Configurazione per l'uso di Amazon EC2 - Amazon Elastic Compute Cloud
Registrarsi per creare un Account AWSCreazione di un utente amministratoreCreazione di una coppia di chiaviCreazione di un gruppo di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione per l'uso di Amazon EC2

Completa le attività in questa sezione per l'impostazione del primo avvio di un'istanza Amazon EC2:

  1. Registrarsi per creare un Account AWS

  2. Creazione di un utente amministratore

  3. Creazione di una coppia di chiavi

  4. Creazione di un gruppo di sicurezza

Al termine, sarà possibile passare al tutorial Nozioni di base su Amazon EC2 .

Registrarsi per creare un Account AWS

Se non disponi di un Account AWS, completa la procedura seguente per crearne uno.

Per registrarsi a un Account AWS

  1. Apri la pagina all'indirizzo https://portal.aws.amazon.com/billing/signup.

  2. Segui le istruzioni online.

    Nel corso della procedura di registrazione riceverai una telefonata, durante la quale sarà necessario inserire un codice di verifica attraverso la tastiera del telefono.

    Durante la registrazione di un Account AWS, viene creato un Utente root dell'account AWS. L'utente root dispone dell'accesso a tutte le risorse e tutti i Servizi AWSnell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente amministrativo e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.

Al termine del processo di registrazione, riceverai un'e-mail di conferma da AWS. È possibile visualizzare l'attività corrente dell'account e gestire l'account in qualsiasi momento accedendo all'indirizzo https://aws.amazon.com/ e selezionando Il mio account.

Creazione di un utente amministratore

Dopo aver effettuato la registrazione di un Account AWS, proteggi Utente root dell'account AWS, abilita AWS IAM Identity Center e crea un utente amministratore in modo da non utilizzare l'utente root per le attività quotidiane.

Protezione dell'Utente root dell'account AWS

  1. Accedi alla AWS Management Console come proprietario dell'account scegliendo Utente root e immettendo l'indirizzo email del Account AWS. Nella pagina successiva, inserisci la password.

    Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Accesso come utente root della Guida per l'utente di Accedi ad AWS.

  2. Abilita l'autenticazione a più fattori (MFA) per l'utente root.

    Per ricevere istruzioni, consulta Abilitazione di un dispositivo MFA virtuale per l'utente root dell'Account AWS (console) nella Guida per l'utente IAM.

Creazione di un utente amministratore

  1. Abilita Centro identità IAM.

    Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center.

  2. In Centro identità IAM, assegna l'accesso amministrativo a un utente amministratore.

    Per un tutorial sull'utilizzo di IAM Identity Center directory come origine di identità, consulta Configure user access with the default IAM Identity Center directory nella Guida per l'utente di AWS IAM Identity Center.

Accesso come utente amministratore

  • Per accedere con l'utente IAM Identity Center, utilizza l'URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

    Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta Accedere al portale di accesso AWS nella Guida per l'utente Accedi ad AWS.

Creazione di una coppia di chiavi

AWS usa la crittografia a chiave pubblica per proteggere le informazioni di accesso per l'istanza. Un'istanza Linux non ha password; utilizzi una coppia di chiavi per accedere alla tua istanza in modo sicuro. Devi specificare il nome della coppia di chiavi quando avvii l'istanza e quindi fornire la chiave privata quando accedi utilizzando SSH.

Se non hai ancora creato una coppia di chiavi, puoi crearne una utilizzando la console Amazon EC2. Se prevedi di avviare istanze in più Regioni AWS, devi creare una coppia di chiavi in ogni regione. Per ulteriori informazioni sulle regioni, consulta Regioni e zone.

Per creare la coppia di chiavi

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione scegliere Key Pairs (Coppie di chiavi).

  3. Scegliere Create key pair (Crea coppia di chiavi).

  4. Per Name (Nome), immettere un nome descrittivo per la coppia di chiavi. Amazon EC2 associa la chiave pubblica con il nome specificato come nome della chiave. Il nome può includere fino a 255 caratteri ASCII. Non può includere spazi iniziali o finali.

  5. Per Key pair type (Tipo di coppia di chiavi), scegliere RSA o ED25519. Nota:ED25519le chiavi non sono supportate per le istanze Windows.

  6. Per Private key file format (Formato file chiave privata), scegliere il formato in cui salvare la chiave privata. Per salvare la chiave privata in un formato che può essere utilizzato con OpenSSH, scegliere pem. Per salvare la chiave privata in un formato che può essere utilizzato con PuTTY, scegliere ppk.

  7. Scegliere Create key pair (Crea coppia di chiavi).

  8. Il file della chiave privata viene automaticamente scaricato dal browser. Il nome del file di base è il nome specificato come nome della coppia di chiavi e l'estensione del nome del file è determinata dal formato di file scelto. Salvare il file della chiave privata in un luogo sicuro.

    Importante

    Questo è l'unico momento in cui salvare il file della chiave privata.

  9. Se prevedi di utilizzare un client SSH su un computer macOS o Linux per connetterti all'istanza Linux, utilizza il comando seguente per impostare le autorizzazioni del file della chiave privata per essere l'unico a poterlo leggere.

    chmod 400 key-pair-name.pem

    Se non imposti queste autorizzazioni, allora non puoi connetterti alle tue istanze usando questa coppia di chiavi. Per ulteriori informazioni, consulta Errore: Unprotected Private Key File (File della chiave privata non protetto).

Per ulteriori informazioni, consultare Coppie di chiavi Amazon EC2 e istanze Amazon EC2.

Creazione di un gruppo di sicurezza

I gruppi di sicurezza fungono da firewall per le istanze associate, controllando sia il traffico in entrata che in uscita a livello di istanza. Devi aggiungere regole a un gruppo di sicurezza che consentono di connettersi all'istanza dall'indirizzo IP tramite SSH. È inoltre possibile aggiungere regole che consentono il traffico HTTP e HTTPS in entrata e in uscita da qualsiasi posizione.

Se prevedi di avviare istanze in più Regioni AWS, devi creare un gruppo di sicurezza in ogni regione. Per ulteriori informazioni sulle regioni, consulta Regioni e zone.

Prerequisiti

È necessario conoscere l'indirizzo IPv4 pubblico del computer locale. L'editor dei gruppi di sicurezza nella console Amazon EC2 può rilevare automaticamente l'indirizzo IPv4 pubblico. In alternativa, puoi utilizzare la frase di ricerca "qual è il mio indirizzo IP" in un browser Internet oppure utilizzare il seguente servizio: Check IP. Se ti stai connettendo tramite un provider di servizi Internet (ISP) o con la protezione di un firewall senza un indirizzo IP statico, devi individuare l'intervallo di indirizzi IP usati dai computer client.

Puoi creare un gruppo di sicurezza personalizzato mediante uno dei metodi descritti di seguito.

Console
Per creare un gruppo di sicurezza con privilegi minimi

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Dalla barra di navigazione in alto, seleziona una Regione AWS per il gruppo di sicurezza. I gruppi di sicurezza sono specifici di una regione, quindi devi selezionare la stessa regione in cui è stata creata la coppia di chiavi.

  3. Nel riquadro di navigazione a sinistra, scegli Security Groups (Gruppi di sicurezza).

  4. Scegliere Create Security Group (Crea gruppo di sicurezza).

  5. In Dettagli di base, completa le seguenti operazioni:

    1. Immettere un nome e una descrizione per il nuovo gruppo di sicurezza. Scegli un nome che sia facile da ricordare, ad esempio il tuo nome utente, seguito da _SG_, più il nome della regione. Ad esempio, me_SG_uswest2.

    2. Nell'elenco VPC selezionare il VPC predefinito per la regione.

  6. Per Regole in entrata, crea regole che consentano a tipi specifici di traffico di raggiungere l'istanza. Ad esempio, per un server Web che accetta il traffico HTTP e HTTPS utilizza le regole riportate di seguito. Per ulteriori esempi, consulta Regole del gruppo di sicurezza per diversi casi d'uso.

    1. Scegli Aggiungi regola. Per Type (Tipo) scegli HTTP. Per Source, scegli Anywhere-IPv4 per consentire il traffico HTTP in entrata da qualsiasi indirizzo IPv4 o Anywhere-IPv6 per consentire il traffico HTTP in entrata da qualsiasi indirizzo IPv6.

    2. Scegli Aggiungi regola. Per Type (Tipo), scegliere HTTPS. Per Source, scegli Anywhere-IPv4 per consentire il traffico HTTPS in entrata da qualsiasi indirizzo IPv4 o Anywhere-IPv6 per consentire il traffico HTTPS in entrata da qualsiasi indirizzo IPv6.

    3. Scegliere Add rule (Aggiungi regola). Per Tipo, seleziona SSH. Per Origine, completa una delle operazioni riportate di seguito.

      • Seleziona Il mio IP per aggiungere automaticamente l'indirizzo IPv4 pubblico per il tuo computer locale.

      • In alternativa, seleziona Personalizzato e specifica l'indirizzo IPv4 pubblico del computer o della rete in base alla notazione CIDR. Per specificare un singolo indirizzo IP in notazione CIDR, aggiungere il suffisso di routing /32, ad esempio 203.0.113.25/32. Se l'azienda o il router alloca gli indirizzi da un intervallo, specifica l'intero intervallo, ad esempio 203.0.113.0/24.

      avvertimento

      Ciò consentirebbe l'accesso alla tua istanza da tutti gli indirizzi IP su Internet. Questo è accettabile per un breve periodo di tempo in un ambiente di test, ma non è sicuro per gli ambienti di produzione.

  7. Per Regole in uscita mantieni la regola predefinita, che autorizza tutto il traffico in uscita.

  8. Scegliere Create Security Group (Crea gruppo di sicurezza).

AWS CLI

Quando si utilizza la AWS CLI per creare un gruppo di sicurezza, al gruppo di sicurezza viene automaticamente aggiunta una regola in uscita che consente tutto il traffico in uscita. Non viene invece aggiunta automaticamente una regola in entrata, che dovrà essere aggiunta separatamente.

In questa procedura, combinerai i comandi create-security-group e authorize-security-group-ingress della AWS CLI per creare il gruppo di sicurezza e aggiungere la regola in entrata che consente il traffico in entrata specificato. Un'alternativa alla procedura seguente consiste nell'eseguire i comandi separatamente, creando prima un gruppo di sicurezza e quindi aggiungendo una regola in entrata a tale gruppo.

Creazione di un gruppo di sicurezza e aggiunta di una regola in entrata al gruppo di sicurezza

Utilizza i comandi create-security-group e authorize-security-group-ingress della AWS CLI come riportato di seguito:

aws ec2 authorize-security-group-ingress \
    --region us-west-2 \
    --group-id $(aws ec2 create-security-group \
        --group-name myname_SG_uswest2 \
        --description "Security group description" \
        --vpc-id vpc-12345678 \
        --output text \
        --region us-west-2) \
    --ip-permissions \
        IpProtocol=tcp,FromPort=80,ToPort=80,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTP from anywhere"}]' \
        IpProtocol=tcp,FromPort=443,ToPort=443,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTPS from anywhere"}]' \
        IpProtocol=tcp,FromPort=22,ToPort=22,IpRanges='[{CidrIp=172.31.0.0/16,Description="SSH from private network"}]' \
        IpProtocol=tcp,FromPort=22,ToPort=22,IpRanges='[{CidrIp=203.0.113.25/32,Description="SSH from public IP"}]'

Per:

  • --region: specifica la regione in cui creare le regole in entrata.

  • --group-id: specifica il comando create-security-group e i seguenti parametri per creare il gruppo di sicurezza:

    • --group-name: specifica un nome per il nuovo gruppo di sicurezza. Scegli un nome facile da ricordare, ad esempio il tuo nome utente, seguito da _SG_ più il nome della regione. Ad esempio, myname_SG_uswest2.

    • --description: specifica una descrizione che ti aiuti a sapere quale traffico è consentito dal gruppo di sicurezza.

    • --vpc-id: specifica il tuo VPC predefinito per la regione.

    • --output: specifica text come formato di output per il comando.

    • --region: specifica la regione in cui creare il gruppo di sicurezza. Dovrebbe essere la stessa regione che hai specificato per le regole in entrata.

  • --ip-permissions: specifica le regole in entrata da aggiungere al gruppo di sicurezza. Le regole in questo esempio si riferiscono a un server Web che accetta il traffico HTTP e HTTPS da qualsiasi luogo e che accetta il traffico SSH da una rete privata (se l'azienda o il router allocano indirizzi da un intervallo) e da un indirizzo IP pubblico specificato (ad esempio l'indirizzo IPv4 pubblico del computer o della rete in notazione CIDR).

    avvertimento

    Per motivi di sicurezza, non specificare 0.0.0.0/0 per CidrIp con una regola per SSH. Ciò consentirebbe l'accesso alla tua istanza da tutti gli indirizzi IP su Internet. Questo è accettabile per un breve periodo di tempo in un ambiente di test, ma non è sicuro per gli ambienti di produzione.

PowerShell

Quando si utilizza la AWS Tools for Windows PowerShell per creare un gruppo di sicurezza, al gruppo di sicurezza viene automaticamente aggiunta una regola in uscita che consente tutto il traffico in uscita. Non viene invece aggiunta automaticamente una regola in entrata, che dovrà essere aggiunta separatamente.

In questa procedura, combinerai i comandi New-EC2SecurityGroup e Grant-EC2SecurityGroupIngress della AWS Tools for Windows PowerShell per creare il gruppo di sicurezza e aggiungere la regola in entrata che consente il traffico in entrata specificato. Un'alternativa alla procedura seguente consiste nell'eseguire i comandi separatamente, creando prima un gruppo di sicurezza e quindi aggiungendo una regola in entrata a tale gruppo.

Per creare un gruppo di sicurezza

Utilizza i comandi New-EC2SecurityGroup e Grant-EC2SecurityGroupIngress della AWS Tools for Windows PowerShell come riportato di seguito.

Import-Module AWS.Tools.EC2
New-EC2SecurityGroup -GroupName myname_SG_uswest2 -Description 'Security group description' -VpcId vpc-12345678 -Region us-west-2 | `
    Grant-EC2SecurityGroupIngress `
    -GroupName $_ `
    -Region us-west-2 `
    -IpPermission @( 
        (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{
                IpProtocol = 'tcp'; 
                FromPort   = 80;
                ToPort     = 80;
                Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTP from anywhere'})
            }),
        (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{
                IpProtocol = 'tcp'; 
                FromPort   = 443;
                ToPort     = 443;
                Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTPS from anywhere'})
            }),
        (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{
                IpProtocol = 'tcp'; 
                FromPort   = 3389;
                ToPort     = 3389;
                Ipv4Ranges = @(
                    @{CidrIp = '172.31.0.0/16'; Description = 'RDP from private network'},
                    @{CidrIp = '203.0.113.25/32'; Description = 'RDP from public IP'}
                    )
            })
    )

Per il gruppo di sicurezza:

  • -GroupName: specifica un nome per il nuovo gruppo di sicurezza. Scegli un nome facile da ricordare, ad esempio il tuo nome utente, seguito da _SG_ più il nome della regione. Ad esempio, myname_SG_uswest2.

  • -Description: specifica una descrizione che ti aiuti a sapere quale traffico è consentito dal gruppo di sicurezza.

  • -VpcId: specifica il tuo VPC predefinito per la regione.

  • -Region: specifica la regione in cui creare il gruppo di sicurezza.

Per le regole in entrata:

  • -GroupName: specifica che $_ faccia riferimento al gruppo di sicurezza che stai creando.

  • -Region: specifica la regione in cui creare le regole in entrata. Dovrebbe essere la stessa regione che hai specificato per il gruppo di sicurezza.

  • -IpPermission: specifica le regole in entrata da aggiungere al gruppo di sicurezza. Le regole in questo esempio si riferiscono a un server Web che accetta il traffico HTTP e HTTPS da qualsiasi luogo e che accetta il traffico RDP da una rete privata (se l'azienda o il router allocano indirizzi da un intervallo) e da un indirizzo IP pubblico specificato (ad esempio l'indirizzo IPv4 pubblico del computer o della rete in notazione CIDR).

    avvertimento

    Per motivi di sicurezza, non specificare 0.0.0.0/0 per CidrIp con una regola per RDP. Ciò consentirebbe l'accesso alla tua istanza da tutti gli indirizzi IP su Internet. Questo è accettabile per un breve periodo di tempo in un ambiente di test, ma non è sicuro per gli ambienti di produzione.

Per ulteriori informazioni, consulta Gruppi di sicurezza Amazon EC2 per istanze Linux..