Configurar o acesso ao Console de Série do EC2
Para configurar o acesso ao console de série, você deve conceder acesso ao console de série no nível da conta e, em seguida, configurar políticas do IAM para conceder acesso aos seus usuários. Para instâncias do Linux, você também deve configurar um usuário baseado em senha em cada instância com a finalidade de que os usuários possam usar o console de série para obter a solução de problemas.
Antes de começar, certifique-se de verificar os pré-requisitos.
Tópicos
Níveis de acesso ao Console de Série do EC2
Por padrão, não há acesso ao console de série no nível da conta. Você precisa explicitamente conceder acesso ao console de série no nível da conta. Para obter mais informações, consulte Gerenciar o acesso da conta ao Console de Série do EC2.
Você pode usar uma política de controle de serviço (SCP) para permitir o acesso ao console de série dentro de sua organização. Em seguida, você pode ter controle de acesso granular no nível de usuário usando uma política do IAM para controlar o acesso. Usando uma combinação de políticas de SCP e do IAM, você tem diferentes níveis de controle de acesso ao console de série.
- Nível da organização
-
Você pode usar uma política de controle de serviço (SCP) para permitir o acesso ao console de série para contas de membros dentro da sua organização. Para obter mais informações sobre SCPs, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations.
- Nível da instância
-
Você pode configurar as políticas de acesso ao console de série usando as construções IAM PrincipalTag e ResourceTag e especificando instâncias pelo ID delas. Para ter mais informações, consulte Configurar políticas do IAM para acesso ao Console de Série do EC2.
- Nível de usuário
-
Você pode configurar o acesso no nível do usuário configurando uma política do IAM para permitir ou negar a um usuário especificado a permissão para enviar a chave pública SSH ao serviço de console de série de uma instância específica. Para ter mais informações, consulte Configurar políticas do IAM para acesso ao Console de Série do EC2.
- Nível do sistema operacional (somente para instâncias do Linux)
-
Você pode definir uma senha de usuário no nível do SO convidado. Isso fornece acesso ao console de série para alguns casos de uso. No entanto, para monitorar os logs, você não precisa de um usuário com senha. Para obter mais informações, consulte Definição de uma senha do usuário do sistema operacional em uma instância do Linux.
Gerenciar o acesso da conta ao Console de Série do EC2
Por padrão, não há acesso ao console de série no nível da conta. Você precisa explicitamente conceder acesso ao console de série no nível da conta.
Tópicos
Conceder permissão a usuários para gerenciar acesso à conta
Para permitir que os usuários gerenciem o acesso da conta ao Console de Série do EC2, você precisa conceder a eles as permissões necessárias do IAM.
A política a seguir concede permissões para visualizar o status da conta e para permitir e impedir o acesso da conta ao Console de Série do EC2.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:GetSerialConsoleAccessStatus", "ec2:EnableSerialConsoleAccess", "ec2:DisableSerialConsoleAccess" ], "Resource": "*" } ] }
Para obter mais informações, consulte Criar políticas do IAM no Guia do usuário do IAM.
Exibir status de acesso da conta no console de série
Para exibir o status do acesso da conta no console de série (console)
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, escolha EC2 Dashboard (Painel do EC2).
-
Em Account attributes (Atributos de conta), escolha EC2 Serial Console (Console serial do EC2).
O campo de acesso ao Console serial do EC2 indica se o acesso da conta é Allowed (Permitido) ou Prevented (Impedido).
A captura de tela a seguir mostra que a conta está impedida de usar o Console de Série do EC2.
Para exibir o status do acesso da conta ao console de série (AWS CLI)
Use o comando get-serial-console-access-status para exibir o status de acesso da conta ao console de série.
aws ec2 get-serial-console-access-status --regionus-east-1
Na saída a seguir, true indica que a conta tem permissão para acessar o console de série.
{ "SerialConsoleAccessEnabled": true }
Conceder acesso da conta ao console de série
Para conceder acesso da conta ao console de série (console)
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, escolha EC2 Dashboard (Painel do EC2).
-
Em Account attributes (Atributos de conta), escolha EC2 Serial Console (Console serial do EC2).
-
Escolha Gerenciar.
-
Para permitir acesso de todas as instâncias da conta ao Console de Série do EC2, marque a caixa de seleção Allow (Permitir).
-
Escolha Update (Atualizar).
Para conceder acesso da conta ao console de série (AWS CLI)
Use o comando enable-serial-console-access para permitir o acesso da conta ao console de série.
aws ec2 enable-serial-console-access --regionus-east-1
Na saída a seguir, true indica que a conta tem permissão para acessar o console de série.
{ "SerialConsoleAccessEnabled": true }
Negar acesso da conta ao console de série
Para negar acesso da conta ao console de série (console)
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. -
No painel de navegação, escolha EC2 Dashboard (Painel do EC2).
-
Em Account attributes (Atributos de conta), escolha EC2 Serial Console (Console serial do EC2).
-
Escolha Gerenciar.
-
Para evitar o acesso de todas as instâncias da conta ao Console de Série do EC2, desmarque a caixa de seleção Allow (Permitir).
-
Escolha Update (Atualizar).
Para negar acesso da conta ao console de série (AWS CLI)
Use o comando disable-serial-console-access para impedir o acesso da conta ao console de série.
aws ec2 disable-serial-console-access --regionus-east-1
Na saída a seguir, false indica que a conta tem acesso negado ao console de série.
{ "SerialConsoleAccessEnabled": false }
Configurar políticas do IAM para acesso ao Console de Série do EC2
Por padrão, seus usuários não têm acesso ao console de série. Sua organização deve configurar políticas do IAM para conceder aos usuários o acesso necessário. Para obter mais informações, consulte Criar políticas do IAM no Guia do usuário do IAM.
Para acessar o console de série, crie um documento de política JSON que inclua a ação ec2-instance-connect:SendSerialConsoleSSHPublicKey. Essa ação concede a um usuário permissão para enviar a chave pública para o serviço de console de série, que inicia uma sessão de console de série. Recomendamos restringir o acesso a instâncias do EC2 específicas. Caso contrário, todos os usuários com essa permissão poderão se conectar ao console de série de todas as instâncias do EC2.
Políticas de exemplo do IAM.
Permitir explicitamente o acesso ao console de série
Por padrão, ninguém tem acesso ao console de série. Para conceder acesso ao console de série, é preciso configurar uma política para permitir explicitamente o acesso. Recomendamos configurar uma política que restrinja o acesso a instâncias específicas.
A política a seguir permite o acesso ao console de série de uma instância específica, identificada pelo ID da instância.
Observe que as ações DescribeInstances, DescribeInstanceTypes e GetSerialConsoleAccessStatus não são compatíveis com permissões no nível do recurso e, portanto, todos os recursos, indicados por * (asterisco), devem ser especificados para essas ações.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribeInstances", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "AllowinstanceBasedSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7" } ] }
Explicitamente negar acesso ao console de série
A política do IAM a seguir permite o acesso ao console de série de todas as instâncias, denotado pelo * (asterisco) e nega explicitamente o acesso ao console de série de uma instância específica, identificado por seu ID.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey", "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "DenySerialConsoleAccess", "Effect": "Deny", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7" } ] }
Usar tags de recursos para controlar o acesso ao console de série
Você pode usar tags de recursos para controlar o acesso ao console de série de uma instância.
O controle de acesso por atributo é uma estratégia de autorização que define permissões de acordo com tags que podem ser anexadas a usuários e a recursos da AWS. Por exemplo, a política a seguir só permite que um usuário inicie uma conexão de console de série para uma instância se a tag de recurso desta instância e a tag da entidade principal tiverem o mesmo valor do SerialConsole para a chave de tag.
Para obter mais informações sobre como usar tags para controlar o acesso aos recursos da AWS, consulte Controle do acesso aos recursos da AWS no Guia do usuário do IAM.
Observe que as ações DescribeInstances, DescribeInstanceTypes e GetSerialConsoleAccessStatus não são compatíveis com permissões no nível do recurso e, portanto, todos os recursos, indicados por * (asterisco), devem ser especificados para essas ações.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribeInstances", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "AllowTagBasedSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/*", "Condition": { "StringEquals": { "aws:ResourceTag/SerialConsole": "${aws:PrincipalTag/SerialConsole}" } } } ] }
Definição de uma senha do usuário do sistema operacional em uma instância do Linux
nota
Esta seção se aplica somente a instâncias do Linux.
Você pode se conectar ao console de série sem uma senha. No entanto, para usar o console de série com a finalidade de solucionar problemas de uma instância do Linux, a instância deve ter um usuário do sistema operacional baseado em senha.
Você pode definir a senha para qualquer usuário do sistema operacional, incluindo o usuário raiz. Observe que o usuário raiz pode modificar todos os arquivos, enquanto cada usuário do sistema operacional pode ter permissões limitadas.
Você deve definir uma senha de usuário para cada instância para a qual você usará o console de série. Essa é uma exigência única de cada instância.
nota
As instruções apresentadas a seguir serão aplicáveis somente se você iniciar a instância usando uma AMI do Linux fornecida pela AWS porque, por padrão, as AMIs fornecidas pela AWS não são configuradas com um usuário baseado em senha. Se você tiver executado a instância usando uma AMI que já tenha a senha do usuário raiz configurada, poderá ignorar essas instruções.
Para definir uma senha do usuário do sistema operacional em uma instância do Linux
-
Conecte-se à sua instância. Você pode usar qualquer método para se conectar à instância, exceto o método de conexão do Console de Série do EC2.
-
Para definir a senha para um usuário, use o comando passwd. No exemplo a seguir, o usuário é
root.[ec2-user ~]$sudo passwd rootA seguir está um exemplo de saída.
Changing password for user root. New password: -
No prompt
New password, digite a nova senha. -
No prompt, digite novamente a senha.
