Configura l'accesso alla console EC2 seriale - Amazon Elastic Compute Cloud
Livelli di accessoGestisci l'accesso all'accountConfigura le politiche IAMImposta una password utente del sistema operativo su un'istanza Linux

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura l'accesso alla console EC2 seriale

Per configurare l'accesso alla console seriale, è necessario concedere l'accesso alla console a livello di account e quindi configurare le policy IAM per concedere l'accesso agli utenti. Per le istanze Linux è inoltre necessario configurare un utente con password su ogni istanza in modo che gli utenti possano utilizzare la console seriale per la risoluzione dei problemi.

Prima di iniziare, assicurati di controllare ilprerequisiti.

Livelli di accesso alla console EC2 seriale

Per impostazione predefinita, non è possibile accedere alla console seriale a livello di account. L'accesso alla console seriale a livello di account va concesso esplicitamente. Per ulteriori informazioni, consulta Gestisci l'accesso dell'account alla console seriale EC2 .

È possibile utilizzare una policy di controllo dei servizi (SCP) per consentire l'accesso alla console seriale all'interno dell'organizzazione. È quindi possibile avere un controllo di accesso granulare a livello utente utilizzando una policy IAM per il controllo dell'accesso. Utilizzando una combinazione di policy SCP e IAM, si avranno diversi livelli di controllo dell'accesso alla console seriale.

Livello di organizzazione

È possibile utilizzare una policy di controllo dei servizi (SCP) per consentire l'accesso alla console seriale per gli account membri all'interno dell'organizzazione. Per ulteriori informazioni in merito SCPs, consulta le politiche di controllo del servizio nella Guida AWS Organizations per l'utente.

Livello di istanza

È possibile configurare le politiche di accesso alla console seriale utilizzando IAM PrincipalTag e ResourceTag le costruzioni e specificando le istanze in base al loro ID. Per ulteriori informazioni, consulta Configura le politiche IAM per l'accesso alla console EC2 seriale.

Livello utente

È possibile configurare l'accesso a livello di utente configurando una policy IAM per consentire o negare a un utente specificato l'autorizzazione per eseguire il push della chiave pubblica SSH al servizio della console seriale di una determinata istanza. Per ulteriori informazioni, consulta Configura le politiche IAM per l'accesso alla console EC2 seriale.

Livello di sistema operativo (solo istanze Linux)

È possibile impostare una password utente a livello del sistema operativo guest. In questo modo è possibile accedere alla console seriale per alcuni casi d'uso. Tuttavia, per monitorare i log, non è necessario un utente con password. Per ulteriori informazioni, consulta Imposta una password utente del sistema operativo su un'istanza Linux.

Gestisci l'accesso dell'account alla console seriale EC2

Per impostazione predefinita, non è possibile accedere alla console seriale a livello di account. L'accesso alla console seriale a livello di account va concesso esplicitamente.

Nota

Questa impostazione è configurata a livello di account, direttamente nell'account o utilizzando una policy dichiarativa. Deve essere configurato in ogni Regione AWS punto in cui si desidera concedere l'accesso alla console seriale. L'utilizzo di una policy dichiarativa consente di applicare l'impostazione contemporaneamente su più regioni, nonché su più account. Quando viene utilizzata una policy dichiarativa, non è possibile modificare l'impostazione direttamente all'interno di un account. Questo argomento illustra la modalità di configurazione dell'impostazione direttamente all'interno di un account. Per informazioni sull'utilizzo delle policy dichiarative, consulta Policy dichiarative nella Guida per l'utente di AWS Organizations .

Concessione dell'autorizzazione agli utenti per gestire l'accesso con account

Per consentire agli utenti di gestire l'accesso dell'account alla console EC2 seriale, è necessario concedere loro le autorizzazioni IAM richieste.

La seguente politica concede le autorizzazioni per visualizzare lo stato dell'account e per consentire e impedire l'accesso dell'account alla EC2 console seriale.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetSerialConsoleAccessStatus",
                "ec2:EnableSerialConsoleAccess",
                "ec2:DisableSerialConsoleAccess"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni, consulta Creazione di policy IAM nella Guida per l'utente di IAM.

Visualizzazione dello stato di accesso account alla console seriale

Console
Per visualizzare l'accesso dell'account alla console seriale

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione a sinistra, scegli EC2 Dashboard.

  3. Da Attributi dell'account, scegli EC2 Serial Console.

  4. Nella scheda Console EC2 seriale, il valore dell'accesso alla console EC2 seriale è Consentito o Impedito.

AWS CLI
Per visualizzare l'accesso dell'account alla console seriale

Usa il comando get-serial-console-access-status.

aws ec2 get-serial-console-access-status

Di seguito è riportato un output di esempio. Il valore di true indica che all'account è consentito l'accesso alla console seriale.

{
    "SerialConsoleAccessEnabled": true,
    "ManagedBy": "account"
}

Il campo ManagedBy indica l'entità che ha configurato l'impostazione. I valori possibili sono account (configurati direttamente) odeclarative-policy. Per ulteriori informazioni, consulta Policy dichiarative nella Guida per l'utente di AWS Organizations .

PowerShell
Per visualizzare l'accesso dell'account alla console seriale

Utilizzare il Get-EC2SerialConsoleAccessStatuscmdlet.

Get-EC2SerialConsoleAccessStatus -Select *

Di seguito è riportato un output di esempio. Il valore di True indica che all'account è consentito l'accesso alla console seriale.

ManagedBy SerialConsoleAccessEnabled
--------- --------------------------
account   True

Il campo ManagedBy indica l'entità che ha configurato l'impostazione. I valori possibili sono account (configurati direttamente) odeclarative-policy. Per ulteriori informazioni, consulta Policy dichiarative nella Guida per l'utente di AWS Organizations .

Concessione dell'accesso con account alla console seriale

Console
Per concedere all'account l'accesso alla console seriale

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione a sinistra, scegli EC2 Dashboard.

  3. Da Attributi dell'account, scegli EC2 Serial Console.

  4. Scegli Gestisci.

  5. Per consentire l'accesso alla console EC2 seriale di tutte le istanze dell'account, seleziona la casella di controllo Consenti.

  6. Scegli Aggiorna.

AWS CLI
Per concedere all'account l'accesso alla console seriale

Utilizza il comando enable-serial-console-access.

aws ec2 enable-serial-console-access

Di seguito è riportato un output di esempio.

{
    "SerialConsoleAccessEnabled": true
}
PowerShell
Per concedere l'accesso dell'account alla console seriale

Utilizzare il Enable-EC2SerialConsoleAccesscmdlet.

Enable-EC2SerialConsoleAccess

Di seguito è riportato un output di esempio.

True

Negare l'accesso con account alla console seriale

Console
Per negare l'accesso dell'account alla console seriale

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione a sinistra, scegli EC2 Dashboard.

  3. Da Attributi dell'account, scegli EC2 Serial Console.

  4. Scegli Gestisci.

  5. Per impedire l'accesso alla console EC2 seriale di tutte le istanze dell'account, deseleziona la casella di controllo Consenti.

  6. Scegli Aggiorna.

AWS CLI
Per negare l'accesso dell'account alla console seriale

Utilizza il comando disable-serial-console-access.

aws ec2 disable-serial-console-access

Di seguito è riportato un output di esempio.

{
    "SerialConsoleAccessEnabled": false
}
PowerShell
Per negare l'accesso dell'account alla console seriale

Utilizzare il Disable-EC2SerialConsoleAccesscmdlet.

Disable-EC2SerialConsoleAccess

Di seguito è riportato un output di esempio.

False

Configura le politiche IAM per l'accesso alla console EC2 seriale

Per impostazione predefinita, gli utenti non hanno accesso alla console seriale. L'organizzazione deve configurare le policy IAM per concedere agli utenti di accedere. Per ulteriori informazioni, consulta Creazione di policy IAM nella Guida per l'utente di IAM.

Per l'accesso alla console seriale, crea un documento di policy JSON che includa l'operazione ec2-instance-connect:SendSerialConsoleSSHPublicKey. Questa operazione concede a un utente l'autorizzazione per eseguire il push della chiave pubblica al servizio della console seriale, che avvia una sessione della console. Consigliamo di limitare l'accesso a EC2 istanze specifiche. Altrimenti, tutti gli utenti con questa autorizzazione possono connettersi alla console seriale di tutte le EC2 istanze.

Consenti esplicitamente l'accesso alla console seriale

Per impostazione predefinita, nessuno ha accesso alla console seriale. Per concedere l'accesso alla console seriale, è necessario configurare una policy in modo da consentirlo esplicitamente. Si consiglia di configurare una policy che limiti l'accesso a istanze specifiche.

La seguente policy consente di accedere alla console seriale di un'istanza specifica, identificata dal relativo ID istanza.

Tieni presente che le operazioni DescribeInstances, DescribeInstanceTypes e GetSerialConsoleAccessStatus non supportano le autorizzazioni a livello di risorsa e pertanto tutte le risorse contrassegnate da * (asterisco) devono essere specificate per queste operazioni.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeInstances",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
             "Resource": "*"
        },
        {
            "Sid": "AllowinstanceBasedSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7"
        }
    ]
}

Negare esplicitamente l'accesso alla console seriale

La seguente policy IAM consente l'accesso alla console seriale di tutte le istanze, indicata con * (asterisco), e nega esplicitamente l'accesso alla console seriale di un'istanza specifica, identificata dal relativo ID.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DenySerialConsoleAccess",
            "Effect": "Deny",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7"
        }
    ]
}

Utilizzo di tag di risorse per controllare l'accesso alla console seriale

È possibile utilizzare i tag delle risorse per controllare l'accesso alla console seriale di un'istanza.

Il controllo degli accessi basato sugli attributi è una strategia di autorizzazione che definisce le autorizzazioni in base a tag che possono essere allegati a utenti e risorse. AWS Ad esempio, la policy seguente consente a un utente di avviare una connessione alla console seriale per un'istanza solo se il tag risorsa dell'istanza e il tag dell'entità hanno lo stesso valore SerialConsole per la chiave di tag.

Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle AWS risorse, consulta Controlling access to AWS resources nella IAM User Guide.

Tieni presente che le operazioni DescribeInstances, DescribeInstanceTypes e GetSerialConsoleAccessStatus non supportano le autorizzazioni a livello di risorsa e pertanto tutte le risorse contrassegnate da * (asterisco) devono essere specificate per queste operazioni.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeInstances",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowTagBasedSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/SerialConsole": "${aws:PrincipalTag/SerialConsole}"
                }
            }
        }
    ]
}

Imposta una password utente del sistema operativo su un'istanza Linux

Nota

Questa sezione si applica solo alle istanze Linux.

È possibile connettersi alla console seriale senza utilizzare una password. Tuttavia, per utilizzare la console seriale per la risoluzione dei problemi di un'istanza Linux, è necessario che l'istanza disponga di un utente del sistema operativo basato su password.

È possibile impostare la password per qualsiasi utente del sistema operativo, incluso l'utente root. Tieni presente che l'utente root può modificare tutti i file, mentre ogni utente del sistema operativo potrebbe avere autorizzazioni limitate.

È necessario impostare una password utente per ogni istanza per la quale si utilizzerà la console seriale. Si tratta di una procedura da eseguire una volta sola per ciascuna istanza.

Nota

Le seguenti istruzioni sono applicabili solo se l'istanza è stata avviata utilizzando un'AMI Linux fornita da AWS perché, per impostazione predefinita, AMIs fornita da AWS non è configurata con un utente basato su password. Se l'istanza è stata avviata utilizzando un'AMI che dispone già della password utente root configurata, è possibile ignorare queste istruzioni.

Per impostare una password utente del sistema operativo su un'istanza Linux

  1. Connettiti alla tua istanza. Puoi utilizzare qualsiasi metodo per connetterti all'istanza, ad eccezione del metodo di connessione alla console EC2 seriale.

  2. Per impostare la password per un utente, utilizza il comando passwd. Nell'esempio seguente, l'utente è root.

    [ec2-user ~]$ sudo passwd root

    Di seguito è riportato un output di esempio.

    Changing password for user root.
New password:

  3. Al prompt di New password, specifica la nuova password.

  4. Al prompt, immetti di nuovo la password.