Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Reset password dan kunci SSH pada Instans EC2
Anda dapat menggunakan AWSSupport-ResetAccess runbook untuk mengaktifkan kembali pembuatan kata sandi Administrator lokal secara otomatis di instans Amazon Elastic Compute Cloud Amazon EC2 untuk Windows Server dan untuk menghasilkan kunci SSH baru pada instans EC2 untuk Linux. AWSSupport-ResetAccessRunbook dirancang untuk melakukan kombinasi AWS Systems Manager tindakan, AWS CloudFormation tindakan, dan AWS Lambda fungsi yang mengotomatiskan langkah-langkah yang biasanya diperlukan untuk mengatur ulang kata sandi administrator lokal.
Anda dapat menggunakan Otomasi, kemampuan AWS Systems Manager, dengan AWSSupport-ResetAccess runbook untuk memecahkan masalah berikut:
Windows
Anda kehilangan key pair EC2: Untuk mengatasi masalah ini, Anda dapat menggunakan AWSSupport- ResetAccess runbook untuk membuat sandi yang diaktifkan AMI dari instans Anda saat ini, meluncurkan instance baru dari AMI, dan memilih key pair yang Anda miliki.
Anda kehilangan kata sandi Administrator lokal: Untuk mengatasi masalah ini, Anda dapat menggunakan AWSSupport-ResetAccess runbook untuk menghasilkan kata sandi baru yang dapat Anda dekripsi dengan pasangan kunci EC2 saat ini.
Linux
Anda kehilangan key pair EC2 Anda, atau Anda mengonfigurasi akses SSH ke instance dengan kunci yang hilang: Untuk mengatasi masalah ini, Anda dapat menggunakan AWSSupport-ResetAccess runbook untuk membuat kunci SSH baru untuk instans Anda saat ini, yang memungkinkan Anda untuk terhubung ke instance lagi.
catatan
Jika instans EC2 Anda Windows Server dikonfigurasi untuk Systems Manager, Anda juga dapat mengatur ulang kata sandi Administrator lokal Anda dengan menggunakan EC2Rescue dan. AWS Systems Manager Run Command Untuk informasi selengkapnya, lihat Menggunakan EC2Rescue untuk Windows Server dengan Systems Manager Run Command di Panduan Pengguna Amazon EC2 untuk Instans Windows.
- Informasi terkait
-
Connect ke instans Linux Anda dari Windows menggunakan PuTTY di Panduan Pengguna Amazon EC2 untuk Instans Linux
Cara kerjanya
Pemecahan masalah instans dengan otomatisasi dan AWSSupport-ResetAccess runbook bekerja sebagai berikut:
-
Anda menentukan ID instans yang tidak dapat dijangkau dan menjalankan runbook.
-
Sistem menciptakan VPC sementara, dan kemudian menjalankan serangkaian fungsi Lambda untuk mengonfigurasi VPC.
-
Sistem mengidentifikasi subnet untuk VPC sementara Anda di Availability Zone yang sama dengan instans asli Anda.
-
Sistem meluncurkan instans pembantu berkemampuan SSM sementara.
-
Sistem mengentikan instans asli Anda, dan membuat cadangan. Selanjutanya, sistem akan melampirkan volume akar asli untuk instans pembantu.
-
Sistem menggunakan Run Command untuk menjalankan EC2Rescue pada instance helper. Di Windows, EC2Rescue memungkinkan pembuatan kata sandi untuk Administrator lokal dengan menggunakan EC2config atau EC2launch pada volume root asli yang terlampir. Di Linux, EC2Rescue menghasilkan dan menyuntikkan kunci SSH baru dan menyimpan kunci privat, dienkripsi, di. Parameter Store Setelah selesai, EC2Rescue melampirkan kembali volume root ke instans asli.
-
Sistem membuat Amazon Machine Image (AMI) baru dari instance Anda, sekarang pembuatan kata sandi diaktifkan. Anda dapat menggunakan ini AMI untuk membuat instans EC2 baru, dan mengasosiasikan pasangan kunci baru jika diperlukan.
-
Sistem memulai ulang instans asli Anda, dan mengakhiri instans sementara. Sistem ini juga menghentikan VPC sementara dan fungsi Lambda yang dibuat pada permulaan otomatisasi.
-
Windows: Instans Anda menghasilkan kata sandi baru yang kodenya dapat Anda pecahkan dari konsol Amazon EC2 menggunakan pasangan kunci saat ditugaskan untuk instans.
Linux
: Anda dapat SSH ke instance dengan menggunakan kunci SSH yang disimpan di Systems Manager Parameter Store sebagai /ec2rl/openssh/instance ID /key.
Sebelum Anda mulai
Sebelum Anda menjalankan otomatisasi berikut, lakukan solusi berikut:
-
Salin ID instans tempat Anda ingin menyetel ulang kata sandi Administrator. Anda akan menentukan ID ini dalam prosedur.
-
Opsional, kumpulkan ID subnet di zona ketersediaan yang sama sebagai instans yang dapat dijangkau. Instans EC2Rescue akan dibuat di subnet ini. Jika Anda tidak menentukan subnet, maka Automation membuat VPC sementara baru di Anda. Akun AWS Verifikasi bahwa Anda Akun AWS memiliki setidaknya satu VPC yang tersedia. Secara default, Anda dapat membuat lima VPC di Wilayah. Jika Anda telah membuat lima VPC di Wilayah, otomatisasi gagal tanpa membuat perubahan pada instans Anda. Untuk informasi selengkapnya tentang kuota Amazon VPC, lihat VPC dan Subnet di Panduan Pengguna Amazon VPC.
-
Secara opsional, Anda dapat membuat dan menentukan peran AWS Identity and Access Management (IAM) untuk Otomasi. Jika Anda tidak menentukan peran ini, Otomatisasi beroperasi dalam konteks pengguna yang dipanggil otomatisasi.
Memberikan izin AWSSupport -EC2Rescue untuk melakukan tindakan pada instans Anda
EC2Rescue membutuhkan izin untuk melakukan serangkaian tindakan pada instans Anda selama otomatisasi. Tindakan ini meminta layanan AWS Lambda, IAM, dan Amazon EC2 untuk mencoba memperbaiki masalah dengan instans Anda dengan aman dan aman. Jika Anda memiliki izin tingkat Administrator di dan/atau Akun AWS VPC, Anda mungkin dapat menjalankan otomatisasi tanpa mengonfigurasi izin, seperti yang dijelaskan di bagian ini. Jika Anda tidak memiliki izin tingkat administrator, maka Anda atau administrator harus mengonfigurasi izin dengan menggunakan salah satu opsi berikut.
Memberikan izin menggunakan kebijakan IAM
Anda dapat melampirkan kebijakan IAM berikut ke pengguna, grup, atau peran Anda sebagai kebijakan inline; atau, Anda dapat membuat kebijakan terkelola IAM baru dan melampirkannya ke pengguna, grup, atau peran Anda. Untuk informasi selengkapnya tentang menambahkan kebijakan sebaris ke pengguna, grup, atau peran Anda, lihat Bekerja Dengan Kebijakan Sebaris. Untuk informasi lebih lanjut tentang membuat kebijakan terkelola baru, lihat Bekerja Dengan Kebijakan Terkelola.
catatan
Jika Anda membuat kebijakan terkelola IAM baru, Anda juga harus melampirkan kebijakan AutomationRole terkelola AmazonSSM agar instance Anda dapat berkomunikasi dengan Systems Manager API.
Kebijakan IAM untuk AWSSupport-ResetAccess
Ganti ID akun dengan informasi Anda sendiri.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:account ID:function:AWSSupport-EC2Rescue-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::awssupport-ssm.*/*.template", "arn:aws:s3:::awssupport-ssm.*/*.zip" ], "Effect": "Allow" }, { "Action": [ "iam:CreateRole", "iam:CreateInstanceProfile", "iam:GetRole", "iam:GetInstanceProfile", "iam:PutRolePolicy", "iam:DetachRolePolicy", "iam:AttachRolePolicy", "iam:PassRole", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DeleteInstanceProfile" ], "Resource": [ "arn:aws:iam::account ID:role/AWSSupport-EC2Rescue-*", "arn:aws:iam::account ID:instance-profile/AWSSupport-EC2Rescue-*" ], "Effect": "Allow" }, { "Action": [ "lambda:CreateFunction", "ec2:CreateVpc", "ec2:ModifyVpcAttribute", "ec2:DeleteVpc", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:DetachInternetGateway", "ec2:DeleteInternetGateway", "ec2:CreateSubnet", "ec2:DeleteSubnet", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:CreateRouteTable", "ec2:AssociateRouteTable", "ec2:DisassociateRouteTable", "ec2:DeleteRouteTable", "ec2:CreateVpcEndpoint", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:Describe*" ], "Resource": "*", "Effect": "Allow" } ] }
Memberikan izin dengan menggunakan template AWS CloudFormation
AWS CloudFormation mengotomatiskan proses pembuatan peran dan kebijakan IAM dengan menggunakan templat yang telah dikonfigurasi sebelumnya. Gunakan prosedur berikut untuk membuat IAM role yang diperlukan dan kebijakan untuk Otomatisasi EC2Rescue dengan menggunakan AWS CloudFormation.
Untuk membuat kebijakan dan IAM role yang diperlukan untuk EC2Rescue
-
Unduh
AWSSupport-EC2RescueRole.zipdan ekstrakAWSSupport-EC2RescueRole.jsonfile ke direktori pada mesin lokal Anda. -
Jika Anda Akun AWS berada di partisi khusus, edit template untuk mengubah nilai ARN ke yang untuk partisi Anda.
Misalnya, untuk Wilayah Cina, ubah semua kasus
arn:awskearn:aws-cn. Masuk ke AWS Management Console dan buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation
. -
Pilih Buat tumpukan, Dengan sumber daya baru (standar).
-
Pada halaman Buat tumpukan, untuk Prasyarat - Siapkan templat, pilih Templat sudah siap.
-
Untuk Tentukan templat, pilih Unggah file templat.
-
Pilih Pilih file, lalu telusuri ke dan pilih
AWSSupport-EC2RescueRole.jsonfile dari direktori tempat Anda mengekstraknya. -
Pilih Berikutnya.
-
Pada halaman Tentukan detail tumpukan, untuk bidang Nama tumpukan, masukkan nama untuk mengidentifikasi tumpukan ini, dan kemudian pilih Berikutnya.
-
(Opsional) Dalam area Tag, terapkan satu pasangan nilai kunci tag atau lebih ke parameter.
Tag adalah metadata opsional yang Anda tetapkan ke sumber daya. Tanda memungkinkan Anda untuk mengategorikan sumber daya dengan berbagai cara, seperti berdasarkan tujuan, pemilik, atau lingkungan. Misalnya, Anda mungkin ingin menandai tumpukan untuk mengidentifikasi jenis tugas yang dijalankannya, jenis target atau sumber daya lainnya, dan lingkungan tempat ia dijalankan.
-
Pilih Berikutnya
-
Pada halaman Ulasan, tinjau detail tumpukan, lalu gulir ke bawah dan pilih opsi Saya akui yang AWS CloudFormation mungkin membuat sumber daya IAM.
-
AWS CloudFormation menunjukkan status CREATE_IN_PROGRESS selama beberapa menit. Status berubah menjadi CREATE_COMPLETE setelah tumpukan dibuat. Anda juga dapat memilih ikon refresh untuk memeriksa status proses pembuatan.
-
Dalam daftar tumpukan, pilih opsi di samping tumpukan yang baru saja Anda buat, lalu pilih tab Output.
-
Salin Nilai. Itu adalah ARN dari. AssumeRole Anda akan menentukan ARN ini ketika menjalankan otomatisasi dalam prosedur berikutnya.
Menjalankan Otomatisasi
Prosedur berikut menjelaskan cara menjalankan AWSSupport-ResetAccess runbook dengan menggunakan AWS Systems Manager
konsol.
penting
Otomatisasi berikut menghentikan instans. Menghentikan contoh dapat mengakibatkan hilangnya data pada volume penyimpanan instans terlampir (jika ada). Menghentikan instans juga dapat menyebabkan IP publik berubah, jika tidak ada Elastic IP terkait. Untuk menghindari perubahan konfigurasi ini, gunakan Run Command untuk mengatur ulang akses. Untuk informasi selengkapnya, lihat Menggunakan EC2Rescue untuk Windows Server dengan Systems Manager Run Command di Panduan Pengguna Amazon EC2 untuk Instans Windows.
Untuk menjalankan AWSSupport - ResetAccess Otomasi
Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/
. Pada panel navigasi, pilih Otomatisasi.
-atau-
Jika AWS Systems Manager halaman beranda terbuka terlebih dahulu, pilih ikon menu (
) untuk membuka panel navigasi, lalu pilih Otomasi.-
Pilih Eksekusi otomatisasi.
-
Di bagian Dokumen otomatisasi, pilih Dimiliki oleh Amazon dari daftar.
-
Dalam daftar runbook, pilih tombol di kartu untuk AWSSupport- ResetAccess, lalu pilih Berikutnya.
-
Pada halaman Eksekusi dokumen otomatisasi, pilih Eksekusi sederhana.
-
Di bagian Detail dokumen verifikasi bahwa Versi dokumen diatur ke versi default tertinggi. Misalnya, $DEFAULT atau 3 (default).
-
Di bagian Parameter input, tentukan parameter berikut:
-
Untuk InstanceID, tentukan ID instans yang tidak terjangkau.
-
Untuk SubnetId, tentukan subnet di VPC yang ada di zona ketersediaan yang sama dengan instance yang Anda tentukan. Secara default, Systems Manager menciptakan VPC baru, tetapi Anda dapat menentukan subnet di VPC yang ada jika Anda ingin.
catatan
Jika Anda tidak melihat opsi untuk menentukan ID subnet, verifikasi bahwa Anda menggunakan versi Default terbaru dari runbook.
-
Untuk EC2 RescueInstanceType, tentukan jenis instance untuk instance EC2Rescue. Nilai instans default adalah
t2.medium. -
Untuk AssumeRole, jika Anda membuat peran untuk Otomasi ini dengan menggunakan AWS CloudFormation prosedur yang dijelaskan sebelumnya dalam topik ini, maka tentukan AssumeRole ARN yang Anda catat di AWS CloudFormation konsol.
-
-
(Opsional) Dalam area Tag, terapkan satu pasangan nama/nilai kunci tag atau lebih untuk membantu mengidentifikasi otomatisasi, misalnya
Key=Purpose,Value=ResetAccess. -
Pilih Eksekusi.
-
Untuk memantau kemajuan otomatisasi, pilih otomatisasi berjalan, dan kemudian pilih tab Langkah. Setelah otomatisasi selesai, pilih tab Deskripsi, dan kemudian pilih Tampilkan output untuk melihat hasilnya. Untuk menampilkan output langkah-langkah individual, pilih tab Langkah, dan kemudian pilih Tampilkan Output di samping satu langkah.
Runbook membuat cadangan AMI dan kata sandi yang diaktifkan AMI sebagai bagian dari otomatisasi. Semua sumber lain yang dibuat oleh otomatisasi dihapus secara otomatis, tetapi ini AMIs tetap ada di akun Anda. AMIs Dinamai menggunakan konvensi berikut:
-
Backup AMI:
AWSSupport-EC2Rescue:InstanceID -
AMI yang diaktifkan kata sandi AWSSupport: -EC2Rescue: AMI yang diaktifkan kata sandi dari ID Instance
Anda dapat menemukan ini AMIs dengan mencari ID eksekusi Otomatisasi.
Untuk Linux, kunci pribadi SSH baru untuk instans Anda disimpan, dienkripsi, di. Parameter Store Nama parameter adalah /ec2rl/openssh/instance ID /key.
