 publique pour vous. Sinon, vous pouvez utiliser l’expression de recherche « quelle est mon adresse IP ? » dans un navigateur Internet, ou utiliser le service suivant : Check IP. Si votre connexion s'effectue via un fournisseur de services Internet (ISP) ou derrière un pare-feu sans adresse IP statique, vous devez déterminer la plage d'adresses IP utilisée par les ordinateurs clients.

Vous pouvez créer un groupe de sécurité personnalisé à l'aide de l'une des méthodes suivantes.

Console
Pour créer un groupe de sécurité avec le principe du moindre privilège
  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation supérieure, sélectionnez un Région AWS pour le groupe de sécurité. Comme les groupes de sécurité sont propres à une région, vous devez sélectionner la même région que celle que vous avez créée avec votre paire de clés.

  3. Dans le volet de navigation de gauche, sélectionnez Security Groups.

  4. Sélectionnez Create security group (Créer un groupe de sécurité).

  5. Pour Détails de base, procédez comme suit :

    1. Entrez un nom et une description pour le nouveau groupe de sécurité. Choisissez un nom facile à retenir, tel que votre nom d'utilisateur suivi de _SG_ et du nom de la région. Par exemple, moi-SG-uswest2.

    2. Dans la liste VPC sélectionnez votre VPC par défaut pour la région.

  6. Pour Règles entrantes, créez des règles autorisant un trafic spécifique d'atteindre votre instance. Par exemple, utilisez les règles suivantes pour un serveur web qui accepte le trafic HTTP et HTTPS. Pour obtenir plus d'exemples, consultez Règles de groupe de sécurité pour différents cas d’utilisation.

    1. Choisissez Add rule. Pour Type, choisissez HTTP. Pour Source, choisissez Anywhere-IPv4 pour autoriser le trafic HTTP entrant depuis n'importe quelle adresse IPv4, ou Anywhere-IPv6 pour autoriser le trafic HTTP entrant depuis n'importe quelle adresse IPv6.

    2. Choisissez Add rule. Pour Type, choisissez HTTPS. Pour Source, choisissez Anywhere-IPv4 pour autoriser le trafic HTTPS entrant depuis n'importe quelle adresse IPv4, ou Anywhere-IPv6 pour autoriser le trafic HTTPS entrant depuis n'importe quelle adresse IPv6.

    3. Choisissez Add rule. Pour Type, choisissez RDP. Pour Source, effectuez l'une des opérations suivantes.

      • Choisissez Mon IP pour ajouter automatiquement l'adresse IPv4 publique de votre ordinateur local.

      • Choisissez Personnalisée et spécifiez l'adresse IPv4 publique de votre ordinateur ou réseau en notation CIDR. Pour spécifier une adresse IP individuelle en notation CIDR, ajoutez le suffixe de routage /32 : 203.0.113.25/32, par exemple. Si votre entreprise ou votre routeur allouent des adresses à partir d'une plage, spécifiez la plage complète, telle que 203.0.113.0/24.

      Avertissement

      Cela permettrait d'accéder à votre instance à partir de toutes les adresses IP sur Internet. Cette solution est acceptable pour une brève durée dans un environnement de test, mais n'est pas sécurisée pour les environnements de production.

  7. Pour Règles sortantes, conservez la règle par défaut qui autorise tout le trafic sortant.

  8. Sélectionnez Create security group (Créer un groupe de sécurité).

AWS CLI

Lorsque vous utilisez le AWS CLI pour créer un groupe de sécurité, une règle de trafic sortant autorisant tout le trafic sortant est automatiquement ajoutée au groupe de sécurité. Une règle entrante n'est pas automatiquement ajoutée, vous devez l'ajouter.

Dans cette procédure, vous allez combiner les authorize-security-group-ingress AWS CLI commandes create-security-groupet pour créer le groupe de sécurité et ajouter la règle entrante qui autorise le trafic entrant spécifié. Une alternative à la procédure suivante consiste à exécuter les commandes séparément, en créant d'abord un groupe de sécurité, puis en ajoutant une règle entrante au groupe de sécurité.

Pour créer un groupe de sécurité et ajouter une règle entrante à ce groupe

Utilisez les authorize-security-group-ingress AWS CLI commandes create-security-groupet comme suit :

aws ec2 authorize-security-group-ingress \ --region us-west-2 \ --group-id $(aws ec2 create-security-group \ --group-name myname_SG_uswest2 \ --description "Security group description" \ --vpc-id vpc-12345678 \ --output text \ --region us-west-2) \ --ip-permissions \ IpProtocol=tcp,FromPort=80,ToPort=80,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTP from anywhere"}]' \ IpProtocol=tcp,FromPort=443,ToPort=443,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTPS from anywhere"}]' \ IpProtocol=tcp,FromPort=3389,ToPort=3389,IpRanges='[{CidrIp=172.31.0.0/16,Description="RDP from private network"}]' \ IpProtocol=tcp,FromPort=3389,ToPort=3389,IpRanges='[{CidrIp=203.0.113.25/32,Description="RDP from public IP"}]'

Pour :

  • --region : spécifiez la région dans laquelle les règles entrantes doivent être créées.

  • --group-id : spécifiez la commande create-security-group et les paramètres suivants pour créer le groupe de sécurité :

    • --group-name : spécifiez un nom pour le nouveau groupe de sécurité. Utilisez un nom facile à retenir, tel que votre nom d'utilisateur, suivi de _SG_ et du nom de la région. Par exemple, myname_SG_uswest2.

    • --description : spécifiez une description qui vous aidera à savoir quel trafic le groupe de sécurité autorise.

    • --vpc-id : spécifiez votre VPC par défaut pour la région.

    • --output : spécifiez text comme format de sortie de la commande.

    • --region : spécifiez la région dans laquelle vous souhaitez créer le groupe de sécurité. Il doit s'agir de la même région que celle que vous avez spécifiée pour les règles entrantes.

  • --ip-permissions : spécifiez les règles de réception à ajouter au groupe de sécurité. Les règles de cet exemple concernent un serveur web qui accepte le trafic HTTP et HTTPS en provenance de n'importe où, et qui accepte le trafic RDP en provenance d'un réseau privé (si votre entreprise ou votre routeur alloue des adresses à partir d'une plage) et d'une adresse IP publique spécifiée (telle que l'adresse IPv4 publique de votre ordinateur ou de votre réseau en notation CIDR).

    Avertissement

    Pour des raisons de sécurité, ne spécifiez pas 0.0.0.0/0 pour CidrIp avec une règle pour RDP. Cela permettrait d'accéder à votre instance à partir de toutes les adresses IP sur Internet. Cette solution est acceptable pour une brève durée dans un environnement de test, mais n'est pas sécurisée pour les environnements de production.

PowerShell

Lorsque vous utilisez le AWS Tools for Windows PowerShell pour créer un groupe de sécurité, une règle de trafic sortant autorisant tout le trafic sortant est automatiquement ajoutée au groupe de sécurité. Une règle entrante n'est pas automatiquement ajoutée, vous devez l'ajouter.

Dans cette procédure, vous allez combiner les Grant-EC2SecurityGroupIngress AWS Tools for Windows PowerShell commandes New-EC2SecurityGroupet pour créer le groupe de sécurité et ajouter la règle entrante qui autorise le trafic entrant spécifié. Une alternative à la procédure suivante consiste à exécuter les commandes séparément, en créant d'abord un groupe de sécurité, puis en ajoutant une règle entrante au groupe de sécurité.

Pour créer un groupe de sécurité

Utilisez les Grant-EC2SecurityGroupIngress AWS Tools for Windows PowerShell commandes New-EC2SecurityGroupet comme suit.

Import-Module AWS.Tools.EC2 New-EC2SecurityGroup -GroupName myname_SG_uswest2 -Description 'Security group description' -VpcId vpc-12345678 -Region us-west-2 | ` Grant-EC2SecurityGroupIngress ` -GroupName $_ ` -Region us-west-2 ` -IpPermission @( (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 80; ToPort = 80; Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTP from anywhere'}) }), (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 443; ToPort = 443; Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTPS from anywhere'}) }), (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{ IpProtocol = 'tcp'; FromPort = 3389; ToPort = 3389; Ipv4Ranges = @( @{CidrIp = '172.31.0.0/16'; Description = 'RDP from private network'}, @{CidrIp = '203.0.113.25/32'; Description = 'RDP from public IP'} ) }) )

Pour le groupe de sécurité :

  • -GroupName : spécifiez un nom pour le nouveau groupe de sécurité. Utilisez un nom facile à retenir, tel que votre nom d'utilisateur, suivi de _SG_ et du nom de la région. Par exemple, myname_SG_uswest2.

  • -Description : spécifiez une description qui vous aidera à savoir quel trafic le groupe de sécurité autorise.

  • -VpcId : spécifiez votre VPC par défaut pour la région.

  • -Region : spécifiez la région dans laquelle vous souhaitez créer le groupe de sécurité.

Pour les règles entrantes :

  • -GroupName : spécifiez $_ pour faire référence au groupe de sécurité que vous créez.

  • -Region : spécifiez la région dans laquelle les règles entrantes doivent être créées. Il doit s'agir de la même région que celle que vous avez spécifiée pour le groupe de sécurité.

  • -IpPermission : spécifiez les règles de réception à ajouter au groupe de sécurité. Les règles de cet exemple concernent un serveur web qui accepte le trafic HTTP et HTTPS en provenance de n'importe où, et qui accepte le trafic RDP en provenance d'un réseau privé (si votre entreprise ou votre routeur alloue des adresses à partir d'une plage) et d'une adresse IP publique spécifiée (telle que l'adresse IPv4 publique de votre ordinateur ou de votre réseau en notation CIDR).

    Avertissement

    Pour des raisons de sécurité, ne spécifiez pas 0.0.0.0/0 pour CidrIp avec une règle pour RDP. Cela permettrait d'accéder à votre instance à partir de toutes les adresses IP sur Internet. Cette solution est acceptable pour une brève durée dans un environnement de test, mais n'est pas sécurisée pour les environnements de production.

Pour plus d'informations, voir Groupes de sécurité Amazon EC2 pour les instances Windows.