Configuração para usar o Amazon EC2. - Amazon Elastic Compute Cloud
Cadastrar-se em uma Conta da AWSCriar um usuário administrativoCriar um par de chavesCrie um grupo de segurança

Configuração para usar o Amazon EC2.

Conclua as tarefas nesta seção para configurar a execução de uma instância do Amazon EC2 pela primeira vez:

  1. Cadastrar-se em uma Conta da AWS

  2. Criar um usuário administrativo

  3. Criar um par de chaves

  4. Crie um grupo de segurança

Quando terminar, você estará pronto para o tutorial Conceitos básicos do Amazon EC2.

Cadastrar-se em uma Conta da AWS

Se você ainda não tem uma Conta da AWS, siga as etapas a seguir para criar uma.

Como cadastrar-se para uma Conta da AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções on-line.

    Parte do procedimento de cadastramento envolve o recebimento de uma chamada telefônica e a inserção de um código de verificação no teclado do telefone.

    Quando você se cadastra para uma Conta da AWS, um Usuário raiz da conta da AWS é criado. O usuário raiz tem acesso a todos os Serviços da AWS e atributos na conta. Como prática recomendada de segurança, atribua acesso administrativo a um usuário administrativo e utilize somente o usuário raiz para executar as tarefas que exigem acesso do usuário raiz.

A AWS envia um e-mail de confirmação depois que o processo de cadastramento é concluído. A qualquer momento, é possível visualizar as atividades da conta atual e gerenciar sua conta acessando https://aws.amazon.com/ e selecionando Minha conta.

Criar um usuário administrativo

Depois de se cadastrar em uma Conta da AWS, proteja seu Usuário raiz da conta da AWS, habilite o AWS IAM Identity Center e crie um usuário administrativo para não usar o usuário raiz em tarefas cotidianas.

Proteção da Usuário raiz da conta da AWS

  1. Faça login no AWS Management Console como o proprietário da conta ao escolher a opção Usuário raiz e inserir o endereço de e-mail da Conta da AWS. Na próxima página, insira a senha.

    Para obter ajuda ao fazer login usando o usuário raiz, consulte Fazer login como usuário raiz no Guia do usuário do Início de Sessão da AWS.

  2. Ative a autenticação multifator (MFA) para o usuário raiz.c

    Para obter instruções, consulte Ativar um dispositivo MFA virtual para o usuário raiz da Conta da AWS (console) no Guia do usuário do IAM.

Criar um usuário administrativo

  1. Habilitar o IAM Identity Center.

    Para obter instruções, consulte Habilitar AWS IAM Identity Center no Guia do usuário do AWS IAM Identity Center.

  2. No Centro de Identidade do IAM, conceda acesso administrativo a um usuário administrativo.

    Para obter um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte Configurar o acesso dos usuários com o Diretório do Centro de Identidade do IAM padrão no Guia do usuário do AWS IAM Identity Center.

Login como usuário administrativo

  • Para fazer login com o usuário do Centro de Identidade do IAM, utilize o URL de login enviado ao seu endereço de e-mail quando você criou o usuário do Centro do Usuário do IAM.

    Para obter ajuda com o login utilizando um usuário do Centro de Identidade do IAM, consulte Fazer login no portal de acesso da AWS, no Guia do usuário do Início de Sessão da AWS.

Criar um par de chaves

AWSA usa criptografia de chave pública para proteger as informações de logon da instância. Você especifica o nome do par de chaves ao iniciar a instância e fornece a chave privada para obter a senha de administrador para a sua instância do Windows e poder fazer login com Remote Desktop Protocol (RDP).

Se ainda não tiver criado um par de chaves, você poderá criar um usando o console do Amazon EC2. Observe que, se quiser iniciar instâncias em várias Regiões da AWS, você precisará criar um par de chaves em cada região. Para obter mais informações sobre regiões, consulte A VPC abrange as zonas de disponibilidade e a zona Wavelength..

Como criar o par de chaves

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Key Pairs (Pares de chaves).

  3. Escolha Create key pair (Criar par de chaves).

  4. Em Name (Nome), insira um nome descritivo para o par de chaves. O Amazon EC2 associa a chave pública ao nome especificado como o nome da chave. Um nome de chave pode incluir até 255 caracteres ASCII. Não pode incluir espaços no início nem no final.

  5. Para o tipo de par de chaves, escolha RSA ou ED25519. Observe que não há suporte para chaves ED25519 para instâncias do Windows.

  6. Para Formato de arquivo de chave privada, escolha o formato no qual salvar a chave privada. Para salvar a chave privada em um formato que possa ser usado com o OpenSSH, escolha pem. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha ppk.

  7. Escolha Create key pair (Criar par de chaves).

  8. O arquivo de chave privada é baixado automaticamente pelo navegador. O nome do arquivo base é o nome especificado como o nome do par de chaves e a extensão do nome do arquivo é determinada pelo formato do arquivo escolhido. Salve o arquivo de chave privada em um lugar seguro.

    Importante

    Esta é a única chance de você salvar o arquivo de chave privada.

Para ter mais informações, consulte Pares de chaves do Amazon EC2 e instâncias do Amazon EC2.

Crie um grupo de segurança

Os grupos de segurança atuam como firewall para instâncias associadas, controlando o tráfego de entrada e de saída no nível da instância. Você deve adicionar regras a um grupo de segurança que permita a conexão com a instância em seu endereço IP usando RDP. Você também pode adicionar regras que permitam o acesso HTTP e HTTPS de entrada e saída de qualquer lugar.

Se planejar executar instâncias em várias Regiões da AWS, você precisará criar um grupo de segurança em cada região. Para obter mais informações sobre regiões, consulte A VPC abrange as zonas de disponibilidade e a zona Wavelength..

Pré-requisitos

Você precisará do endereço IPv4 público do computador local. O editor do grupo de segurança no console do Amazon EC2 pode detectar automaticamente o endereço IPv4 público para você. Como alternativa, é possível usar a frase de pesquisa "qual é meu endereço IP" em um navegador de Internet ou o serviço a seguir: Verificar IP. Caso esteja se conectando por meio de um Internet Service Provider (ISP – Provedor de serviços de Internet) ou atrás de um firewall sem um endereço IP estático, você precisa descobrir o intervalo de endereços IP usados por computadores cliente.

É possível criar um grupo de segurança personalizado usando um dos métodos a seguir.

Console
Para criar um security group com o menor privilégio

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. Na barra de navegação superior, selecione uma Região da AWS para o grupo de segurança. Os grupos de segurança são específicos para uma região, portanto, você deve selecionar a mesma região em que criou o par de chaves.

  3. No painel de navegação esquerdo, escolha Security Groups.

  4. Escolha Create security group (Criar grupo de segurança).

  5. Em Basic details (Detalhes básicos), faça o seguinte:

    1. Insira um nome para o novo security group e uma descrição. Escolha um nome que seja fácil de lembrar, como o nome de usuário, seguido por _SG_, mais o nome da região. Por exemplo, me_SG_uswest2.

    2. Na lista VPC selecione sua VPC padrão para a região.

  6. para oRegras de entradaCrie regras que permitem que um tráfego específico alcance sua instância. Por exemplo, use as seguintes regras para um servidor Web que aceite tráfego HTTP e HTTPS. Para obter mais exemplos, consulte Regras de grupo de segurança para diferentes casos de uso.

    1. Escolha Adicionar regra. Para Tipo, escolha HTTP. Em Origem, escolha Anywhere-IPv4 para permitir tráfego HTTP de entrada proveniente de qualquer endereço IPv4 ou Anywhere-IPv6 para permitir tráfego HTTP de entrada proveniente de qualquer endereço IPv6.

    2. Escolha Adicionar regra. Para Type, escolha HTTPS. Em Origem, escolha Anywhere-IPv4 para permitir tráfego HTTPS de entrada proveniente de qualquer endereço IPv4 ou Anywhere-IPv6 para permitir tráfego HTTPS de entrada proveniente de qualquer endereço IPv6.

    3. Escolha Add rule (Adicionar regra). Em Type (Tipo), escolha RDP. Em Source (Origem), siga um dos seguintes procedimentos:

      • Escolha My IP (Meu IP) para adicionar automaticamente o endereço IPv4 público do computador local.

      • Como alternativa, escolha Custom e especifique o endereço IPv4 público do computador ou da rede em notação CIDR. Para especificar um único endereço IP em notação CIDR, adicione o prefixo de roteamento /32, por exemplo, 203.0.113.25/32. Se sua empresa alocar endereços de um intervalo, especifique o intervalo inteiro, como 203.0.113.0/24.

      Atenção

      Por motivos de segurança, não escolha Anywhere-IPv4 ou Anywhere-IPv6 para Origem com uma regra para RDP. Isso permitiria o acesso à sua instância a partir de todos os endereços IP na Internet. Isso é aceitável por um período curto em um ambiente de teste, mas não é seguro em ambientes de produção.

  7. para oRegras de saídaManter a regra padrão, que permite todo o tráfego de saída.

  8. Escolha Create security group (Criar grupo de segurança).

AWS CLI

Quando você usa a AWS CLI para criar um grupo de segurança, uma regra de saída que permite todo o tráfego de saída é automaticamente adicionada ao grupo de segurança. Uma regra de entrada não é adicionada automaticamente; você precisa adicioná-la.

Nesse procedimento, você combinará os comandos create-security-group e authorize-security-group-ingress da AWS CLI para criar o grupo de segurança e adicionar a regra de entrada que permite o tráfego de entrada especificado. Uma alternativa ao procedimento a seguir é executar os comandos separadamente, primeiro criando um grupo de segurança e depois adicionando uma regra de entrada ao grupo de segurança.

Criar um grupo de segurança e adicionar uma regra de entrada ao grupo de segurança

Use os comandos create-security-groupauthorize-security-group-ingress da AWS CLI da seguinte forma:

aws ec2 authorize-security-group-ingress \
    --region us-west-2 \
    --group-id $(aws ec2 create-security-group \
        --group-name myname_SG_uswest2 \
        --description "Security group description" \
        --vpc-id vpc-12345678 \
        --output text \
        --region us-west-2) \
    --ip-permissions \
        IpProtocol=tcp,FromPort=80,ToPort=80,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTP from anywhere"}]' \
        IpProtocol=tcp,FromPort=443,ToPort=443,IpRanges='[{CidrIp=0.0.0.0/0,Description="HTTPS from anywhere"}]' \
        IpProtocol=tcp,FromPort=3389,ToPort=3389,IpRanges='[{CidrIp=172.31.0.0/16,Description="RDP from private network"}]' \
        IpProtocol=tcp,FromPort=3389,ToPort=3389,IpRanges='[{CidrIp=203.0.113.25/32,Description="RDP from public IP"}]'

Em:

  • --region: especifique a região na qual criar as regras de entrada.

  • --group-id: especifique o comando create-security-group e os seguintes parâmetros para criar o grupo de segurança:

    • --group-name: especifique um nome para o novo grupo de segurança. Use um nome que seja fácil de lembrar, como o nome de usuário, seguido de _SG_ mais o nome da região. Por exemplo, myname_SG_uswest2.

    • --description: especifique uma descrição que ajudará você a saber qual tráfego o grupo de segurança permite.

    • --vpc-id: especifique sua VPC padrão para a região.

    • --output: especifique text como formato de saída para o comando.

    • --region: especifique a região na qual criar o grupo de segurança. Deve ser a mesma região que você especificou para as regras de entrada.

  • --ip-permissions: especifique regras de entrada para adicionar ao grupo de segurança. As regras nesse exemplo são para um servidor Web que aceita tráfego HTTP e HTTPS de qualquer lugar e que aceita tráfego RDP de uma rede privada (se sua empresa ou seu roteador alocar endereços de um intervalo) e um endereço IP público especificado (como o endereço IPv4 público do seu computador ou rede em notação CIDR).

    Atenção

    Por motivos de segurança, não especifique 0.0.0.0/0 em CidrIp com uma regra para RDP. Isso permitiria o acesso à sua instância a partir de todos os endereços IP na Internet. Isso é aceitável por um período curto em um ambiente de teste, mas não é seguro em ambientes de produção.

PowerShell

Quando você usa a AWS Tools for Windows PowerShell para criar um grupo de segurança, uma regra de saída que permite todo o tráfego de saída é automaticamente adicionada ao grupo de segurança. Uma regra de entrada não é adicionada automaticamente; você precisa adicioná-la.

Nesse procedimento, você combinará os comandos New-EC2SecurityGroup e Grant-EC2SecurityGroupIngress da AWS Tools for Windows PowerShell para criar o grupo de segurança e adicionar a regra de entrada que permite o tráfego de entrada especificado. Uma alternativa ao procedimento a seguir é executar os comandos separadamente, primeiro criando um grupo de segurança e depois adicionando uma regra de entrada ao grupo de segurança.

Como criar um grupo de segurança

Use os comandos New-EC2SecurityGroup e Grant-EC2SecurityGroupIngress do AWS Tools for Windows PowerShell como a seguir.

Import-Module AWS.Tools.EC2
New-EC2SecurityGroup -GroupName myname_SG_uswest2 -Description 'Security group description' -VpcId vpc-12345678 -Region us-west-2 | `
    Grant-EC2SecurityGroupIngress `
    -GroupName $_ `
    -Region us-west-2 `
    -IpPermission @( 
        (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{
                IpProtocol = 'tcp'; 
                FromPort   = 80;
                ToPort     = 80;
                Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTP from anywhere'})
            }),
        (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{
                IpProtocol = 'tcp'; 
                FromPort   = 443;
                ToPort     = 443;
                Ipv4Ranges = @(@{CidrIp = '0.0.0.0/0'; Description = 'HTTPS from anywhere'})
            }),
        (New-Object -TypeName Amazon.EC2.Model.IpPermission -Property @{
                IpProtocol = 'tcp'; 
                FromPort   = 3389;
                ToPort     = 3389;
                Ipv4Ranges = @(
                    @{CidrIp = '172.31.0.0/16'; Description = 'RDP from private network'},
                    @{CidrIp = '203.0.113.25/32'; Description = 'RDP from public IP'}
                    )
            })
    )

Para o grupo de segurança:

  • -GroupName: especifique um nome para o novo grupo de segurança. Use um nome que seja fácil de lembrar, como o nome de usuário, seguido de _SG_ mais o nome da região. Por exemplo, myname_SG_uswest2.

  • -Description: especifique uma descrição que ajudará você a saber qual tráfego o grupo de segurança permite.

  • -VpcId: especifique sua VPC padrão para a região.

  • -Region: especifique a região na qual criar o grupo de segurança.

Para as regras de entrada:

  • -GroupName: especifique $_ para referenciar o grupo de segurança que você está criando.

  • -Region: especifique a região na qual criar as regras de entrada. Deve ser a mesma região que você especificou para o grupo de segurança.

  • -IpPermission: especifique regras de entrada para adicionar ao grupo de segurança. As regras nesse exemplo são para um servidor Web que aceita tráfego HTTP e HTTPS de qualquer lugar e que aceita tráfego RDP de uma rede privada (se sua empresa ou seu roteador alocarem endereços de um intervalo) e um endereço IP público especificado (como o endereço IPv4 público do seu computador ou rede em notação CIDR).

    Atenção

    Por motivos de segurança, não especifique 0.0.0.0/0 para CidrIp com uma regra para RDP. Isso permitiria o acesso à sua instância a partir de todos os endereços IP na Internet. Isso é aceitável por um período curto em um ambiente de teste, mas não é seguro em ambientes de produção.

Para ter mais informações, consulte Grupos de segurança do Amazon EC2 para instâncias do Windows.