Comment réinitialiser le mot de passe administrateur sur une instance EC2 Windows ?

Résolution

Commande d'exécution AWSSupport-RunEC2RescueForWindowsTool de Systems Manager (méthode en ligne)

Prérequis :

• Vous devez configurer AWS Systems Manager, puis installer l'agent Systems Manager sur l'instance. Pour plus d’informations, consultez la section Configuration d'AWS Systems Manager.
• L'instance doit avoir accès à Internet et utiliser une adresse IP publique ou une passerelle NAT.
  -ou-
  L'instance doit utiliser un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) configuré pour Systems Manager.
  Pour plus d’informations, consultez la section Concepts d'AWS PrivateLink.

Pour utiliser la commande d'exécution de Systems Manager afin de réinitialiser le mot de passe administrateur, procédez comme suit :

1. Attachez la politique suivante au rôle Gestion des identités et des accès AWS (AWS IAM) associé à l'instance :

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:PutParameter"
               ],
               "Resource": [
                   "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*"
               ]
           }
       ]
   }
   

   Cette politique écrit le mot de passe chiffré dans Parameter Store.

2. Ouvrez la console Systems Manager.

3. Dans le volet de navigation, choisissez Exécuter la commande.

4. Choisissez Exécuter une commande.

5. Dans Document de commande, choisissez AWSSupport-RunEC2RescueForWindowsTool.

6. Dans Paramètres de commande, vérifiez que Commande est défini sur ResetAccess.

7. Dans Cibles, choisissez Choisir les instances manuellement, puis sélectionnez votre instance.

8. Sélectionnez Exécuter.

9. Dans la section Cibles et sorties, sélectionnez l'ID d'instance de votre instance.

10. Choisissez Afficher la sortie pour obtenir des instructions sur comment récupérer le nouveau mot de passe.

Remarque : Une fois que vous avez de nouveau accès à votre instance, une bonne pratique consiste à alterner le mot de passe, puis à supprimer le paramètre depuis Parameter Store.

Pour plus d'informations, consultez la section Résoudre les problèmes liés à une instance Windows défaillante avec EC2Rescue et Systems Manager.

Systems Manager Automation avec AWSSupport-ResetAccess (méthode hors ligne)

Important : Avant d'exécuter l'automatisation, vérifiez les informations suivantes :

• Si vous n'utilisez pas d'adresse IP Elastic, l'adresse IP publique est libérée lorsque vous arrêtez l'instance.
• Si l’instance utilise un volume de stockage d'instances, toutes les données sur ce stockage sont perdues lorsque l'instance s'arrête.
• Si le comportement d'arrêt de l'instance est défini sur Résilier, l'instance est résiliée lorsqu'elle s'arrête.
• Si l'instance fait partie d'un groupe Auto Scaling, commencez par la détacher du groupe Auto Scaling. Puis, après avoir arrêté et démarré l'instance, attachez à nouveau l'instance au groupe Auto Scaling.

AWSSupport-ResetAccess est un document de Systems Manager Automation qui utilise les fonctions AWS CloudFormation et AWS Lambda pour automatiser la réinitialisation du mot de passe hors ligne. Le document d'automatisation effectue les opérations suivantes :

• Création d'une instance pour faciliter la restauration dans votre zone de disponibilité.
• Attachement et détachement des volumes Amazon Elastic Block Store (Amazon EBS).
• Exécution de l'outil EC2Rescue.
• Création d’un Amazon VPC pour EC2Rescue isolé de votre environnement.
• Création d’une Amazon Machine Image (AMI) de sauvegarde de l'instance.

Vous pouvez utiliser le document AWSSupport-ResetAccess dans les cas suivants :

• Vous avez perdu votre paire de clés Amazon EC2. Vous souhaitez créer une AMI activée par mot de passe à partir de votre instance EC2 afin de lancer une nouvelle instance avec une paire de clés existante.
• Vous avez perdu votre mot de passe d'administrateur local. Vous souhaitez générer un nouveau mot de passe que vous pouvez déchiffrer avec la paire de clés Amazon EC2 actuelle.

Important : Vous ne pouvez pas utiliser le document AWSSupport-ResetAccess avec des volumes Amazon EBS racines chiffrés.
Pour utiliser AWSSupport-ResetAccess afin de réinitialiser votre mot de passe, procédez comme suit :

1. Ouvrez la console Systems Manager.
2. Dans le volet de navigation, sélectionnez Automatisation.
3. Sélectionnez Exécuter l'automatisation.
4. Dans Document d'automatisation, choisissez AWSSupport-ResetAccess, puis Suivant.
5. Dans Paramètres d'entrée, saisissez l'InstanceID de votre instance EC2.
6. Sélectionnez Exécuter.
7. Patientez jusqu'à ce que l'état passe à Succès. Cette opération peut durer jusqu'à 25 minutes.
   Remarque : Sur la page Informations sur l'exécution, affichez Étapes exécutées pour suivre leur progression. Déroulez Résultats pour afficher les résultats de l'automatisation. Pour revenir à cette page, ouvrez la console Systems Manager, puis choisissez Automation dans le volet de navigation. Sélectionnez l'automatisation en cours d'exécution, puis choisissez Afficher les détails.
8. Utilisez votre paire de clés existante pour décoder le nouveau mot de passe généré à partir de la console Amazon EC2. Pour en savoir plus, consultez la section Comment récupérer mon mot de passe administrateur Windows après avoir lancé une instance EC2 ?

Paire de clés Amazon EC2 perdue

Si vous perdez votre paire de clés Amazon EC2, procédez comme suit :

1. Arrêtez votre instance.
2. Ouvrez la console Amazon EC2, puis choisissez AMI.
3. Recherchez l'ID de votre instance.
4. Sélectionnez l'AMI nommée AWSSupport-EC2Rescue-Post-Script-Backup-i-#########_Date, puis choisissez Lancer.
5. Suivez l'assistant de lancement pour spécifier la configuration de votre instance, puis sélectionnez une paire de clés dont vous êtes propriétaire.
6. Vérifiez que vous pouvez vous connecter à la nouvelle instance et que vos applications fonctionnent comme prévu avant de résilier l'autre instance.

EC2Rescue (méthode hors ligne ou en ligne)

Pour utiliser EC2Rescue afin de réinitialiser le mot de passe de l'administrateur au prochain démarrage de l'instance, procédez comme suit :

1. Créez une instance d'assistance temporaire située dans la même zone de disponibilité que l'instance pour laquelle vous souhaitez réinitialiser le mot de passe. Vous pouvez également utiliser une instance dotée d'un accès RDP (Remote Desktop Protocol) qui se trouve dans la même zone de disponibilité.
2. Prenez un instantané ou créez une sauvegarde d'AMI de l'instance qui nécessite la réinitialisation du mot de passe.
3. Arrêtez l'instance qui nécessite la réinitialisation du mot de passe.
4. Détachez le volume racine de l'instance qui nécessite la réinitialisation du mot de passe.
5. Attachez le volume racine de l'étape 4 à l'instance d'assistance temporaire de l'étape 1.
6. Téléchargez EC2Rescue et extrayez le fichier zip en lançant l'exécutable EC2Rescue.
7. Exécutez l'outil EC2Rescue. Choisissez Instance hors connexion, puis sélectionnez le volume EBS racine que vous avez attaché à l'instance d'assistance temporaire.
8. Choisissez Diagnostic et secours. Dans Détecter les problèmes possibles, cochez la case Ec2SetPassword, puis cliquez sur Suivant.
9. Exécutez l'assistant de lancement d'EC2Rescue. Puis, rattachez le volume EBS racine à l'instance d'origine pour vérifier le nouveau mot de passe.

Pour en savoir plus, consultez la section Comment utiliser EC2Rescue pour résoudre les problèmes dans mon instance Amazon EC2 Windows ?

Nœuds gérés (méthode en ligne)

Vous pouvez réinitialiser le mot de passe de n'importe quel utilisateur sur un nœud géré d'une instance Amazon EC2. Assurez-vous de remplir tous les prérequis avant d'utiliser cette option :

1. Ouvrez la console Systems Manager.

2. Dans le volet de navigation, choisissez Fleet Manager.

3. Sélectionnez le nœud qui nécessite l'obtention d'un nouveau mot de passe.

4. Dans le menu Actions de nœud, sélectionnez Paramètres du nœud. Puis, choisissez Réinitialiser le mot de passe utilisateur du nœud.
   Remarque : Le chiffrement est obligatoire pour utiliser la fonctionnalité de réinitialisation du mot de passe. Configurez la clé AWS Key Management Service (AWS KMS) sur la page Préférences du gestionnaire de session.

5. Attachez la politique suivante au rôle IAM associé à l'instance pour effectuer le déchiffrement :

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AllowKMSDecrypt",
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:REGION:AccountID:key/KeyId"
           }
       ]
   }

   Le profil d'instance ou le rôle IAM attaché à l'instance doit disposer de l'autorisation kms:Decrypt pour la clé que vous avez spécifiée lors de la configuration du chiffrement pour Session Manager.

6. Dans Nom d'utilisateur, sélectionnez un nom d'utilisateur dans la liste ou saisissez le nom de l'utilisateur dont vous souhaitez modifier le mot de passe. Vous pouvez saisir n'importe quel nom d'utilisateur disposant d'un compte sur le nœud.

7. Sélectionnez Soumettre.

8. Suivez les instructions de la fenêtre de commande Saisir un nouveau mot de passe pour spécifier le nouveau mot de passe.

Informations connexes

Gestion des identités et des accès pour Amazon EC2

Résoudre les problèmes liés aux instances Windows Amazon EC2

Résoudre les problèmes liés à une instance Windows Amazon EC2 défaillante à l'aide d'EC2Rescue

Exécuter l'outil EC2Rescue sur des instances inaccessibles