Joël vous montre comment
gérer des comptes utilisateurs
sur votre instance EC2 exécutant Linux
Comment ajouter de nouveaux comptes utilisateur avec un accès SSH à mon instance Amazon Elastic Compute Cloud (Amazon EC2) ?
Chaque instance Linux Amazon EC2 est lancée avec un compte utilisateur système par défaut avec accès administratif à l’instance. Si plusieurs utilisateurs ont besoin d’un accès à l’instance, une bonne pratique de sécurité consiste à utiliser des comptes séparés pour chaque utilisateur.
Ajoutez de nouveaux comptes utilisateur avec des droits d’accès distants à une instance de Linux EC2. Chaque compte peut utiliser SSH pour se connecter à l’instance depuis un autre ordinateur ou une autre instance EC2. Le nouvel utilisateur sera en mesure d’utiliser SSH pour se connecter à l’instance depuis un autre ordinateur ou une autre instance EC2.
Remarque : Il est possible d’accélérer ces opérations en utilisant cloud-init et les données utilisateurs comme décrit dans la section Comment puis-je ajouter un autre compte utilisateur SSH avec cloud-init et des données utilisateurs pour mon instance EC2 ?
Prérequis
1. Exécutez les opérations pour lancer et connecter votre instance Linux EC2. Pour plus d’informations, consultez Guide de démarrage d’instances Linux Amazon EC2 et Se connecter à une Instance Linux.
2. Créez une paire de clés pour le nouveau compte utilisateur ou assurez-vous que vous avez bien accès à une paire de clés existante. Comme les nouveaux comptes utilisateur s’authentifient à l’aide d’une clé privée correspondant à la clé publique d’une paire de clés, vous devez soit générer une nouvelle paire de clés, soit trouver une paire de clés préexistante avant de pouvoir ajouter de nouveaux comptes utilisateur. Pour plus d’informations, voir Création d’une paire de clés à l’aide d’Amazon EC2. Si vous créez votre propre paire de clés en utilisant la ligne de commande, suivez les recommandations de create-key-pair ou New-EC2KeyPair Cmdlet en matière de type de clé et longueur de bit. Si vous créez votre propre paire de clés en utilisant un outil Tiers, assurez-vous que votre clé respecte les directives dans Importation de votre propre clé publique pour Amazon EC2 en matière de type de clé et de longueur de bit.
Ajouter un nouvel utilisateur à une instance EC2 Linux
1. Ajoutez un nouveau compte utilisateur à une instance, new_user étant un espace réservé au nom du nouveau compte. Cette commande crée un groupe associé, un répertoire d’accueil et une entrée dans le fichier /etc/passwd de l’instance.
sudo adduser new_user
Remarque : Si vous ajoutez un nouvel utilisateur à une instance Ubuntu, incluez l'opération --disabled-password pour éviter d’avoir à ajouter un mot de passe au nouveau compte.
sudo adduser new_user --disabled-password
2. Changez le contexte de sécurité pour le compte du nouvel utilisateur afin que les dossiers et les fichiers créés disposent des autorisations qui conviennent.
sudo su new_user
Remarque : Lorsque vous exécutez la commande sudo su new_user, le nom en haut de l’invite de commande est modifié pour refléter le contexte du compte du nouvel utilisateur de votre session de shell.
3. Créez un répertoire .ssh dans le répertoire d’accueil new_user et changez ses autorisations de fichier pour 700. Cela garantit que seul le new_user peut lire, écrire ou ouvrir le répertoire.
cd mkdir .ssh chmod 700 .ssh
4. Créez le fichier authorized_keys dans le répertoire .ssh, puis limitez les autorisations de fichier à 600 pour faire en sorte que seul le new_user ait l’accès en lecture ou en écriture au fichier.
cd touch .ssh/authorized_keys chmod 600 .ssh/authorized_keys
Extraire la clé publique de votre paire de clés
Extrayez la clé publique de votre paire de clés. Copiez la clé publique, puis utilisez la commande cat Linux pour coller la clé publique dans le fichier des clés .ssh/authorized pour le nouvel utilisateur.
- Importation de votre propre clé publique dans Amazon EC2
- Récupération de la clé publique pour votre paire de clés sous Linux
- Récupération de la clé publique pour votre paire de clés sous Windows
- Récupération de la clé publique pour votre paire de clés depuis votre instance
Vérification de l’empreinte digitale de votre paire de clés
Suivez les étapes de Vérification de l’empreinte digitale de votre paire de clés après l’importation de votre propre clé publique, ou extrayez la clé publique de votre paire de clés.
Mettre à jour et vérifier les nouvelles informations d’identification utilisateur
Une fois la clé publique copiée, utilisez la session de shell de commande en cours dans le contexte du nouveau compte utilisateur pour confirmer que vous avez l’autorisation d’ajouter la clé publique au fichier .ssh/authorized_keys de ce compte :
1. Exécutez la commande cat en mode ajout (cat >> .ssh/authorized_keys).
2. Copiez la clé publique dans l’invite cat ouverte, puis appuyez sur Entrée.
Remarque : Pour la plupart des interfaces de ligne de commande Linux, la combinaison de touches Ctrl+Shift+V permet de coller le contenu du presse-papier dans la fenêtre de ligne de commande. Dans l’interface de ligne de commande PuTTY, effectuez un clic droit pour coller le contenu du presse-papiers dans la fenêtre de ligne de commande PuTTY.
3. Appuyez sur Ctrl+D pour quitter cat et revenez sur l’invite de session de commande.
Vérifiez que vous pouvez utiliser SSH pour vous connecter à votre instance
Pour vérifier que vous pouvez vous connecter à votre instance EC2 via SSH en tant que new_user, exécutez la commande qui suit à partir de la ligne de commande de votre ordinateur local :
ssh -i /path/new_key_pair.pem new_user@public_dns_name_of_EC2_Linux_instance
Pour vous connecter à votre instance Linux EC2 en utilisant SSH à partir de Windows, suivez les opérations décrites dans Connexion de votre Instance Linux à partir de Windows à l’aide de PuTTY.
Après vous être connecté à votre instance en tant que new_user en utilisant SSH, exécutez la commande depuis la ligne de commande de l’instance EC2 pour afficher les informations utilisateur et de groupes créées pour le compte new_user :
id
Cette commande renvoie des informations sous la forme qui suit :
uid=1004(new_user) gid=1004(new_user) groups=1004(new_user)
Cette page vous a-t-elle été utile ? Oui | Non
Retour au Centre de connaissances AWS Support
Vous avez besoin d'aide ? Consultez le site du Centre AWS Support
Date de publication : 21/02/2017
Date de mise à jour : 30/03/2018
