Comment puis-je réinitialiser le mot de passe administrateur sur une instance EC2 pour Windows ?

Dernière mise à jour :23/07/2021

Comment réinitialiser le mot de passe administrateur sur mon instance Amazon Elastic Compute Cloud (Amazon EC2) exécutant Windows ? Comment faire ?

Résolution

Vous pouvez utiliser AWS Systems Manager ou EC2Rescue pour réinitialiser le mot de passe administrateur sur votre instance EC2 pour Windows.

Systems Manager Run Command AWSSupport-RunEC2RescueForWindowsTool (méthode en ligne)

Prérequis :

  • Vous devez configurer Systems Manager pour votre compte AWS, puis installer l'agent Systems Manager sur l'instance. Pour plus d'informations, consultez Configuration d'AWS Systems Manager.
  • L'instance doit avoir accès à Internet (pour Systems Manager) par une adresse IP publique ou une NAT.
    -ou-
    L'instance doit utiliser un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) configuré pour Systems Manager.
    Pour plus d'informations, consultez la section Points de terminaison d'un VPC.

Pour réinitialiser le mot de passe administrateur avec Systems Manager à l'aide de la fonctionnalité Run Command, procédez comme suit :

1.    Attachez la stratégie suivante au rôle IAM associé à l'instance pour écrire le mot de passe chiffré dans Magasin de paramètres.

{ 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Effect": "Allow", 
      "Action": [ 
      "ssm:PutParameter" 
      ], 
      "Resource": [ 
        "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*" 
        ] 
    } 
  ] 
}

2.    Ouvrez la console AWS Systems Manager, puis choisissez « Fonctionnalité Exécuter la commande » dans le volet de navigation.

3.    Sélectionnez Exécuter une commande.

4.    Pour Document de commande, choisissez AWSSupport-RunEC2RescueForWindowsTool.

5.    Pour « Paramètres de la commande », vérifiez que « Commande » est défini sur ResetAccess.

6.    Pour « Cibles », choisissez « Choisir les instances manuellement », puis sélectionnez votre instance.

7.    Sélectionnez Exécuter.

8.    Dans la section « Cibles et sorties », sélectionnez l’ID d'instance de votre instance.

9.    Choisissez « Afficher la sortie » pour obtenir des instructions sur la récupération du nouveau mot de passe.

10.    Une fois que vous avez récupéré l'accès à votre instance, il est recommandé de tourner le mot de passe, puis de supprimer le paramètre à partir du « Paramètre de stockage ».

Pour en savoir plus, consultez la section relative à l'Utilisation d'EC2Rescue for Windows Server avec la commande d'exécution pour Systems Manager.

L'automatisation de Systems Manager AWSSupport-ResetAccess (méthode hors ligne)

Avertissement : avant d'exécuter l'automatisation, prenez en compte les éléments suivants :

  • Si vous n'utilisez pas d'adresse IP Elastic, l'adresse, l'IP publique se libère lorsque vous arrêtez l'instance.
  • Si cette instance a un volume de stockage d'instance, toutes les données qu'elle contient sont perdues lorsque l'instance s'arrête.
  • Si les données d'arrêt de l'instance sont définies sur Résilier, l'instance se résilie lorsqu'elle s'arrête.
  • Si l'instance fait partie d'un groupe Auto Scaling, détachez d'abord l'instance du groupe Auto Scaling. Une fois que vous avez arrêté et démarré l'instance, attachez-la de nouveau au groupe Auto Scaling.

Pour en savoir plus, consultez la section Arrêter et démarrer votre instance.

AWSSupport-ResetAccess est un document d'automatisation de Systems Manager qui automatise la réinitialisation du mot de passe hors ligne d'EC2Rescue à l'aide des fonctions AWS CloudFormation et AWS Lambda. Le document d'automatisation :

  • Crée une instance pour faciliter la récupération dans votre zone de disponibilité.
  • Attache et détache les volumes EBS.
  • Exécute l'utilitaire EC2Rescue.
  • Crée un Amazon VPC pour EC2Rescue isolé de votre environnement.
  • Crée une AMI de sauvegarde de l'instance.

Vous pouvez utiliser le document AWSSupport-ResetAccess si :

  • Vous avez perdu votre paire de clés EC2 et souhaitez créer une AMI avec mot de passe à partir de votre instance EC2 pour lancer une nouvelle instance avec une paire de clés existante.
  • Vous avez perdu votre mot de passe administrateur local et souhaitez générer un nouveau mot de passe que vous pouvez déchiffrer avec la paire de clés EC2 actuelle.

Important : vous ne pouvez pas utiliser le document AWSSupport-ResetAccess avec des volumes EBS racine chiffrés.

1.    Ouvrez la console AWS Systems Manager, puis choisissez Automatisation dans le volet de navigation.

2.    Choisissez « Execute automation » (Exécuter l'automatisation).

3.    Pour « Automation document » (Document d'automatisation), choisissez AWSSupport-ResetAccess, puis « Next » (Suivant).

4.    Pour Paramètres d'entrée, saisissez l'ID d'instance de votre instance EC2.

5.    Choisissez « Execute » (Exécuter).

6.    Attendez que le statut de l'état passe à Succès. Vous pouvez attendre jusqu'à 25 minutes.

Remarque : sur la page Informations de l'exécution affichez Étapes exécutées pour surveiller la progression. Agrandissez Sorties pour afficher la sortie de l'automatisation. Pour revenir à cette page, ouvrez la console AWS Systems Manager, puis choisissez « Automatisation » dans le volet de navigation. Sélectionnez l'automatisation en cours d'exécution, puis choisissez « Afficher les informations ».

7.    Utilisez votre paire de clés existante pour décoder le mot de passe nouvellement généré à partir de la console EC2. Pour en savoir plus, consultez la section Comment récupérer mon mot de passe administrateur Windows après avoir lancé une instance ?

Commande d'exécution Systems Manager (méthode en ligne)

Prérequis :

  • Vous devez configurer Systems Manager pour votre compte AWS, puis installer l'agent Systems Manager sur l'instance. Pour plus d'informations, consultez Configuration d'AWS Systems Manager.
  • L'instance doit avoir accès à Internet (pour Systems Manager) par une adresse IP publique ou une NAT.
    -ou-
    L'instance doit utiliser un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) configuré pour Systems Manager.
    Pour plus d'informations, consultez la section Points de terminaison d'un VPC.

1.    Ouvrez la console IAM AWS.

2.    Sélectionnez Rôles, puis Créer un nouveau rôle.

3.    Sélectionnez EC2, puis Sélectionner.

4.    Sous Nom de la politique, cochez AmazonSSMManageInstanceCore, puis saisissez un nom de rôle.

5.    Sélectionnez Créer un rôle.

6.    Ouvrez la console Amazon EC2 et sélectionnez la région appropriée.

7.    Sélectionnez l'instance affectée, puis sélectionnez Actions, puis Sécurité, ensuite Modifier le rôle IAM.

8.    Sélectionnez le rôle IAM que vous venez de créer, puis sélectionnez Enregistrer.

Remarque : Après avoir attaché le rôle IAM à l'instance avec la politique IAM appropriée, attendez environ 5 minutes. Vous pouvez consulter votre instance dans Instances gérées dans la console AWS Systems Manager. Si l'instance ne s'affiche pas sous Instances gérées, redémarrez l'instance. Si votre instance n'apparaît toujours pas sous Instances gérées, consultez la section Pourquoi mon instance EC2 n'apparaît-elle pas sous « Instances gérées » dans la console Systems Manager ?

9.    Une fois que l'instance apparaît dans Instances gérées, sélectionnez Exécuter la commande dans la console AWS Systems Manager.

10.    Sélectionnez Exécuter une commande.

11.    Sous Document de commande, sélectionnez AWS-RunPowerShellScript.

12.    Sous Paramètres de commande, copiez et collez la commande suivante. Remplacez Password @123 par votre mot de passe.

net user Administrator Password@123

13.    Sous Cibles, sélectionnez Sélectionner les instances manuellement, puis sélectionnez l'instance qui nécessite la réinitialisation du mot de passe.

14.    Sélectionnez Exécuter.

Remarque : Laissez tous les paramètres par défaut.

Une fois la commande exécutée correctement terminée, vous pouvez désormais vous connecter à l'instance à l'aide du mot de passe administrateur local utilisé à l'étape 12.

Si vous avez perdu votre paire de clés EC2

1.    Arrêtez votre instance.

Avertissement : avant l'arrêt d'une instance, tenez compte des points suivants.

  • Si vous n'utilisez pas d'adresse IP Elastic, l'adresse, l'IP publique se libère lorsque vous arrêtez l'instance.
  • Si cette instance a un volume de stockage d'instance, toutes les données qu'elle contient sont perdues lorsque l'instance s'arrête.
  • Si les données d'arrêt de l'instance sont définies sur Résilier, l'instance se résilie lorsqu'elle s'arrête.
  • Si l'instance fait partie d'un groupe Auto Scaling, détachez d'abord l'instance du groupe Auto Scaling. Une fois que vous avez arrêté et démarré l'instance, attachez-la de nouveau au groupe Auto Scaling.

Pour en savoir plus, consultez la section Arrêter et démarrer votre instance.

2.    Ouvrez la console Amazon EC2, puis choisissez les AMI.

3.    Recherchez votre ID d'instance.

4.    Sélectionnez l'AMI nommée AWSSupport-EC2Rescue-post-script-Backup-I-xxxxxxxxx_Date, puis choisissez Lancer.

5.    Suivez l'assistant de lancement pour spécifier la configuration de votre instance, puis sélectionnez une paire de clés que vous possédez.

6.    Vérifiez que vous pouvez vous connecter à la nouvelle instance et que vos applications fonctionnent comme prévu avant de mettre fin à l'autre instance.

EC2Rescue (méthode hors ligne ou en ligne)

Pour régénérer le mot de passe administrateur lors du prochain démarrage, vous pouvez activer EC2SetPassword à l'aide d'EC2Rescue :

1.    Choisissez « Diagnose and Rescue » (Diagnostiquer et sauver). La section EC2Config affiche le paramètre Ec2SetPassword actuel. Sélectionnez Next (Suivant).

2.    Dans « Detect possible issues » (Détecter des problèmes éventuels), cochez la case Ec2SetPassword puis choisissez « Next » (Suivant).

Pour plus d'informations, consultezComment résoudre les problèmes liés à mon instance EC2 Windows en utilisant l'outil EC2Rescue ?