Konfigurasikan akses ke Konsol Serial EC2 - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan akses ke Konsol Serial EC2

Untuk mengonfigurasi akses ke konsol serial, Anda harus memberikan akses konsol serial pada tingkat akun, lalu mengonfigurasi kebijakan IAM untuk memberikan akses kepada pengguna IAM.

Sebelum memulai, pastikan untuk memeriksa prasyarat.

Tingkat akses ke Konsol Serial EC2

Secara default, tidak ada akses ke konsol serial pada tingkat akun. Anda perlu secara eksplisit memberikan akses ke konsol serial pada tingkat akun. Untuk informasi selengkapnya, lihat Kelola akses akun ke Konsol Serial EC2.

Anda dapat menggunakan kebijakan kontrol layanan (SCP) untuk mengizinkan akses ke konsol serial dalam organisasi. Anda selanjutnya dapat memiliki kontrol akses terperinci pada tingkat pengguna menggunakan kebijakan IAM untuk mengontrol akses. Dengan menggunakan kombinasi kebijakan SCP dan IAM, Anda memiliki beragam tingkat kontrol akses ke konsol serial.

Tingkat organisasi

Anda dapat menggunakan kebijakan kontrol layanan (SCP) untuk mengizinkan akses ke konsol serial di organisasi Anda. Untuk informasi selengkapnya tentang SCP, lihat Kebijakan kontrol layanan di Panduan Pengguna AWS Organizations.

Tingkat instans

Anda dapat mengonfigurasi kebijakan akses konsol serial dengan menggunakan IAM PrincipalTag dan ResourceTag konstruksi dan dengan menentukan instance berdasarkan ID mereka. Untuk informasi selengkapnya, lihat Konfigurasikan kebijakan IAM untuk akses Konsol Serial EC2.

Tingkat pengguna

Anda dapat mengonfigurasi akses pada tingkat pengguna dengan mengonfigurasi kebijakan IAM untuk mengizinkan atau menolak pengguna tertentu izin guna mendorong kunci publik SSH ke layanan konsol serial instans tertentu. Untuk informasi selengkapnya, lihat Konfigurasikan kebijakan IAM untuk akses Konsol Serial EC2.

Kelola akses akun ke Konsol Serial EC2

Secara default, tidak ada akses ke konsol serial pada tingkat akun. Anda perlu secara eksplisit memberikan akses ke konsol serial pada tingkat akun.

Memberikan izin kepada pengguna untuk mengelola akses akun

Untuk mengizinkan pengguna mengelola akses akun ke konsol serial EC2, Anda perlu memberi mereka izin IAM yang diperlukan.

Kebijakan berikut memberikan izin untuk melihat status akun serta untuk mengizinkan dan mencegah akses akun ke konsol serial EC2.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:GetSerialConsoleAccessStatus", "ec2:EnableSerialConsoleAccess", "ec2:DisableSerialConsoleAccess" ], "Resource": "*" } ] }

Untuk informasi selengkapnya, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM.

Melihat status akses akun ke konsol serial

Untuk melihat status akses akun ke konsol serial (konsol)
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi kiri, pilih Dasbor EC2.

  3. Dari Atribut akun, pilih Konsol Serial EC2.

    Bidang akses Konsol Serial EC2 menunjukkan apakah akses akun Diizinkan atau Dicegah.

    Tangkapan layar berikut menunjukkan bahwa akun dicegah dari penggunaan konsol serial EC2.

    
                Akses ke Konsol Serial EC2 dicegah.
Untuk melihat status akses akun ke konsol serial (AWS CLI)

Gunakan perintah get-serial-console-access-status untuk melihat status akses akun ke konsol serial.

aws ec2 get-serial-console-access-status --region us-east-1

Dalam output berikut, true menunjukkan bahwa akun diizinkan mengakses konsol serial.

{ "SerialConsoleAccessEnabled": true }

Memberikan akses akun ke konsol serial

Untuk memberikan akses akun ke konsol serial (konsol)
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi kiri, pilih Dasbor EC2.

  3. Dari Atribut akun, pilih Konsol Serial EC2.

  4. Pilih Kelola.

  5. Untuk mengizinkan akses ke konsol serial EC2 dari semua instans di akun, pilih kotak centang Izinkan.

  6. Pilih Perbarui.

Untuk memberikan akses akun ke konsol serial (AWS CLI)

Gunakan enable-serial-console-accessperintah untuk mengizinkan akses akun ke konsol serial.

aws ec2 enable-serial-console-access --region us-east-1

Dalam output berikut, true menunjukkan bahwa akun diizinkan mengakses konsol serial.

{ "SerialConsoleAccessEnabled": true }

Menolak akses akun ke konsol serial

Untuk memberikan akses akun ke konsol serial (konsol)
  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi kiri, pilih Dasbor EC2.

  3. Dari Atribut akun, pilih Konsol Serial EC2.

  4. Pilih Kelola.

  5. Untuk mencegah akses ke konsol serial EC2 dari semua instans di akun, kosongkan kotak centang Izinkan.

  6. Pilih Perbarui.

Untuk menolak akses akun ke konsol serial (AWS CLI)

Gunakan disable-serial-console-accessperintah untuk mencegah akses akun ke konsol serial.

aws ec2 disable-serial-console-access --region us-east-1

Dalam output berikut, false menunjukkan bahwa akun ditolak untuk mengakses konsol serial.

{ "SerialConsoleAccessEnabled": false }

Konfigurasikan kebijakan IAM untuk akses Konsol Serial EC2

Secara default, pengguna Anda tidak memiliki akses ke konsol serial. Organisasi Anda harus mengonfigurasi kebijakan IAM untuk memberikan akses yang diperlukan kepada pengguna. Untuk informasi selengkapnya, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM.

Untuk akses konsol serial, buat dokumen kebijakan JSON yang mencakup tindakan ec2-instance-connect:SendSerialConsoleSSHPublicKey. Tindakan ini memberi pengguna izin untuk mendorong kunci publik ke layanan konsol serial, yang memulai sesi konsol serial. Sebaiknya batasi akses ke instans EC2 tertentu. Jika tidak, semua pengguna IAM dengan izin ini dapat terhubung ke konsol serial dari semua instans EC2.

Secara eksplisit mengizinkan akses ke konsol serial

Secara default, tidak ada yang memiliki akses ke konsol serial. Untuk memberikan akses ke konsol serial, Anda perlu mengonfigurasi kebijakan untuk secara eksplisit mengizinkan akses. Sebaiknya konfigurasikan kebijakan yang membatasi akses ke instans tertentu.

Kebijakan berikut memungkinkan akses ke konsol serial instans tertentu, diidentifikasi berdasarkan ID instansnya.

Perhatikan bahwa tindakan DescribeInstances, DescribeInstanceTypes, dan GetSerialConsoleAccessStatus tidak mendukung izin tingkat sumber daya, dan oleh karena itu semua sumber daya, yang ditunjukkan oleh * (tanda bintang), harus ditentukan untuk tindakan ini.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribeInstances", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "AllowinstanceBasedSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7" } ] }

Secara eksplisit mengizinkan akses ke konsol serial

Kebijakan IAM berikut memungkinkan akses ke konsol serial semua instans, dilambangkan dengan * (tanda bintang), dan secara eksplisit menolak akses ke konsol serial instans tertentu, diidentifikasi berdasarkan ID-nya.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey", "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "DenySerialConsoleAccess", "Effect": "Deny", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7" } ] }

Gunakan tanda sumber daya untuk mengontrol akses ke konsol serial

Anda dapat menggunakan tanda sumber daya untuk mengontrol akses ke konsol serial dari sebuah instans.

Kontrol akses berbasis atribut adalah strategi otorisasi yang menentukan izin berdasarkan tanda yang dapat dilampirkan ke pengguna dan sumber daya AWS. Misalnya, kebijakan berikut ini mengizinkan pengguna untuk memulai koneksi konsol serial untuk sebuah instans hanya jika tanda sumber daya instans dan tanda pengguna utama memiliki nilai SerialConsole yang sama untuk kunci tanda tersebut.

Untuk informasi selengkapnya tentang menggunakan tanda guna mengontrol akses ke sumber daya AWS, lihat Mengontrol akses ke sumber daya AWS di Panduan Pengguna IAM.

Perhatikan bahwa tindakan DescribeInstances, DescribeInstanceTypes, dan GetSerialConsoleAccessStatus tidak mendukung izin tingkat sumber daya, dan oleh karena itu semua sumber daya, yang ditunjukkan oleh * (tanda bintang), harus ditentukan untuk tindakan ini.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribeInstances", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "AllowTagBasedSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/*", "Condition": { "StringEquals": { "aws:ResourceTag/SerialConsole": "${aws:PrincipalTag/SerialConsole}" } } } ] }