AWS: Conecte-se à sua instância do Linux

Há muitas formas de se conectar à instância do Linux. Algumas variam em função do sistema operacional da máquina local a partir da qual você se conecta. Outros, como EC2 Instance Connect ou AWS Systems Manager Session Manager, não variam. Nesta seção, você aprenderá a se conectar a uma instância do Linux e a transferir arquivos entre seu computador local e a instância. Para obter informações sobre como se conectar a uma instância do Windows, consulte Conectar-se à sua instância do Windows no Guia do usuário para instâncias do Windows no Amazon EC2.

Antes de você se conectar à sua instância do Linux, preencha os pré-requisitos a seguir.

• Obter informações sobre a instância
• Localizar a chave privada e definir permissões
• (Opcional) Obter a impressão digital da instância

Em seguida, escolha uma das opções a seguir para se conectar à sua instância do Linux.

Opções para se conectar com base no sistema operacional local

• Conectar de uma máquina local Linux ou macOS usando SSH
• Conectar de uma máquina local Windows

Opções para se conectar de qualquer sistema operacional local

• Conectar à instância do Linux usando o Gerenciador de Sessões do AWS Systems Manager
• Conectar-se à instância do Linux com o EC2 Instance Connect.

NOTA: Para obter dicas de solução de problemas de conexão, consulte Solução de problemas para conectar-se à sua instância.

Para solucionar problemas de inicialização, configuração de rede e outros problemas de instâncias criadas no AWS Nitro System, você pode usar o Console de série do EC2 para instâncias do Linux.

Obter informações sobre a instância

Para preparar para se conectar a uma instância, obtenha as seguintes informações no console do Amazon EC2 ou usando a AWS CLI.

• Obtenha o nome do DNS público da instância.É possível obter o DNS público da instância usando o console do Amazon EC2. Verifique a coluna DNS IPv4 público do painel Instâncias. Se essa coluna estiver oculta, escolha o ícone de configurações (  ) no canto superior direito da tela e selecione DNS público (IPv4). Você também pode encontrar o DNS público na seção de informações da instância do painel Instâncias. Quando você seleciona a instância no painel Instâncias do console do Amazon EC2, as informações sobre essa instância aparecem na metade inferior da página. Na guia Detalhes, procure DNS IPv4 público.Se preferir, é possível usar o comando describe-instances (AWS CLI) ou Get-EC2Instance (AWS Tools for Windows PowerShell).Se nenhum DNS IPv4 público for exibido, verifique se o estado da instância é em execução e se você não iniciou a instância em uma sub-rede privada. Se você iniciou a instância usando o assistente de inicialização de instância, talvez tenha editado o campo Atribuição automática de IP público em Configurações de rede e alterado o valor para Desabilitar. Se você desabilitar a opção Atribuição automática de IP públic, a instância não receberá um endereço IP público quando for iniciada.

• (Somente IPv6) Obtenha o endereço IPv6 da instância. Se você atribuiu um endereço IPv6 à instância, terá a opção de se conectar a ela usando o endereço IPv6 em vez de um endereço IPv4 ou o nome de host DNS público. Seu computador local deve ter um endereço IPv6 e configurado para usar IPv6. É possível obter o endereço IPv6 da instância no console do Amazon EC2. Verifique a coluna IPs IPv6 do painel Instâncias. Ou você pode encontrar o endereço IPv6 na seção de informações da instância. Quando você seleciona a instância no painel Instâncias do console do Amazon EC2, as informações sobre essa instância aparecem na metade inferior da página. Na guia Detalhes, procure Endereço IPv6.Se preferir, é possível usar o comando describe-instances (AWS CLI) ou Get-EC2Instance (AWS Tools for Windows PowerShell). Para obter mais informações sobre IPv6, consulte Endereços IPv6.

• Obtenha o nome de usuário para a instância. É possível se conectar à instância usando o nome de usuário da sua conta de usuário ou o nome de usuário padrão da AMI que você usou para iniciar a instância.

• Obtenha o nome de usuário da sua conta de usuário. Para obter mais informações sobre como criar uma conta de usuário, consulte Gerenciar usuários na instância do Amazon Linux.

• Obtenha o nome de usuário padrão da AMI usada para iniciar a instância:

A AMI usada para iniciar a instância	Nome de usuário padrão
AL2023Amazon Linux 2Amazon Linux	ec2-user
CentOS	centos ou ec2-user
Debian	admin
Fedora	fedora ou ec2-user
RHEL	ec2-user ou root
SUSE	ec2-user ou root
Ubuntu	ubuntu
Oracle	ec2-user
Bitnami	bitnami
Rocky Linux	rocky
Outros	Verificar com o provedor de AMI

Localizar a chave privada e definir permissões

Você deve saber a localização do arquivo de chave privada para se conectar à instância. Para conexões SSH, você deve definir as permissões para que somente você possa ler o arquivo.

Para obter informações sobre como os pares de chaves funcionam ao usar o Amazon EC2, consulte Pares de chaves do Amazon EC2 e instâncias do Amazon EC2.

1. Encontrar a chave privada Obtenha o caminho totalmente qualificado para o local em seu computador do arquivo .pem para o par de chaves que você especificou quando executou a instância. Para obter mais informações, consulte Identificar a chave pública especificada na inicialização . Se você não conseguir encontrar seu arquivo de chave privada, consultePerdi minha chave privada. Como posso me conectar à minha instância do Linux?Se você estiver se conectando à instância usando o Putty e precisar converter o arquivo .pem em .ppk, consulte Converta a chave privada usando o PuTTYgen no tópico Conectar à instância do Linux a partir do Windows usando PuTTY desta seção.

2. Definir as permissões do arquivo de chave privada de modo que só você possa lê-lo

• Conectar do macOS ou do Linux. Se você planejar usar um cliente SSH em um computador com macOS ou Linux para se conectar à instância do Linux, use o seguinte comando para definir as permissões do arquivo de chave privada de modo que só você possa lê-lo.

chmod 400 key-pair-name.pem

Se você não definir essas permissões, não poderá conectar-se à instância usando esse par de chaves. Para ter mais informações, consulte Erro: arquivo de chave privada desprotegido.

• Conectar do Windows. Abra o Explorador de Arquivos e clique com o botão direito do mouse no arquivo .pem. Selecione a guia Propriedades > Segurança e escolha Avançado. Escolha Desabilitar herança. Remova o acesso para todos os usuários, exceto para o usuário atual.

(Opcional) Obter a impressão digital da instância

Para se proteger de ataques “man-in-the-middle”, você poderá verificar a autenticidade da instância à qual está prestes a se conectar, conferindo a impressão digital exibida. A verificação da impressão digital será útil se você executar a instância usando uma AMI pública fornecida por terceiros.

Visão geral da tarefa

Primeiro, obtenha a impressão digital da instância diretamente da instância. Em seguida, quando você se conectar à instância e receber a solicitação para verificar a impressão digital, compare a impressão digital que obteve nesse procedimento com a impressão digital exibida. Caso essas impressões digitais não correspondam, alguém pode estar tentando um ataque man-in-the-middle. Se elas corresponderem, será possível se conectar à instância com confiança.

Pré-requisitos para obter a impressão digital da instância

• A instância não deve estar no estado pending. A impressão digital só estará disponível após a conclusão da primeira inicialização da instância.
• Você deve ser o proprietário da instância para obter a saída do console.
• Há várias maneiras de obter a impressão digital da instância. Se você quiser usar a AWS CLI, ela deverá estar instalada no seu computador local. Para obter informações sobre como instalar a AWS CLI, consulte Instalação da AWS Command Line Interface no Guia do usuário da AWS Command Line Interface.

Para obter a impressão digital da instância

Na Etapa 1, você obtém a saída do console, que inclui a impressão digital da instância. Na Etapa 2, você encontra a impressão digital da instância na saída do console.

1. Use um dos métodos a seguir para obter a saída do console.

CONSOLE:

• Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
• No navegador à esquerda, escolha Instâncias.
• Selecione sua instância e escolha Ações, Monitorar e solucionar problemas e Obter log do sistema.

AWS CLI:

No computador local (e não na instância com a qual você está se conectando), use o comando get-console-output (AWS CLI). Se a saída for grande, você poderá redirecioná-la para um arquivo de texto, onde poderá ser mais fácil lê-la. Você deve especificar uma Região da AWS ao usar a AWS CLI, explicitamente ou definindo uma região padrão. Para obter informações sobre como definir ou especificar uma região, consulte Princípios básicos da configuração no Guia do usuário do AWS Command Line Interface.

aws ec2 get-console-output --instance-id instance_id --query Output --output text > temp.txt

2. Na saída do console, encontre a impressão digital da instância (host), localizada abaixo de BEGIN SSH HOST KEY FINGERPRINTS. Pode haver impressões digitais de várias instâncias. Quando você se conecta à sua instância, ela exibe somente uma das impressões digitais.

A saída exata pode variar de acordo com o sistema operacional, a versão da AMI e se a AWS criou o par de chaves. A seguir, um exemplo de saída.

ec2:#############################################################
ec2: -----BEGIN SSH HOST KEY FINGERPRINTS-----
ec2: 256 SHA256:l4UB/neBad9tvkgJf1QZWxheQmR59WgrgzEimCG6kZY no comment (ECDSA)
ec2: 256 SHA256:kpEa+rw/Uq3zxaYZN8KT501iBtJOIdHG52dFi66EEfQ no comment (ED25519)
ec2: 2048 SHA256:L8l6pepcA7iqW/jBecQjVZClUrKY+o2cHLI0iHerbVc no comment (RSA)
ec2: -----END SSH HOST KEY FINGERPRINTS-----
ec2: #############################################################

NOTA: Você vai mencionar essa impressão digital quando se conectar à instância.

Gostou? Se tiverem algumas sugestões, dica ou se ficou com alguma dúvida sobre este tutorial, não tem problema! Basta comentar no post que iremos responder suas dúvidas assim que for possível.

Fonte: docs.aws.amazon

AWS: Gerenciar usuários na instância do Amazon Linux:

Cada tipo de instância do Linux é iniciada com um usuário padrão do sistema Linux. Você pode adicionar e excluir usuários da instância. Para o usuário padrão, o nome de usuário padrão é determinado pela AMI especificada quando você iniciou a instância.

Nota: Por padrão, a autenticação por senha e o login raiz estão desabilitados e o sudo está habilitado. Para fazer login na instância, você deve criar um par de chaves. Para obter mais informações sobre login, consulte Conecte-se à sua instância do Linux.

Você pode permitir a autenticação por senha e o login raiz na instância. Para obter mais informações, consulte a documentação do seu sistema operacional.

Os usuários do sistema Linux não devem ser confundidos com os usuários do IAM. Para obter mais informações, consulte Usuários IAM no Manual do usuário IAM.

Nomes de servidores padrão

O nome de usuário padrão para a instância do EC2 é determinado pela AMI especificada quando você iniciou instância.

Os nomes de usuário padrão são:

• Para AL2023, Amazon Linux 2 ou Amazon Linux AMI, o nome do usuário é ec2-user.
• Para uma AMI do CentOS, o nome do usuário é centos ou ec2-user.
• Para uma AMI do Debian, o nome do usuário é admin.
• Para uma AMI do Fedora, o nome do usuário é fedora ou ec2-user.
• Para uma AMI do RHEL, o nome do usuário é ec2-user ou root.
• Para uma AMI do SUSE, o nome do usuário é ec2-user ou root.
• Para uma AMI do Ubuntu, o nome de usuário é ubuntu.
• Para uma AMI do Oracle, o nome do usuário é ec2-user.
• Para uma AMI do Bitnami, o nome do usuário é bitnami.

NOTA: Para encontrar o nome de usuário padrão para outras distribuições Linux, verifique com o fornecedor da AMI.

Considerações

O uso do usuário padrão é adequado para muitas aplicações. Porém, você pode escolher adicionar usuários para que as pessoas possam ter seus próprios arquivos e espaços de trabalho. Além disso, a criação usuários para novos usuários é muito mais segura do que conceder a vários usuários (possivelmente inexperientes) acesso ao usuário padrão, pois essa conta pode causar muitos danos a um sistema quando usada de modo inadequado. Para obter mais informações, consulte Dicas para proteger sua instância do EC2.

Para permitir aos usuários acesso SSH à sua instância do EC2 usando um usuário do sistema Linux, é necessário compartilhar a chave SSH com o usuário. Uma outra opção é usar o EC2 Instance Connect para fornecer acesso aos usuários sem precisar compartilhar e gerenciar as chaves SSH. Para ter mais informações, consulte Conectar-se à instância do Linux com o EC2 Instance Connect.

Criar um usuário

Primeiro crie o usuário e, depois, adicione a chave pública SSH que permitirá que ele se conecte e faça login na instância.

Como criar um usuário

1. Crie um novo par de chaves. É necessário fornecer o arquivo .pem ao usuário para o qual você está criando o usuário. Ele deve usar esse arquivo para se conectar à instância.

2. Recupere a chave pública do par de chaves criado na etapa anterior.

$ ssh-keygen -y -f /path_to_key_pair/key-pair-name.pem

O comando retorna a chave pública, como mostrado no exemplo a seguir.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6Vhz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXrlsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZqaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3RbBQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE

3. Conecte-se à instância.

4. Use o comando adduser para criar o usuário e adicioná-lo ao sistema (com uma entrada no arquivo /etc/passwd). O comando também cria um grupo e um diretório inicial para o usuário. Neste exemplo de configuração, o usuário é deniminado newuser.

• Amazon Linux e Amazon Linux 2. Com o Amazon Linux e o Amazon Linux 2, o usuário é criada com a autenticação por senha desabilitada por padrão.

[ec2-user ~]$ sudo adduser newuser

• Ubuntu. Inclua o parâmetro –disabled-password para criar o usuário com autenticação por senha desabilitada.

[ubuntu ~]$ sudo adduser newuser --disabled-password

5. Mude para o novo usuário, de modo que o diretório e o arquivo criados pertençam aos proprietários adequados.

[ec2-user ~]$ sudo su - newuser

O prompt é alterado de ec2-user para newuser para indicar que você mudou a sessão do shell para o novo usuário.

6. Adicione a chave pública SSH ao usuário. Primeiro, crie um diretório no diretório inicial do usuário para o arquivo de chave SSH. Depois disso, crie o arquivo de chave e, por fim, cole a chave pública no arquivo de chave, conforme descrito nas etapas secundárias a seguir.

• Crie um diretório .ssh no diretório inicial newuser e altere suas permissões de arquivos para 700 (somente o proprietário pode ler, gravar ou abrir o diretório).

[newuser ~]$ mkdir .ssh 
[newuser ~]$ chmod 700 .ssh

Importante: Sem essas permissões de arquivos, o usuário não poderá se conectar.

• Crie um arquivo chamado authorized_keys no diretório .ssh e altere suas permissões de arquivos para 600 (somente o proprietário pode ler ou gravar no arquivo).

[newuser ~]$ touch .ssh/authorized_keys 
[newuser ~]$ chmod 600 .ssh/authorized_keys

Importante: Sem essas permissões de arquivos, o usuário não poderá se conectar.

• Abra o arquivo authorized_keys usando seu editor de texto favorito (como vim ou nano).

[newuser ~]$ nano .ssh/authorized_keys

Cole a chave pública recuperada na Etapa 2 no arquivo e salve as alterações.

Importante: Cole a chave pública em uma linha contínua. A chave pública não deve ser dividida em várias linhas.

Agora, o usuário deve poder fazer login no usuário newuser na instância usando a chave privada correspondente à chave pública adicionada ao arquivo authorized_keys. Para obter mais informações sobre os diferentes métodos de conexão a uma instância do Linux, consulte  Conecte-se à sua instância do Linux.

Remover um usuário

Se um usuário não for mais necessário, será possível removê-lo para que não possa mais ser usado.

Use o comando userdel para remover o usuário do sistema. Quando você especifica o parâmetro -r, o diretório inicial e o spool de e-mail do usuário são excluídos. Para manter o diretório inicial e o spool de e-mail do usuário, omita o parâmetro -r.

[ec2-user ~]$ sudo userdel -r olduser

Gostou? Se tiverem algumas sugestões, dica ou se ficou com alguma dúvida sobre este tutorial, não tem problema! Basta comentar no post que iremos responder suas dúvidas assim que for possível.

Fonte: docs.aws.amazon

AWS: Como acessar Windows Server via RDP

O Remote Desktop Protocol (RDP) é um protocolo desenvolvido pela Microsoft para gerenciar e acessar remotamente máquinas Windows usando Windows, Linux ou macOS. No entanto, por padrão, o Windows vem com um cliente RDP, enquanto em outros sistemas operacionais os usuários precisam instalar algum aplicativo de terceiros, se você criou uma instância de servidor do Windows no Amazon Web Services (AWS), neste guia, aprenderemos como acessar sua interface GUI usando RDP do seu sistema local.

Pré-requisitos

Antes de começar, certifique-se de ter o seguinte:

1. Uma conta da AWS.
2. Uma instância do Windows Server em execução no AWS EC2.
3. O nome IP ou DNS público da sua instância EC2.
4. O cliente RDP deve estar instalado na sua máquina local ( A conexão remota de mesa está embutida no Windows ), os usuários de Mac podem baixar Microsoft Remote Desktop da App Store, enquanto usuários do Linux podem usar aplicativos como Remmina, Xrdp, e mais…

Etapas para conectar o AWS Windows Server usando o RDP

1. Iniciar uma Instância do Windows Server:

Faça login no Console de Gerenciamento da AWS e navegue até o painel do EC2, onde você tem uma instância do Windows Server. Se você ainda não tiver um servidor Windows na AWS, inicie um novo. Durante a configuração, você pode escolher um tipo de instância, configurar detalhes da instância, adicionar armazenamento e definir tags conforme necessário. Em suma, você deve ter uma instância existente do servidor Win na AWS antes de usar este tutorial para acessá-lo por meio do RDP.

Nota: Aqueles que estão usando a AWS LightSail em vez de EC2 pode seguir o nosso outro tutorial para aprender como estabelecer uma conexão RDP.

2. Configurar o Grupo de Segurança:

Por padrão, quando criamos uma instância da AWS do servidor do Windows, ela abre a porta RDP’ número 3389 no firewall para aceitar conexões de qualquer endereço IP, se você não personalizou ou fez isso para ouvir apenas endereços seletivos.

Então, os letroitis confirmam se sua instância já tem uma porta RDP na lista de permissões no grupo Firewall de segurança ou não. Para isso, clique em sua Instância do Windows Server para revelar mais detalhes disponíveis.

No Guia Security, certifique-se de que o grupo de segurança associado à instância do Windows Server permite o tráfego RDP de entrada na porta 3389.

Nota: Se não for então clique no link fornecido no grupo de segurança e selecione o “Edit inbound rule” botão para permitir o tráfego RDP de entrada (TCP porta 3389) a partir do seu endereço IP.

3. Recuperar EC2 Windows Server Senha:

Quando criamos uma Instância do Windows Server ou qualquer outra na Amazon Web server Cloud, ele pede para criar uma chave privada que pode ser usada mais tarde para fazer login no servidor remotamente usando SSH ou Putty. Se você perdeu a chave, então precisa gere-o novamente.

Bem, estamos assumindo que você já tem o chave privada (arquivo .pem), agora para obter sua senha do administrador do Windows Server, vá para o painel do EC2, selecione sua instância, então no botão suspenso Actions-> Security e clique em ‘Get Windows Password’.

Clique no botão Upload Private key e navegue até o local onde você salvou a chave privada (arquivo .pem) que você criou quando você iniciou a instância.

Em seguida, clique no “Decrypt password” botão que irá revelar a sua senha de administrador do servidor do Windows na nuvem AWS. Copie ou anote em algum lugar para usar mais tarde.

4. Conectar usando RDP:

Anote ou copie o endereço IP público ou o DNS da sua Instância fornecido no Painel Ec2.

Abra o cliente RDP na sua máquina Windows local ou em algum outro SO que você esteja usando. Aqui estamos usando o Windows 11 para executar este tutorial. Para abrir o RDP, clique no Windows Começar botão e tipo Área de Trabalho Remota, à medida que o ícone aparecer, clique para abri-lo.

Depois disso, no Computador nome caixa entrar no IP ou DNS público nome da instância do EC2 e clique em Conectar botão.

Introduza o nome de utilizador (geralmente ‘Administrador’) e a palavra-passe desencriptada para iniciar sessão.

Aceite o formato de certificado no computador remoto pressionando o Sim botão.

5. Entrando no servidor:

Depois que as credenciais forem aceitas, você estará conectado à instância do AWS Windows Server 2022 ou a qualquer outra versão usada. Agora você pode gerenciar e configurar o servidor como se estivesse fisicamente presente.

Alterar a senha do servidor do AWS Windows (opcional):

A AWS recomenda alterar a senha de administrador padrão para algo forte e seguro. No entanto, certifique-se de tê-lo salvo em algum lugar seguro para que você não perca-o. Uma vez que sua senha do servidor AWS Windows é alterada manualmente, você poderá obtê-la usando o Painel do EC2 e a tecla privada.

Além disso, atualize regularmente o seu Windows Server para uma melhor estabilidade e limite os endereços IP que podem se conectar via RDP para melhorar a segurança. Além disso, é uma boa ideia configurar uma VPN ou usar AWS Direct Connect para conexões mais seguras e estáveis.

Conclusão

O RDP é uma maneira bastante simples de acessar os servidores AWS Windows executados remotamente, como se estivessem em sua máquina local. No entanto, você deve manter a senha segura e usar conexões seguras, como uma rede VPN, para se conectar com eficiência à instância do AWS Windows Server, garantindo gerenciamento e operação remotos robustos.

Gostou? Se tiverem algumas sugestões, dica ou se ficou com alguma dúvida sobre este tutorial, não tem problema! Basta comentar no post que iremos responder suas dúvidas assim que for possível.

Fonte: how2shout