Come posso reimpostare la password dell'amministratore in un'istanza EC2 Windows?

Risoluzione

Esegui comando di Systems Manager AWSSupport-RunEC2RescueForWindowsTool (metodo online)

Prerequisiti:

• Devi configurare AWS Systems Manager, quindi installare l'agente Systems Manager nell'istanza. Per ulteriori informazioni, consulta Configurazione di AWS Systems Manager.
• L'istanza deve avere accesso a Internet e utilizzare un indirizzo IP pubblico o un gateway NAT.
  -oppure-
  L'istanza deve utilizzare un endpoint Amazon Virtual Private Cloud (Amazon VPC) configurato per Systems Manager.
  Per ulteriori informazioni, consulta Concetti di AWS PrivateLink.

Per reimpostare la password dell'amministratore utilizzando Esegui comando di Systems Manager, completa i seguenti passaggi:

1. Collega la seguente policy al ruolo AWS Identity and Access Management (AWS IAM) associato all'istanza:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:PutParameter"
               ],
               "Resource": [
                   "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*"
               ]
           }
       ]
   }
   

   Questa policy scrive la password crittografata in Archivio dei parametri.

2. Apri la console Systems Manager.

3. Nel pannello di navigazione, scegli Esegui comando.

4. Scegli Esegui un comando.

5. Per Documento sui comandi, scegli AWSSupport-RunEC2RescueForWindowsTool.

6. Per Parametri di comando, verifica cheComando sia impostato suResetAccess.

7. Per Target, seleziona Scegli istanze manualmente, quindi scegli l'istanza.

8. Scegli Esegui.

9. Nella sezione Destinazioni e output, seleziona ID istanza per l'istanza.

10. Scegli Visualizza output per istruzioni sul recupero della nuova password.

Nota: dopo aver riottenuto l'accesso all'istanza, è consigliabile ruotare la password e successivamente eliminare il parametro da Archivio dei parametri.

Per ulteriori informazioni, consulta Risolvi i problemi relativi alle istanze di Windows danneggiate con EC2 Rescue e Systems Manager.

Automazione di Systems Manager AWSSupport-ResetAccess (metodo offline)

Importante: prima di eseguire l'automazione, rivedi le seguenti informazioni:

• Se non utilizzi un indirizzo IP elastico, quando arresti l'istanza l'indirizzo IP pubblico viene rilasciato.
• Se l'istanza ha un volume di archivio dell'istanza, tutti i dati presenti vengono persi quando l'istanza si arresta.
• Se il comportamento di arresto dell'istanza è impostato su Termina, l'istanza viene terminata quando si arresta.
• Se l'istanza fa parte di un gruppo Auto Scaling, prima di tutto scollega l'istanza dal gruppo Auto Scaling. Quindi, dopo aver interrotto e avviato l'istanza, ricollega l'istanza al gruppo Auto Scaling.

AWSSupport-ResetAccess è un documento di Automazione di Systems Manager che utilizza le funzioni AWS CloudFormation e AWS Lambda per automatizzare la reimpostazione offline della password di EC2Rescue. Il documento di automazione esegue queste operazioni:

• Crea un'istanza per facilitare il ripristino nella tua zona di disponibilità.
• Collega e scollega i volumi Amazon Elastic Block Store (Amazon EBS).
• Esegue lo strumento EC2Rescue.
• Crea un Amazon VPC per EC2Rescue isolato dall'ambiente.
• Crea un'Amazon Machine Image (AMI) di backup dell'istanza.

Puoi utilizzare il documento AWSSupport-ResetAccess nelle seguenti situazioni:

• Hai perso la coppia di chiavi Amazon EC2. Vuoi creare un'AMI attivata con password dall'istanza EC2 per avviare una nuova istanza con una coppia di chiavi esistente.
• Hai perso la password dell'amministratore locale. Vuoi generare una nuova password che puoi decrittografare con l'attuale coppia di chiavi EC2.

Importante: non puoi utilizzare il documento AWSSupport-ResetAccess con volumi Amazon EBS principali crittografati.
Per reimpostare la password utilizzando AWSSupport-ResetAccess, completa i seguenti passaggi:

1. Apri la console Systems Manager.
2. Nel riquadro di navigazione, scegli Automazione.
3. Scegli Esegui automazione.
4. Per Documento di automazione, scegli AWSSupport-ResetAccess, quindi seleziona Avanti.
5. Per Parametri di input, inserisci il valore InstanceID dell'istanza EC2.
6. Scegli Esegui.
7. Attendi che lo stato passi a Riuscito. Questa operazione può richiedere fino a 25 minuti.
   Nota: nella pagina dei dettagli dell'esecuzione, visualizza Passaggi eseguiti per monitorare l'avanzamento. Espandi Output per visualizzare l'output dell'automazione. Per tornare a questa pagina, apri la console di Systems Manager e scegli Automazione dal pannello di navigazione. Seleziona l'automazione in esecuzione, quindi scegli Visualizza dettagli.
8. Utilizza la coppia di chiavi esistente per decodificare la password appena generata dalla console Amazon EC2. Per ulteriori informazioni, consulta Come posso recuperare la mia password amministratore di Windows dopo aver avviato un'istanza EC2?

Coppia di chiavi Amazon EC2 persa

Se perdi la coppia di chiavi Amazon EC2, completa i seguenti passaggi:

1. Arresta l'istanza.
2. Apri la console Amazon EC2, quindi scegli AMI.
3. Individua l'ID della tua istanza.
4. Seleziona l'AMI denominata AWSSupport-EC2Rescue-Post-Script-Backup-i-#########_Date, quindi scegli Avvia.
5. Segui la procedura guidata di avvio per specificare la configurazione dell'istanza, quindi seleziona una coppia di chiavi di tua proprietà.
6. Verifica di poterti connettere alla nuova istanza e che le applicazioni funzionino come previsto prima di terminare l'altra istanza.

EC2Rescue (metodo offline o online)

Per utilizzare EC2Rescue per reimpostare la password dell'amministratore al successivo avvio dell'istanza, completa i seguenti passaggi:

1. Crea un'istanza di supporto temporanea nella stessa zona di disponibilità dell'istanza per cui desideri reimpostare la password. In alternativa, puoi utilizzare un'istanza con accesso RDP (Remote Desktop Protocol) che si trova nella stessa zona di disponibilità.
2. Esegui uno snapshot o crea un backup AMI dell'istanza che richiede una nuova password.
3. Arresta l'istanza che richiede una nuova password.
4. Scollega il volume principale dall'istanza che richiede una nuova password.
5. Collega il volume principale del passaggio 4 all'istanza di supporto temporanea del passaggio 1.
6. Scarica EC2rescue ed estrai il file zip eseguendo il file eseguibile EC2rescue.
7. Esegui lo strumento EC2Rescue. Scegli Offline Instance (Istanza offline), quindi seleziona il volume EBS principale che hai collegato all'istanza di supporto temporanea.
8. Scegli Diagnose and Rescue (Esegui diagnostica e recupero). In Detect possible issues (Rileva possibili problemi), seleziona la casella di controllo Ec2SetPassword quindi scegli Next (Avanti).
9. Completa la procedura guidata di avvio di EC2Rescue. Quindi ricollega il volume EBS principale all'istanza originale per verificare la nuova password.

Per ulteriori informazioni, consulta Come posso usare EC2Rescue per risolvere i problemi della mia istanza Amazon EC2 per Windows?

Nodi gestiti (metodo online)

Puoi reimpostare la password per qualsiasi utente su un nodo gestito di un'istanza EC2. Assicurati di soddisfare tutti i prerequisiti prima di utilizzare questa opzione:

1. Apri la console Systems Manager.

2. Nel pannello di navigazione, scegli Fleet Manager.

3. Seleziona il nodo che richiede una nuova password.

4. Nel menu Operazioni dei nodi, seleziona Impostazioni dei nodi. Quindi scegli Reimposta la password utente del nodo.
   Nota: la crittografia è obbligatoria per utilizzare la funzionalità Reimposta password. Configura la chiave del Servizio AWS di gestione delle chiavi (AWS KMS) nella pagina delle preferenze di Gestione sessione.

5. Collega la seguente policy al ruolo IAM associato all'istanza per eseguire la decrittografia:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AllowKMSDecrypt",
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:REGION:AccountID:key/KeyId"
           }
       ]
   }

   Il profilo dell'istanza o il ruolo IAM associato all'istanza deve avere l'autorizzazione kms:Decrypt per la chiave specificata durante la configurazione della crittografia per Gestione sessione.

6. Per Nome utente, seleziona un nome utente dall'elenco o inserisci il nome dell'utente per il quale desideri modificare la password. Può essere qualsiasi nome utente con un account nel nodo.

7. Scegli Invia.

8. Segui le istruzioni nella finestra di comando Enter new password (Inserisci nuova password) per specificare la nuova password.

Informazioni correlate

Gestione delle identità e degli accessi per Amazon EC2

Risolvi i problemi con le istanze Amazon EC2 Windows

Risolvi i problemi relativi alle istanze EC2 Amazon Windows danneggiate utilizzando Rescue EC2

Esegui lo strumento EC2 Rescue su istanze irraggiungibili