如何重設 EC2 Windows 執行個體上的管理員密碼？

解決方法

Systems Manager Run Command AWSSupport-RunEC2RescueForWindowsTool (線上方法)

先決條件：

• 您必須設定 AWS Systems Manager，然後在執行個體上安裝 Systems Manager 代理程式。如需詳細資訊，請參閱設定 AWS Systems Manager。
• 此執行個體必須能夠存取網際網路，並使用公有 IP 位址或 NAT 閘道。
  -或-
  執行個體必須使用為系統管理員設定的 Amazon Virtual Private Cloud (Amazon VPC) 端點。
  如需詳細資訊，請參閱 AWS PrivateLink 概念。

若要使用 Systems Manager Run Command 重設管理員密碼，請完成下列步驟：

1. 將下列政策附加到與執行個體關聯的 AWS Identity and Access Management (IAM) 角色：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:PutParameter"
               ],
               "Resource": [
                   "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*"
               ]
           }
       ]
   }
   

   此政策會將加密的密碼寫入「參數存放區」。

2. 開啟 Systems Manager console (Systems Manager 主控台)。

3. 在導覽窗格中，選擇 Run Command (執行命令)。

4. 選擇 Run a Command (執行命令)。

5. 在 Command document (命令文件)，選擇 AWSSupport-RunEC2RescueForWindowsTool。

6. 在 Command parameters (命令參數)，確認將 Command (命令) 設定為 ResetAccess。

7. 在 Targets (目標)，選擇 Choose instances manually (手動選取執行個體)，然後選取您的執行個體。

8. 選擇 Run (執行)。

9. 在 Targets and outputs (目標和輸出) 區段中，選取您執行個體的執行個體 ID。

10. 選擇 View output (查看輸出)，以取得如何擷取新密碼的指示。

**注意：**重新取得執行個體的存取權後，最佳實務是輪換密碼，然後從「參數存放區」中刪除參數。

如需詳細資訊，請參閱使用 EC2Rescue 和 Systems Manager 疑難排解受損的 Windows 執行個體問題。

使用 AWSSupport-ResetAccess 的 Systems Manager Automation (離線方法)

**重要：**執行自動化之前，請查看以下資訊：

• 如果您未使用彈性 IP 位址，則會在您停止執行個體時釋放公用 IP 位址。
• 如果執行個體具有執行個體儲存體磁碟區，則當執行個體停止時，其上的所有資料都會遺失。
• 如果執行個體關閉行為設定為終止，則執行個體會在停止時終止。
• 如果執行個體是 Auto Scaling 群組的一部分，請先從 Auto Scaling 群組分離該執行個體。然後，停止和啟動執行個體後，再將該執行個體重新連接至 Auto Scaling 群組。

AWSSupport-ResetAccess 是一個 Systems Manager Automation 文件，其使用 AWS CloudFormation 和 AWS Lambda 函式來自動執行 EC2Rescue 離線密碼重設。自動化文件執行以下動作：

• 建立執行個體以協助在您的可用區域中復原。
• 連接與分離 Amazon Elastic Block Store (Amazon EBS) 磁碟區。
• 執行 EC2Rescue 工具。
• 為 EC2Rescue 建立一個與您環境隔離的 Amazon VPC。
• 建立執行個體的備份 Amazon Machine Image (AMI)。

您可以在下列情況下使用 AWSSupport-ResetAccess 文件：

• 您遺失了 Amazon EC2 金鑰對。您想要從 EC2 執行個體建立一個密碼啟用的 AMI，以使用現有金鑰對啟用新的執行個體。
• 您遺失了本機管理員密碼。您想要產生一個可以使用目前 Amazon EC2 金鑰對解密的新密碼。

**重要：**您無法將 AWSSupport-ResetAccess 文件與加密的根 Amazon EBS 磁碟區一起使用。
若要使用 AWSSupport-ResetAccess 重設密碼，請完成下列步驟：

1. 開啟 Systems Manager console (Systems Manager 主控台)。
2. 在導覽窗格中，選擇「自動化」。
3. 選擇 Execute automation (執行自動化)。
4. 在 Automation document (自動化文件) 中，選擇 AWSSupport-ResetAccess，然後選擇 Next (下一步)。
5. 在 Input parameters (輸入參數) 中，輸入您 EC2 執行個體的 InstanceID。
6. 選擇 Execute (執行)。
7. 等待狀態變成成功。這最多可能需要 25 分鐘。
   注意： 在執行詳細資料頁面上，檢視已執行的步驟以監督進度。展開輸出以檢視自動化輸出。要返回此頁面，請打開 Systems Manager 主控台，然後從導航窗格中選擇自動化。選取正在執行的自動化程序，然後選擇 View details (查看詳細資訊)。
8. 使用您現有的金鑰對，從 Amazon EC2 主控台解碼新產生的密碼。如需詳細資訊，請參閱如何在啟動 EC2 執行個體後，擷取 Windows 管理員密碼？

遺失 Amazon EC2 金鑰對

如果您遺失了 Amazon EC2 金鑰對，請完成以下步驟：

1. 停止您的執行個體。
2. 開啟 Amazon EC2 console (Amazon EC2 主控台)，然後選擇 AMI。
3. 搜尋您的執行個體 ID。
4. 選取名為 AWSSupport-EC2Rescue-Post-Script-Backup-i-#########_Date 的 AMI，然後選擇 Launch (啟動)。
5. 依照啟動精靈指定您的執行個體的組態，然後選取您擁有的金鑰對。
6. 在終止另一個執行個體之前，請先驗證您是否可以連線到新執行個體，以及您的應用程式是否如預期般運作。

EC2Rescue (離線或線上方法)

若要使用 EC2Rescue 在下次執行個體啟動時重設管理員密碼，請完成下列步驟：

1. 建立一個臨時輔助執行個體，該執行個體與您要重設密碼的執行個體位於同一可用區域。或者，您可以使用位於相同可用區域內，具有遠端桌面協定 (RDP) 存取權的執行個體。
2. 為需要重設密碼的執行個體拍攝快照或建立 AMI 備份。
3. 停止需要重設密碼的執行個體。
4. 從需要重設密碼的執行個體中分離根磁碟區。
5. 將步驟 4 中的根磁碟區附加到步驟 1 中的臨時輔助執行個體。
6. 下載EC2Rescue，並透過執行 EC2Rescue 可執行檔來解壓縮 zip 檔案。
7. 執行 EC2Rescue 工具。選擇 Offline Instance (離線執行個體)，然後選取連接到臨時輔助執行個體的根 EBS 磁碟區。
8. 選擇 Diagnose and Rescue (診斷和救援)。在 Detect possible issues (偵測可能的問題) 中，選取 Ec2SetPassword 核取方塊，然後選擇 Next (下一步)。
9. 完成 EC2Rescue 啟動精靈。然後，將根 EBS 磁碟區附加回原始執行個體，以驗證新密碼。

如需詳細資訊，請參閱如何使用 EC2Rescue 來疑難排解 Amazon EC2 Windows 執行個體中的問題？

受管節點 (線上方法)

您可以重設 EC2 執行個體受管節點上任何使用者的密碼。在使用此選項之前，請務必確認您符合所有先決條件：

1. 開啟 Systems Manager console (Systems Manager 主控台)。

2. 在導覽窗格中，選擇 Fleet Manager。

3. 選取需要新密碼的節點。

4. 在 Node actions (節點動作) 功能表中，選取 Node Settings (節點設定)。然後，選擇 Reset Node User Password (重設節點使用者密碼)。
   **注意：**若要使用重設密碼功能，必須啟用加密。在「Session Manager 偏好設定」頁面上，設定 AWS Key Management Service (KMS) 金鑰。

5. 將下列政策附加到與執行個體關聯的 IAM 角色，以執行解密：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AllowKMSDecrypt",
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:REGION:AccountID:key/KeyId"
           }
       ]
   }

   附加到執行個體的執行個體設定檔或 IAM 角色，必須擁有您在設定 Session Manager 加密時，指定金鑰的 kms:Decrypt 權限。

6. 在 User name (使用者名稱) 中，從清單中選取一個使用者名稱，或輸入要變更密碼之使用者的名稱。這可以是節點上擁有帳戶的任何使用者名稱。

7. 選擇 Submit (提交)。

8. 依照 Enter new password (輸入新密碼) 命令視窗中的提示指定新密碼。

相關資訊

Amazon EC2 的身分和存取管理

對 Amazon EC2 Windows 執行個體的問題進行疑難排解

使用 EC2Rescue 疑難排解受損的 Amazon EC2 Windows 執行個體

在無法連線的執行個體上執行 EC2Rescue 工具