Comment puis-je réinitialiser le mot de passe administrateur sur une instance EC2 Windows ?

Lecture de 8 minute(s)

Je souhaite réinitialiser le mot de passe administrateur de mon instance Amazon Elastic Compute Cloud (Amazon EC2) Windows.

Résolution

Vous pouvez utiliser AWS Systems Manager ou EC2Rescue pour Windows Server pour réinitialiser le mot de passe administrateur sur votre instance EC2 Windows.

Commande d'exécution AWSSupport-RunEC2RescueForWindowsTool de Systems Manager (méthode en ligne)

Conditions préalables :

Vous devez configurer Systems Manager pour votre compte AWS, puis installer l'agent Systems Manager sur l'instance. Pour en savoir plus, reportez-vous à Configuration d'AWS Systems Manager.
L'instance doit disposer d'un accès Internet (pour Systems Manager) à l'aide d'une adresse IP publique ou d'une NAT.
-ou-
L'instance doit utiliser un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) configuré pour Systems Manager.
Pour en savoir plus, reportez-vous aux concepts d'AWS PrivateLink.

Pour réinitialiser le mot de passe administrateur avec Systems Manager en utilisant la commande d'exécution, procédez comme suit :

1. Associez la politique suivante au rôle de gestion des identités et des accès AWS (AWS IAM), associé à l'instance pour écrire le mot de passe chiffré dans Parameter Store :

{  
  "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Effect": "Allow",  
      "Action": [  
        "ssm:PutParameter"  
      ],  
      "Resource": [  
        "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*"  
      ]  
    }  
  ]  
}

2. Ouvrez la console AWS Systems Manager, puis choisissez Commande d'exécution dans le volet de navigation.

3. Choisissez Exécuter une commande.

4. Pour Document de commande, choisissez AWSSupport-RunEC2RescueForWindowsTool.

5. Pour Paramètres de commande, vérifiez que Commande est défini sur ResetAccess.

6. Pour Cibles, choisissez Choisir les instances manuellement, puis sélectionnez votre instance.

7. Choisissez Exécuter.

8. Dans la section Cibles et sorties, sélectionnez l'ID d'instance de votre instance.

9. Choisissez Afficher la sortie pour obtenir des instructions sur comment récupérer le nouveau mot de passe.

10. Une fois que vous avez de nouveau accès à votre instance, une bonne pratique consiste à modifier le mot de passe, puis à supprimer le paramètre depuis Parameter Store.

Pour en savoir plus, reportez-vous à Utiliser EC2Rescue pour Windows Server avec la commande d'exécution de Systems Manager.

Réinitialiser les mots de passe sur les nœuds gérés (méthode en ligne)

Vous pouvez réinitialiser le mot de passe de n'importe quel utilisateur sur un nœud géré d'une instance Amazon EC2.

Pour des instructions détaillées, reportez-vous à Réinitialiser un mot de passe sur un nœud géré. Assurez-vous que vous remplissez toutes les conditions préalables avant d'utiliser cette méthode.

1. Ouvrez la console Systems Manager.

2. Dans le volet de navigation de gauche, choisissez Fleet Manager.

3. Sélectionnez le nœud qui nécessite l'obtention d'un nouveau mot de passe.

4. Dans le menu Actions de l'instance, choisissez Réinitialiser le mot de passe.

5. Dans le champ Nom d'utilisateur, entrez le nom de l'utilisateur pour lequel vous modifiez le mot de passe. Vous pouvez entrer n'importe quel nom d'utilisateur disposant d'un compte sur le nœud.

6. Choisissez Soumettre.

7. Suivez les instructions de la fenêtre de commande Entrer un nouveau mot de passe pour spécifier le nouveau mot de passe.

Systems Manager Automation AWSSupport-ResetAccess (méthode hors ligne)

Avertissement : Avant d'exécuter l'automatisation, notez les points suivants :

Si vous n'utilisez pas d'adresse IP Elastic, l'adresse IP publique est libérée une fois que vous arrêtez l'instance.
Si cette instance possède un volume de stockage d'instances, toutes les données sur ce stockage sont perdues lorsque l'instance s'arrête.
Si le comportement d'arrêt de l'instance est défini sur Résilier, l'instance est résiliée lorsqu'elle s'arrête.
Si l'instance fait partie d'un groupe Auto Scaling, commencez par la dissocier du groupe Auto Scaling. Après avoir arrêté et démarré l'instance, associez à nouveau l'instance au groupe Auto Scaling.

Pour en savoir plus, reportez-vous à Arrêter et démarrer votre instance.

AWSSupport-ResetAccess est un document de Systems Manager Automation qui automatise la réinitialisation du mot de passe hors ligne d'EC2Rescue à l'aide d'AWS CloudFormation et des fonctions AWS Lambda. Le document d'automatisation effectue les opérations suivantes :

création d'une instance pour faciliter la restauration dans votre zone de disponibilité.
association et dissociation des volumes Amazon Elastic Block Store (Amazon EBS).
exécution de l'utilitaire EC2Rescue.
création d'un Amazon VPC pour EC2Rescue isolé de votre environnement.
création d'une AMI de sauvegarde de l'instance.

Vous pouvez utiliser le document AWSSupport-ResetAccess dans les cas suivants :

vous avez perdu votre paire de clés EC2. Vous souhaitez à présent créer une AMI activée par mot de passe à partir de votre instance EC2 afin de lancer une nouvelle instance avec une paire de clés existante.
Vous avez perdu votre mot de passe d'administrateur local. Vous souhaitez à présent générer un nouveau mot de passe que vous pouvez déchiffrer avec la paire de clés EC2 actuelle.

Important : vous ne pouvez pas utiliser le document AWSSupport-ResetAccess avec des volumes EBS racines chiffrés.

1. Ouvrez la console Systems Manager, puis choisissez Automatisation dans le volet de navigation.

2. Sélectionnez Exécuter l'automatisation.

3. Pour Document d'automatisation, choisissez AWSSupport-ResetAccess, puis Suivant.

4. Dans le champ Paramètres d'entrée, entrez l'InstanceID de votre instance EC2.

5. Choisissez Exécuter.

6. Patientez jusqu'à ce que l'état passe à Succès. Cette opération peut durer jusqu'à 25 minutes.

Remarque : sur la page Informations sur l'exécution, affichez Étapes exécutées pour suivre leur progression. Déroulez Résultats pour afficher les résultats de l'automatisation. Pour revenir à cette page, ouvrez la console Systems Manager, puis choisissez Automation dans le volet de navigation. Sélectionnez l'automatisation en cours d'exécution, puis choisissez Afficher les détails.

7. Utilisez votre paire de clés existante pour décoder le nouveau mot de passe généré à partir de la console EC2. Pour en savoir plus, reportez-vous à Comment récupérer mon mot de passe administrateur Windows après avoir lancé une instance ?

Si vous avez perdu votre paire de clés EC2

1. Arrêtez votre instance.

Avertissement : avant d'arrêter une instance, notez les points suivants :

Si vous n'utilisez pas une adresse IP Elastic, l'adresse IP publique est alors libérée une fois que vous arrêtez l'instance.
Si cette instance possède un volume de stockage d'instances, toutes les données sur ce stockage sont perdues lorsque l'instance s'arrête.
Si le comportement d'arrêt de l'instance est défini sur Résilier, l'instance est résiliée lorsqu'elle s'arrête.
Si l'instance fait partie d'un groupe Auto Scaling, commencez par la dissocier du groupe Auto Scaling. Après avoir arrêté et démarré l'instance, associez à nouveau l'instance au groupe Auto Scaling.

Pour en savoir plus, reportez-vous à Arrêter et démarrer votre instance.

2. Ouvrez la console Amazon EC2, puis choisissez AMI.

3. Recherchez l'ID de votre instance.

4. Sélectionnez l'AMI nommée AWSSupport-EC2Rescue-Post-Script-Backup-i-xxxxxxxxx_Date, puis choisissez Lancer.

5. Suivez l'assistant de lancement pour spécifier la configuration de votre instance, puis sélectionnez une paire de clés que vous possédez.

6. Vérifiez que vous pouvez vous connecter à la nouvelle instance et que vos applications fonctionnent comme prévu avant de résilier l'autre instance.

EC2Rescue (méthode hors ligne ou en ligne)

Pour réinitialiser le mot de passe administrateur lors du prochain démarrage de l'instance à l'aide d'EC2Rescue, procédez comme suit :

1. Créez une instance d'assistance temporaire située dans la même zone de disponibilité que l'instance pour laquelle vous souhaitez réinitialiser le mot de passe. Vous pouvez également utiliser une instance avec accès RDP située dans la même zone de disponibilité.

2. Faites un instantané ou créez une sauvegarde d'AMI de l'instance qui nécessite la réinitialisation du mot de passe.

3. Arrêtez l'instance qui nécessite la réinitialisation du mot de passe.

4. Dissociez le volume racine de l'instance qui nécessite la réinitialisation du mot de passe.

5. Associez le volume racine qui a été dissocié à l'étape 4 à l'instance d'assistance temporaire mentionnée à l'étape 1.

6. Téléchargez EC2Rescue et extrayez le fichier zip en lançant l'exécutable EC2Rescue.

7. Exécutez l'utilitaire EC2Rescue. Choisissez Instance hors connexion et sélectionnez le volume EBS racine que vous avez associé à l'instance d'assistance temporaire.

8. Choisissez Diagnostic et secours. Dans Détecter les problèmes possibles, cochez la case Ec2SetPassword, puis cliquez sur Suivant.

9. Exécutez l'assistant de lancement EC2Rescue, puis associez le volume EBS racine à l'instance d'origine pour vérifier le nouveau mot de passe.

Pour en savoir plus, reportez-vous à Comment puis-je utiliser EC2Rescue pour résoudre les problèmes liés à mon instance Amazon EC2 Windows ?