Conexão com a instância do EC2

Uma instância do Amazon EC2 é um servidor virtual na Nuvem AWS. Para fazer login na instância, você deve estabelecer uma conexão com a instância. A forma como você se conecta à instância depende do sistema operacional da instância e do sistema operacional do computador que você usa para se conectar à instância. Você pode escolher entre as opções a seguir.

Opções de conexão

• Conectar-se à instância do Linux usando um cliente SSH

• Conectar-se à instância do Linux usando PuTTY

• Conexão com a instância do Windows usando um cliente RDP

• Conectar a uma instância do Windows usando o Fleet Manager

• Conectar-se usando o Gerenciador de sessões

• Conectar-se usando EC2 Instance Connect

• Conectar usando o EC2 Instance Connect Endpoint

São apresentados os pré-requisitos gerais a seguir. Observe que poderá haver pré-requisitos adicionais específicos para a opção de conexão que você escolher.

Pré-requisitos gerais

• Verifique se a instância passou nas verificações de status. Pode demorar alguns minutos para que a instância fique pronta para aceitar solicitações de conexão. Para ter mais informações, consulte Visualizar verificações de status.

• Obter os detalhes necessários da instância.

• Localizar a chave privada e definir permissões.

• (Opcional) Obter a impressão digital da instância.

Obter os detalhes necessários da instância

Para preparar-se para a conexão com uma instância, obtenha as informações a seguir no console do Amazon EC2 ou use a linha de comando.

• Obtenha o nome do DNS público da instância.

  É possível obter o DNS público da instância usando o console do Amazon EC2. Verifique a coluna DNS IPv4 público do painel Instâncias. Se essa coluna estiver oculta, escolha o ícone de configurações ( ) no canto superior direito da tela e selecione DNS público (IPv4). Você também pode encontrar o DNS público na seção de informações da instância do painel Instâncias. Quando você seleciona a instância no painel Instâncias do console do Amazon EC2, as informações sobre essa instância aparecem na metade inferior da página. Na guia Detalhes, procure DNS IPv4 público.

  Se preferir, é possível usar o comando describe-instances (AWS CLI) ou Get-EC2Instance (AWS Tools for Windows PowerShell).

  Se nenhum DNS IPv4 público for exibido, verifique se o estado da instância é em execução e se você não iniciou a instância em uma sub-rede privada. Se você iniciou a instância usando o assistente de inicialização de instância, talvez tenha editado o campo Atribuição automática de IP público em Configurações de rede e alterado o valor para Desabilitar. Se você desabilitar a opção Atribuição automática de IP públic, a instância não receberá um endereço IP público quando for iniciada.

• (Somente instâncias IPv6) Obtenha o endereço IPv6 da instância.

  Se você atribuiu um endereço IPv6 à instância, terá a opção de se conectar a ela usando o endereço IPv6 em vez de um endereço IPv4 ou o nome de host DNS público. Seu computador local deve ter um endereço IPv6 e configurado para usar IPv6. É possível obter o endereço IPv6 da instância no console do Amazon EC2. Verifique a coluna IPs IPv6 do painel Instâncias. Ou você pode encontrar o endereço IPv6 na seção de informações da instância. Quando você seleciona a instância no painel Instâncias do console do Amazon EC2, as informações sobre essa instância aparecem na metade inferior da página. Na guia Detalhes, procure Endereço IPv6.

  Se preferir, é possível usar o comando describe-instances (AWS CLI) ou Get-EC2Instance (AWS Tools for Windows PowerShell). Para obter mais informações sobre IPv6, consulte Endereços IPv6.

• (Instâncias do Linux) Obtenha o nome de usuário da instância.

  É possível se conectar à instância usando o nome de usuário da sua conta de usuário ou o nome de usuário padrão da AMI que você usou para iniciar a instância.

  • Obtenha o nome de usuário da sua conta de usuário.

    Para obter mais informações sobre como criar uma conta de usuário, consulte Gerenciar usuários do sistema na instância do Linux do Amazon EC2.

  • Obtenha o nome de usuário padrão da AMI que você usou para iniciar a instância.

    • CentOS: centos ou ec2-user

    • Debian: admin

    • Fedora: fedora ou ec2-user

    • RHEL: ec2-user ou root

    • SUSE: ec2-user ou root

    • Ubuntu: ubuntu

    • Oracle: ec2-user

    • Bitnami: bitnami

    • Rocky Linux: rocky

    • Outro: verificar com o provedor da AMI

Localizar a chave privada e definir permissões

Você deve conhecer o local do arquivo de chave privada para fazer a conexão inicial com uma instância do Linux usando SSH ou com uma instância do Windows usando RDP. Para conexões SSH, você deve definir as permissões de arquivo para que somente você possa ler a chave privada.

Para obter informações sobre como os pares de chaves funcionam ao usar o Amazon EC2, consulte Pares de chaves do Amazon EC2 e instâncias do Amazon EC2.

• Localize a chave privada.

  Obtenha o caminho totalmente qualificado para o local em seu computador do arquivo .pem para o par de chaves que você especificou quando executou a instância. Para ter mais informações, consulte Identifique a chave pública que foi especificada na inicialização.

  Se você não conseguir encontrar seu arquivo de chave privada, consulte Perdi minha chave privada. Como posso me conectar à instância?.

  (Instâncias do Linux) Se você estiver se conectando à instância usando PuTTY e precisar converter o arquivo .pem em .ppk, consulte Converta a chave privada usando o PuTTYgen.

• (Instâncias do Linux) Defina as permissões da chave privada de modo que só você possa lê-la.

  • Conectar do macOS ou do Linux

    Se você planejar usar um cliente SSH em um computador com macOS ou Linux para se conectar à instância do Linux, use o seguinte comando para definir as permissões do arquivo de chave privada de modo que só você possa lê-lo.

    chmod 400 key-pair-name.pem

    Se você não definir essas permissões, não poderá conectar-se à instância usando esse par de chaves. Para ter mais informações, consulte Erro: arquivo de chave privada desprotegido.

  • Conectar do Windows

    Abra o Explorador de Arquivos e clique com o botão direito do mouse no arquivo .pem. Selecione a guia Propriedades > Segurança e escolha Avançado. Escolha Desabilitar herança. Remova o acesso para todos os usuários, exceto para o usuário atual.

(Opcional) Obter a impressão digital da instância

Para se proteger de ataques “man-in-the-middle”, você poderá verificar a autenticidade da instância à qual está prestes a se conectar, conferindo a impressão digital exibida. A verificação da impressão digital será útil se você executar a instância usando uma AMI pública fornecida por terceiros.

Visão geral da tarefa

Primeiro, obtenha a impressão digital da instância diretamente da instância. Em seguida, quando você se conectar à instância e receber a solicitação para verificar a impressão digital, compare a impressão digital que obteve nesse procedimento com a impressão digital exibida. Caso essas impressões digitais não correspondam, alguém pode estar tentando um ataque man-in-the-middle. Se elas corresponderem, será possível se conectar à instância com confiança.

Pré-requisitos para obter a impressão digital da instância

• A instância não deve estar no estado pending. A impressão digital só estará disponível após a conclusão da primeira inicialização da instância.

• Você deve ser o proprietário da instância para obter a saída do console.

• Há várias maneiras de obter a impressão digital da instância. Se você quiser usar a AWS CLI, ela deverá estar instalada no seu computador local. Para obter informações sobre como instalar a AWS CLI, consulte Instalação da AWS Command Line Interface no Guia do usuário da AWS Command Line Interface.

Para obter a impressão digital da instância

Na Etapa 1, você obtém a saída do console, que inclui a impressão digital da instância. Na Etapa 2, você encontra a impressão digital da instância na saída do console.

1. Use um dos métodos a seguir para obter a saída do console.

   Console

   1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

   2. No navegador à esquerda, escolha Instâncias.

   3. Selecione sua instância e escolha Ações, Monitorar e solucionar problemas e Obter log do sistema.

   AWS CLI

   No computador local (e não na instância com a qual você está se conectando), use o comando get-console-output (AWS CLI). Se a saída for grande, você poderá redirecioná-la para um arquivo de texto, onde poderá ser mais fácil lê-la. Você deve especificar uma Região da AWS ao usar a AWS CLI, explicitamente ou definindo uma região padrão. Para obter informações sobre como definir ou especificar uma região, consulte Princípios básicos da configuração no Guia do usuário do AWS Command Line Interface.

   aws ec2 get-console-output --instance-id instance_id --query Output --output text > temp.txt

2. Na saída do console, encontre a impressão digital da instância (host), localizada abaixo de BEGIN SSH HOST KEY FINGERPRINTS. Pode haver impressões digitais de várias instâncias. Quando você se conecta à sua instância, ela exibe somente uma das impressões digitais.

   A saída exata pode variar de acordo com o sistema operacional, a versão da AMI e se a AWS criou o par de chaves. O seguinte é um exemplo de saída.

   ec2:#############################################################
   ec2: -----BEGIN SSH HOST KEY FINGERPRINTS-----
   ec2: 256 SHA256:l4UB/neBad9tvkgJf1QZWxheQmR59WgrgzEimCG6kZY no comment (ECDSA)
   ec2: 256 SHA256:kpEa+rw/Uq3zxaYZN8KT501iBtJOIdHG52dFi66EEfQ no comment (ED25519)
   ec2: 2048 SHA256:L8l6pepcA7iqW/jBecQjVZClUrKY+o2cHLI0iHerbVc no comment (RSA)
   ec2: -----END SSH HOST KEY FINGERPRINTS-----
   ec2: #############################################################

   nota

   Você vai mencionar essa impressão digital quando se conectar à instância.