Comment puis-je réinitialiser le mot de passe administrateur sur une instance EC2 pour Windows ?

Date de la dernière mise à jour : 18/09/2020

Je souhaite réinitialiser le mot de passe administrateur sur mon instance Amazon Elastic Compute Cloud (Amazon EC2) exécutant Windows. Comment dois-je procéder ?

Résolution

Vous pouvez utiliser AWS Systems Manager ou EC2Rescue pour réinitialiser le mot de passe administrateur sur votre instance EC2 pour Windows.

Systems Manager Run Command AWSSupport-RunEC2RescueForWindowsTool (méthode en ligne)

Conditions préalables :

  • Vous devez configurer Systems Manager pour votre compte AWS, puis installer l'agent Systems Manager sur l'instance. Pour plus d'informations, consultez Configuration d'AWS Systems Manager.
  • L'instance doit avoir accès à Internet (pour Systems Manager) par une adresse IP publique ou une NAT.
    -ou-
    L'instance doit utiliser un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) configuré pour Systems Manager.
    Pour plus d'informations, consultez Points de terminaison d'un VPC.

Pour réinitialiser le mot de passe administrateur avec Systems Manager à l'aide de la fonctionnalité Run Command, procédez comme suit :

1.    Attachez la stratégie suivante au rôle IAM associé à l'instance pour écrire le mot de passe chiffré dans Magasin de paramètres.

{ 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Effect": "Allow", 
      "Action": [ 
      "ssm:PutParameter" 
      ], 
      "Resource": [ 
        "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*" 
        ] 
    } 
  ] 
} 

2.    Ouvrez la console AWS Systems Manager, puis choisissez « Run Command » (Exécuter la commande) dans le volet de navigation.

3.    Choisissez Exécuter une commande.

4.    Pour Document de commande, choisissez AWSSupport-RunEC2RescueForWindowsTool.

5.    Pour « Command parameters » (Paramètres de commande), vérifiez que « Command » (Commande) est défini sur ResetAccess.

6.    Pour « Targets » (Cibles), choisissez « Choose instances manually » (Choisir les instances manuellement), puis sélectionnez votre instance.

7.    Choisissez « Run »(Exécuter).

8.    Dans la section « Targets and outputs » (Cibles et sorties), sélectionnez l'ID d'instance pour votre instance.

9.    Choisissez « View output » (Afficher la sortie) pour obtenir des instructions sur la récupération du nouveau mot de passe.

10.    Une fois que vous avez récupéré l'accès à votre instance, il est recommandé d'effectuer une rotation du mot de passe, puis de supprimer le paramètre de « Parameter Store ».

Pour plus d'informations, consultez Utilisation d'EC2Rescue for Windows Server avec Run Command pour Systems Manager.

Systems Manager Automation AWSSupport-ResetAccess (méthode hors ligne)

Avertissement : avant d'exécuter l'automatisation, prenez en compte les éléments suivants :

  • Si vous n'utilisez pas d'adresse IP Elastic, l'adresse, l'IP publique se libère lorsque vous arrêtez l'instance.
  • Si cette instance a un volume de stockage d'instance, toutes les données qu'elle contient sont perdues lorsque l'instance s'arrête.
  • Si le comportement d'arrêt de l'instance est défini sur Résilier, l'instance se résilie lorsqu'elle s'arrête.
  • Si l'instance fait partie d'un groupe Auto Scaling, détachez d'abord l'instance du groupe Auto Scaling. Ensuite, après avoir arrêté et démarré l'instance, attachez l'instance au groupe Auto Scaling.

AWSSupport-ResetAccess est un document Systems Manager Automation qui automatise la réinitialisation du mot de passe hors connexion EC2Rescue à l'aide des fonctions AWS CloudFormation et AWS Lambda. Le document d'automatisation :

  • Crée une instance pour faciliter la récupération dans votre zone de disponibilité.
  • Attache et détache des volumes EBS.
  • Exécute l'utilitaire EC2Rescue.
  • Créez un Amazon VPC pour EC2Rescue isolé de votre environnement.
  • Créez une AMI de sauvegarde de l'instance.

Vous pouvez utiliser le document AWSSupport-ResetAccess si :

  • Vous avez perdu votre paire de clés EC2 et souhaitez créer une AMI avec mot de passe à partir de votre instance EC2 pour lancer une nouvelle instance avec une paire de clés existante.
  • Vous avez perdu votre mot de passe administrateur local et souhaitez générer un nouveau mot de passe que vous pouvez déchiffrer avec la paire de clés EC2 actuelle.

1.    Ouvrez la console AWS Systems Manager, puis choisissez « Automation » (Automatisation) dans le volet de navigation.

2.    Choisissez « Execute automation » (Exécuter l'automatisation).

3.    Pour « Automation document » (Document d'automatisation), choisissez AWSSupport-ResetAccess, puis « Next » (Suivant).

4.    Pour Paramètres d'entrée, saisissez l'ID d'instance de votre instance EC2.

5.    Choisissez « Execute » (Exécuter).

6.    Attendez que le statut de l'état passe à Succès. Vous pouvez attendre jusqu'à 25 minutes.

Remarque : sur la page Informations de l'exécution affichez Étapes exécutées pour surveiller la progression. Agrandissez Sorties pour afficher la sortie de l'automatisation. Pour revenir à cette page, ouvrez la console AWS Systems Manager, puis choisissez « Automation » (Automatisation) dans le volet de navigation. Sélectionnez l'automatisation en cours d'exécution, puis choisissez « View details » (Afficher les informations).

7.    Utilisez votre paire de clés existante pour décoder le mot de passe nouvellement généré à partir de la console EC2. Pour plus d'informations, consultez Comment récupérer mon mot de passe administrateur Windows après avoir lancé une instance ?

Si vous avez perdu votre paire de clés EC2

1.    Arrêtez votre instance.

Avertissement : avant l'arrêt d'une instance, tenez compte des points suivants.

  • Si vous n'utilisez pas d'adresse IP Elastic, l'adresse, l'IP publique se libère lorsque vous arrêtez l'instance.
  • Si cette instance a un volume de stockage d'instance, toutes les données qu'elle contient sont perdues lorsque l'instance s'arrête.
  • Si le comportement d'arrêt de l'instance est défini sur Résilier, l'instance se résilie lorsqu'elle s'arrête.
  • Si l'instance fait partie d'un groupe Auto Scaling, détachez d'abord l'instance du groupe Auto Scaling. Ensuite, après avoir arrêté et démarré l'instance, attachez l'instance au groupe Auto Scaling.

Pour plus d'informations, consultez Arrêter et démarrer votre instance.

2.    Ouvrez la console Amazon EC2, puis choisissez les AMI.

3.    Recherchez votre ID d'instance.

4.    Sélectionnez l'AMI nommée AWSSupport-EC2Rescue-post-script-Backup-I-xxxxxxxxx_Date, puis choisissez Lancer.

5.    Suivez l'assistant de lancement pour spécifier la configuration de votre instance, puis sélectionnez une paire de clés que vous possédez.

6.    Vérifiez que vous pouvez vous connecter à la nouvelle instance et que vos applications fonctionnent comme prévu avant de mettre fin à l'autre instance.

EC2Rescue (méthode hors ligne ou en ligne)

Pour régénérer le mot de passe administrateur lors du prochain démarrage, vous pouvez activer EC2SetPassword à l'aide d'EC2Rescue :

1.    Choisissez « Diagnose and Rescue » (Diagnostiquer et sauver). La section EC2Config affiche le paramètre Ec2SetPassword actuel. Sélectionnez Next (Suivant).

2.    Dans « Detect possible issues » (Détecter des problèmes éventuels), cochez la case Ec2SetPassword puis choisissez « Next » (Suivant).

Pour plus d'informations, consultezComment résoudre les problèmes liés à mon instance EC2 Windows en utilisant l'outil EC2Rescue ?