如何在 EC2 Windows 執行個體上重設管理員密碼？

解決方法

您可以使用 AWS Systems Manager 或適用於 Windows Server 的 EC2Rescue 在 EC2 Windows 執行個體上重設管理員密碼。

AWSSupport-RunEC2RescueForWindowsTool 系統管理員執行命令 (線上方法)

先決條件：

• 您必須為 AWS 帳戶設定系統管理員，然後在執行個體上安裝系統管理員代理程式。如需詳細資訊，請參閱設定 AWS Systems Manager。
• 執行個體必須使用公用 IP 地址或 NAT 存取網際網路 (適用於系統管理員)。
  -或-
  執行個體必須使用為系統管理員設定的 Amazon Virtual Private Cloud (Amazon VPC) 端點。
  如需詳細資訊，請參閱 AWS PrivateLink 概念。

若要使用系統管理員的執行命令重設管理員密碼，請使用下列步驟：

1.    將下列政策附加至與該執行個體相關聯的 AWS Identity and Access Management (IAM) 角色：

{  
  "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Effect": "Allow",  
      "Action": [  
        "ssm:PutParameter"  
      ],  
      "Resource": [  
        "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*"  
      ]  
    }  
  ]  
}

2.    開啟 AWS Systems Manager 主控台，然後從導覽窗格中選擇 執行命令。

3.    選擇執行命令。

4.    對於命令文件，選擇 AWSSupport-RunEC2RescueForWindowsTool。

5.    對於命令參數，確認將命令設定為ResetAccess。

6.    在目標中，選擇手動選擇執行個體，然後選擇您的執行個體。

7.    選擇執行。

8.    在目標和輸出區段中，選取您的執行個體的執行個體 ID。

9.    選擇檢視輸出，以獲取關於如何擷取新密碼的指示。

10.    重新獲取對執行個體的存取權後，最佳實務是輪換密碼，並從 Parameter Store 刪除該參數。

如需詳細資訊，請參閱透過系統管理員執行命令使用適用於 Windows Server 的 EC2Rescue。

在受管節點上重設密碼 (線上方法)

您可以在 Amazon EC2 執行個體的受管節點上為任何使用者重設密碼。

如需詳細指示，請參閱在受管節點上重設密碼。使用此方法之前，請務必確認您符合所有先決條件。

1.    開啟 Systems Manager 主控台。

2.    在左側導覽窗格中，選擇 Fleet Manager。

3.    選取需要新密碼的節點。

4.    在執行個體動作功能表中，選擇重設密碼。

5.    在使用者名稱，輸入您要更改密碼的使用者的名稱。可以是在該節點擁有帳戶的任何使用者名稱。

6.    選擇提交。

7.    依照輸入新密碼命令視窗中的提示指定新密碼。

Systems Manager Automation AWSSupport-ResetAccess (離線方法)

警告： 執行自動化操作前，請注意以下事項：

• 如果您沒有使用彈性 IP 地址，則會在您停止執行個體時釋放公用 IP 地址。
• 如果這個執行個體有執行個體儲存體磁碟區，則當執行個體停止時，其上的任何資料都會遺失。
• 如果執行個體關閉行為設定為終止，則執行個體會在停止時終止。
• 如果執行個體是 Auto Scaling 群組的一部分，請先將該執行個體與 Auto Scaling 群組分離。然後，停止和啟動執行個體後，再將該執行個體重新連接至 Auto Scaling 群組。

如需詳細資訊，請參閱停止和啟動執行個體。

AWSSupport-ResetAccess 是一份 Systems Manager Automation 文件，可使用 AWS CloudFormation 和 AWS Lambda 函數實現 EC2Rescue 離線密碼重設自動化。自動化文件會執行下列作業：

• 建立執行個體以協助在您的可用區域中復原。
• 連接和分離 Amazon Elastic Block Store (Amazon EBS) 磁碟區。
• 執行 EC2Rescue 公用程式。
• 建立一個與您的環境隔離的適用於 EC2Rescue 的 Amazon VPC。
• 建立執行個體的備份 AMI。

您可以在下列案例中使用 AWSSupport-ResetAccess 文件：

• 您遺失了 EC2 金鑰對。現在，您想要從 EC2 執行個體建立啟用密碼的 AMI，以使用現有金鑰對啟動新的執行個體。
• 您遺失了本機管理員密碼。現在，您想要生成一個可以使用當前 EC2 密鑰對解密的新密碼。

**重要：**您不能將 AWSSupport-ResetAccess 文件與加密根 EBS 磁碟區搭配使用。

1.    開啟 Systems Manager 主控台，然後從導覽窗格中選擇自動化。

2.    選擇執行自動化。

3.    在自動化文件中，選擇 AWSSupport-ResetAccess，然後選擇下一步。

4.    在輸入參數中，輸入 EC2 執行個體的執行個體 ID。

5.    選擇執行。

6.    等待狀態變更為成功。這最多可能需要 25 分鐘。

注意： 在執行詳細資料頁面上，檢視已執行的步驟以監督進度。展開輸出以檢視自動化輸出。要返回此頁面，請打開 Systems Manager 主控台，然後從導航窗格中選擇自動化。選取正在執行的自動化，然後選擇檢視詳細資料。

7.    使用現有金鑰對從 EC2 主控台解碼新產生的密碼。如需詳細資訊，請參閱如何在啟動執行個體後擷取 Windows 管理員密碼？

如果您遺失了 EC2 金鑰對

1.    停止執行個體。

警告： 停止執行個體前，請注意以下事項：

• 如果您沒有使用彈性 IP 地址，則您停止執行個體時會釋放公用 IP 地址。
• 如果這個執行個體有執行個體儲存體磁碟區，則當執行個體停止時，其上的任何資料都會遺失。
• 如果執行個體關閉行為設定為終止，則執行個體會在停止時終止。
• 如果執行個體是 Auto Scaling 群組的一部分，請先從 Auto Scaling 群組分離該執行個體。然後，停止和啟動執行個體後，再將該執行個體重新連接至 Auto Scaling 群組。

如需詳細資訊，請參閱停止和啟動執行個體。

2.    開啟 Amazon EC2 主控台，然後選擇 AMI。

3.    搜尋您的執行個體 ID。

4.    選取名為 AWSSupport-EC2Rescue-Post-Script-Backup-i-xxxxxxxxx_Date 的 AMI，然後選擇啟動。

5.    按實驗室指示指定執行個體組態，然後選取您擁有的一個金鑰對。

6.    終止其他執行個體前，確認您可以連接至這個新的執行個體，並且您的應用程式如預期般運作。

EC2Rescue (離線或線上方法)

若要在下次使用 EC2Rescue 啟動執行個體時重設管理員密碼，請執行下列動作：

1.    建立一個臨時的助手執行個體，與您要重設密碼的執行個體位於同一可用區域內。或者，您可以使用該相同可用區域內具有 RDP 存取權的執行個體。

2.    為需要重設密碼的執行個體拍攝快照或建立 AMI 備份。

3.    停止該需要重設密碼的執行個體。

4.    從需要重設密碼的執行個體中分離根磁碟區。

5.    將步驟 4 中分離的根磁碟區連接至步驟 1 的臨時助手執行個體上。

6.    下載 EC2Rescue，並透過執行 EC2Rescue 可執行檔解壓縮 zip 檔案。

7.    執行 EC2Rescue 公用程式。選擇離線執行個體，並選取您連接至臨時助手執行個體的根 EBS 磁碟區。

8.    選擇診斷和救援。在 偵測可能的問題中，選取 Ec2SetPassword 核取方塊，然後選擇下一步。

9.    完成 EC2Rescue 實驗室，然後將 EBS 磁碟區重新連接至原來的執行個體，以驗證新密碼。

如需詳細資訊，請參閱如何使用 EC2Rescue 來疑難排解我的 Amazon EC2 Windows 執行個體的問題？

相關資訊

Amazon EC2 的身分和存取管理

疑難排解 EC2 Windows 執行個體

使用適用於 Windows Server 的 EC2Rescue

在無法連線的執行個體上執行 EC2Rescue 工具

AWS Systems Manager