EC2 Windows 인스턴스에서 관리자 암호를 재설정하려면 어떻게 해야 합니까?

해결 방법

시스템 관리자 실행 명령 AWSSupport-RunEC2RescueForWindowsTool(온라인 방법)

사전 요구 사항:

• AWS Systems Manager를 구성한 다음 인스턴스에 Systems Manager 에이전트를 설치해야 합니다. 자세한 내용은 AWS Systems Manager 설정을 참조하십시오.
• 인스턴스는 인터넷에 액세스할 수 있어야 하며 퍼블릭 IP 주소 또는 NAT 게이트웨이를 사용해야 합니다.
  -또는-
  인스턴스가 시스템 관리자에 대해 구성된 Amazon Virtual Private Cloud(VPC) 엔드포인트를 사용해야 합니다.
  자세한 내용은 AWS PrivateLink 개념을 참조하십시오.

Systems Manager Run Command를 사용하여 관리자 암호를 재설정하려면 다음 단계를 완료하십시오.

1. 인스턴스와 연결된 AWS Identity and Access Management(IAM) 역할에 다음 정책을 연결합니다.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:PutParameter"
               ],
               "Resource": [
                   "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*"
               ]
           }
       ]
   }
   

   이 정책은 암호화된 암호를 Parameter Store에 기록합니다.

2. Systems Manager 콘솔을 엽니다.

3. 탐색 창에서 명령 실행을 선택합니다.

4. 명령 실행을 선택합니다.

5. 명령 문서에서 AWSSupport-RunEC2RescueForWindowsTool을 선택합니다.

6. Command 파라미터에서 Command가 ResetAccess로 설정되어 있는지 확인합니다.

7. 대상에서 수동으로 인스턴스 선택을 선택한 다음 인스턴스를 선택합니다.

8. 실행을 선택합니다.

9. 대상 및 출력 섹션에서 인스턴스의 인스턴스 ID를 선택합니다.

10. 새 비밀번호를 검색하는 방법에 대한 지침을 보려면 출력 보기를 선택합니다.

참고: 인스턴스에 다시 액세스한 후에는 암호를 교체한 다음, Parameter Store에서 파라미터를 삭제하는 것이 좋습니다.

자세한 내용은 EC2Rescue 및 Systems Manager를 사용하여 손상된 Windows 인스턴스 문제 해결을 참조하십시오.

AWSSupport-ResetAccess를 사용하는 Systems Manager Automation(오프라인 방법)

중요: 자동화를 실행하기 전에 다음 정보를 검토하십시오.

• 탄력적 IP 주소를 사용하지 않는 경우, 인스턴스를 중지하면 퍼블릭 IP 주소가 공개됩니다.
• 이 인스턴스에 인스턴스 스토어 볼륨이 있는 경우, 인스턴스가 중지되면 해당 볼륨의 모든 데이터가 손실됩니다.
• 인스턴스 종료 동작이 종료로 설정되어 있으면 인스턴스가 중지될 때 인스턴스가 종료됩니다.
• 인스턴스가 Auto Scaling 그룹의 일부인 경우, 먼저 Auto Scaling 그룹에서 인스턴스를 분리합니다. 그런 다음, 인스턴스를 중지했다가 다시 시작한 후 인스턴스를 Auto Scaling 그룹에 연결합니다.

AWSSupport-ResetAccess는 AWS CloudFormation 및 AWS Lambda 함수를 사용하여 EC2Rescue 오프라인 암호 재설정을 자동화하는 Systems Manager Automation 문서입니다. 자동화 문서는 다음 작업을 수행합니다.

• 가용성 영역에서 복구를 지원하기 위해 인스턴스를 생성합니다.
• Amazon Elastic Block Store(Amazon EBS) 볼륨을 연결 및 분리합니다.
• EC2Rescue 도구를 실행합니다.
• 사용자 환경과 격리된 EC2Rescue용 Amazon VPC를 생성합니다.
• 인스턴스의 백업 Amazon Machine Image(AMI)를 생성합니다.

다음 시나리오에서 AWSSupport-ResetAccess 문서를 사용할 수 있습니다.

• Amazon EC2 키 쌍을 분실한 경우 EC2 인스턴스에서 암호 사용 AMI를 생성하여 기존 키 쌍으로 새 인스턴스를 시작하려고 하는 경우
• 로컬 관리자 암호를 분실한 경우 현재 Amazon EC2 키 쌍으로 해독할 수 있는 새 암호를 생성하려고 하는 경우

중요: 암호화된 루트 Amazon EBS 볼륨이 있는 AWSSupport-ResetAccess 문서는 사용할 수 없습니다.
AWSSupport-ResetAccess를 사용하여 암호를 재설정하려면 다음 단계를 완료하십시오.

1. Systems Manager 콘솔을 엽니다.
2. 탐색 창에서 자동화를 선택합니다.
3. 자동화 실행을 선택합니다.
4. 자동화 문서에서 AWSSupport-ResetAccess를 선택한 후 다음을 선택합니다.
5. 입력 파라미터에 EC2 인스턴스의 InstanceID를 입력합니다.
6. 실행을 선택합니다.
7. 상태가 성공으로 변경될 때까지 기다립니다. 최대 25분 정도 소요될 수 있습니다.
   참고: 실행 세부 정보 페이지에서 실행된 단계를 확인하여 진행 상황을 모니터링합니다. 자동화의 출력을 보려면, 출력을 펼칩니다. 이 페이지로 돌아가려면, 시스템 관리자 콘솔을 연 다음 탐색 창에서 자동화를 선택합니다. 실행 중인 자동화를 선택한 다음, 세부 정보 보기를 선택합니다.
8. 기존 키 쌍을 사용하여 Amazon EC2 콘솔에서 새로 생성된 암호를 디코딩합니다. 자세한 내용은 EC2 인스턴스를 시작한 후 Windows 관리자 암호를 검색하려면 어떻게 합니까?를 참조하십시오.

Amazon EC2 키 쌍 분실

Amazon EC2 키 쌍을 분실한 경우 다음 단계를 완료하십시오.

1. 인스턴스를 중지합니다.
2. Amazon EC2 콘솔을 연 다음 AMI를 선택합니다.
3. 인스턴스 ID를 검색합니다.
4. AWSSupport-EC2Rescue-Post-Script-Backup-i-#########_Date라는 AMI를 선택한 다음 시작을 선택합니다.
5. 시작 마법사에 따라 인스턴스 구성을 지정한 다음, 소유하고 있는 키 쌍을 선택합니다.
6. 다른 인스턴스를 종료하기 전에 새 인스턴스에 연결할 수 있고 애플리케이션이 예상대로 작동하는지 확인합니다.

EC2Rescue(오프라인 또는 온라인 방법)

다음 인스턴스 부팅 시 EC2Rescue를 사용하여 관리자 암호를 재설정하려면 다음 단계를 완료하십시오.

1. 암호를 재설정하려는 인스턴스와 동일한 가용 영역에 있는 임시 도우미 인스턴스를 생성합니다. 또는 동일한 가용 영역에 있는 원격 데스크톱 프로토콜(RDP) 액세스 권한이 있는 인스턴스를 사용할 수 있습니다.
2. 암호 재설정이 필요한 인스턴스의 스냅샷을 찍거나 AMI 백업을 생성합니다.
3. 암호 재설정이 필요한 인스턴스를 중지합니다.
4. 암호 재설정이 필요한 인스턴스에서 루트 볼륨을 분리합니다.
5. 1단계의 임시 도우미 인스턴스에 4단계의 루트 볼륨을 연결합니다.
6. EC2Rescue를 다운로드하고 EC2Rescue 실행 파일을 실행하여 zip 파일을 압축 해제합니다.
7. EC2Rescue 도구를 실행합니다. 오프라인 인스턴스를 선택한 후 임시 도우미 인스턴스에 연결한 루트 EBS 볼륨을 선택합니다.
8. 진단 및 복구를 선택합니다. 가능 문제 감지에서 Ec2SetPassword 확인란을 선택한 후, 다음을 선택합니다.
9. EC2Rescue 시작 마법사를 완료합니다. 그런 다음 루트 EBS 볼륨을 원래 인스턴스에 다시 연결하여 새 암호를 확인합니다.

자세한 내용은 EC2Rescue를 사용하여 Amazon EC2 Windows 인스턴스의 문제를 해결하려면 어떻게 해야 합니까?를 참조하십시오.

관리형 노드(온라인 방법)

EC2 인스턴스의 관리형 노드에 있는 모든 사용자의 암호를 재설정할 수 있습니다. 이 옵션을 사용하기 전에 모든 사전 요구 사항을 충족하는지 확인하십시오.

1. Systems Manager 콘솔을 엽니다.

2. 탐색 창에서 Fleet Manager를 선택합니다.

3. 새 암호가 필요한 노드를 선택합니다.

4. 노드 작업 메뉴에서 노드 설정을 선택합니다. 그런 다음 노드 사용자 암호 재설정을 선택합니다.
   참고: 암호 재설정 기능을 사용하려면 암호화가 필수입니다. 세션 관리자 기본 설정 페이지에서 AWS Key Management Service(AWS KMS) 키를 구성합니다.

5. 인스턴스와 연결된 IAM 역할에 다음 정책을 연결하여 암호 해독을 수행합니다.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AllowKMSDecrypt",
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:REGION:AccountID:key/KeyId"
           }
       ]
   }

   인스턴스에 연결된 인스턴스 프로파일 또는 IAM 역할에는 세션 관리자의 암호화를 구성할 때 지정한 키에 대한 kms:Decrypt 권한이 있어야 합니다.

6. 사용자 이름에서 목록의 사용자 이름을 선택하거나 암호를 변경하려는 사용자의 이름을 입력합니다. 이는 노드에 계정이 있는 모든 사용자 이름일 수 있습니다.

7. 제출을 선택합니다.

8. 새 암호 입력 명령 창의 프롬프트에 따라 새 암호를 지정합니다.

관련 정보

Amazon EC2의 ID 및 액세스 관리

Amazon EC2 Windows 인스턴스와 관련된 문제 해결

EC2Rescue를 사용하여 손상된 Amazon EC2 Windows 인스턴스 문제 해결

연결할 수 없는 인스턴스에서 EC2Rescue 도구 실행