EC2 Windows インスタンスの管理者パスワードをリセットするにはどうすればよいですか?

解決策

AWS Systems Manager または EC2Rescue for Windows Server を使用して EC2 Windows インスタンスの管理者パスワードをリセットできます。

Systems Manager 実行コマンド AWSSupport-RunEC2RescueForWindowsTool (オンラインメソッド)

前提条件:

• AWS アカウントの Systems Manager を設定してから、インスタンスに Systems Manager エージェントをインストールする必要があります。詳細については、「AWS Systems Manager のセットアップ」を参照してください。
• インスタンスは、パブリック IP アドレスまたは (Systems Manager の) NAT を使用してインターネットにアクセスできる必要があります。
  -または-
  インスタンスは Systems Manager 用に設定された Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを使用する必要があります。
  詳細については、「AWS PrivateLink の概念」を参照してください。

実行コマンドを使用して Systems Manager で管理者パスワードをリセットするには、次の手順に従ってください。

1.    暗号化されたパスワードをパラメータストア に書き込むには、インスタンスに関連付けられた AWS Identity and Access Management (IAM) ロールに以下のポリシーをアタッチします。

{  
  "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Effect": "Allow",  
      "Action": [  
        "ssm:PutParameter"  
      ],  
      "Resource": [  
        "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*"  
      ]  
    }  
  ]  
}

2.    AWS Systems Manager コンソールを開き、ナビゲーションペインから [コマンドを実行] を選択します。

3.    [コマンド実行] を選択します。

4.    [コマンドドキュメント] については、「AWSSupport-RunEC2RescueForWindowsTool」 を選択します。

5.    [コマンドパラメータ] については、[コマンド] が ResetAccess に設定されていることを確認します。

6.    [ターゲット] は、[インスタンスを手動で選択] を選択し、インスタンスを選択します。

7.    [実行] を選択します。

8.    [ターゲットと出力] セクションでは、お使いのインスタンスの [インスタンス ID] を選択します。

9.    新しいパスワードを取得する方法については [出力を表示] を選択します。

10.    インスタンスへのアクセスを回復したら、パスワードをローテーションし、Parameter Store からパラメータを削除するのがベストプラクティスです。

詳細については、「System Manager 実行コマンドによる Windows Server 用 EC2Rescue の使用」を参照してください。

マネージドノードのパスワードリセット (オンラインメソッド)

Amazon EC2 インスタンスのマネージドノードのすべてのユーザーのパスワードをリセットできます。

詳細な手順については、「マネージドノードのパスワードのリセット」を参照してください。この方法を使用する前に、すべての「前提条件」を満たしていることを確認してください。

1.    Systems Manager コンソールを開きます。

2.    左側のナビゲーションペインで、[フリートマネージャー] を選択します。

3.    新しいパスワードが必要となるノードを選択します。

4.    [インスタンスアクション] メニューで、[パスワードのリセット] を選択します。

5.    [ユーザー名] に、パスワードを変更したいユーザー名を入力します。この名前を、ノードにアカウントを持つ任意のユーザー名にすることができます。

6.    [送信] を選択します。

7.    「新しいパスワードの入力」 コマンドウィンドウのプロンプトに従って、新しいパスワードを指定します。

Systems Manager Automation AWSSupport-ResetAccess (オフラインメソッド)

警告: オートメーションを実行する前に、次の点に注意してください。

• Elastic IP アドレスを使用していない場合は、インスタンスが停止すると、パブリック IP アドレスは解放されます。
• このインスタンスにインスタンスストアボリュームがある場合、インスタンスが停止すると、そのデータはすべて失われます。
• [インスタンスのシャットダウン動作] が [終了] に設定されている場合は、停止するとインスタンスは終了します。
• インスタンスが Auto Scaling グループの一部である場合は、はじめに Auto Scaling グループからインスタンスを [デタッチ] します。次に、インスタンスを停止して起動したら、そのインスタンスを Auto Scaling グループに [アタッチ] し直します。

詳細については、「インスタンスの停止と起動」を参照してください。

AWSSupport-ResetAccess は、AWS CloudFormation および AWS Lambda 関数を使用して EC2Rescue のオフラインパスワードリセットを自動化する System Manager オートメーションドキュメントです。自動化ドキュメントは以下の操作を実行します。

• アベイラビリティーゾーンの復旧を支援するインスタンスを作成します。
• Amazon Elastic Block Store (Amazon EBS) ボリュームをアタッチおよびデタッチします。
• EC2Rescue ユーティリティを実行します。
• お客様の環境から分離された EC2Rescue 用の Amazon VPC を作成します。
• インスタンスのバックアップ AMI を作成します。

次のシナリオでは、AWSSupport-ResetAccess ドキュメントを使用できます。

• EC2 キーペアを紛失しました。そのため EC2 インスタンスからパスワード対応 AMI を作成して、既存のキーペアで新しいインスタンスを起動する場合。
• ローカル管理者のパスワードを紛失しました。そのため現在の EC2 キーペアで復号化できる新しいパスワードを生成する必要がある場合。

重要: 暗号化されたルート EBS ボリュームでは、 AWSSupport-ResetAccess ドキュメントは使用できません。

1.    Systems Manager コンソールを開き、ナビゲーションペインから [Automation] を選択します。

2.    [オートメーションの実行] を選択します。

3.    [オートメーションドキュメント] では、[AWSSupport-ResetAccess] を選択してから、[次へ] を選択します。

4.    [入力パラメータ] には、EC2 インスタンスの**インスタンス ID **を入力します。

5.    [実行] を選択します。

6.    状態が [成功] になるまで待ちます。これには最大 25 分かかる場合があります。

注: [実行詳細] ページで、[実行済みステップ] を表示して進行状況を監視します。[アウトプット] を展開すると、オートメーションの出力を表示できます。このページに戻るには、Systems Manager コンソールを開き、ナビゲーションペインから [オートメーション] を選択します。実行中のオートメーションを選択し、[詳細を表示] を選択します。

7.    既存のキーペアを使用して、新しく生成されたパスワードを EC2 コンソールからデコードします。詳細については、「インスタンスを起動した後に Windows 管理者パスワードを取得するにはどうすればよいですか?」を参照してください。

EC2 キーペアを紛失した場合

1.    インスタンスを停止します。

警告: インスタンスを停止する前に、次の点に注意してください。

• Elastic IP アドレスを使用していない場合、インスタンスを停止するとパブリック IP アドレスは解放されます。
• このインスタンスにインスタンスストアボリュームがある場合、インスタンスが停止すると、そのデータはすべて失われます。
• [インスタンスのシャットダウン動作] が [終了] に設定されている場合は、停止するとインスタンスは終了します。
• インスタンスが Auto Scaling グループの一部である場合は、まずはじめに Auto Scaling グループからインスタンスを「デタッチ」します。次に、インスタンスを停止して起動したら、そのインスタンスを Auto Scaling グループに [アタッチ] し直します。

詳細については、「インスタンスの停止と起動」を参照してください。

2.    [Amazon EC2 コンソール] を開き、[AMIs] を選択します。

3.    インスタンス ID を検索します。

4.    AWSSupport-EC2Rescue-Post-Script-Backup-i-xxxxxxxxx_Date という名前の AMI を選択し、[起動] を選択します。

5.    Launch Wizard に従ってインスタンスの設定を指定し、所有するキーペアを選択します。

6.    他のインスタンスを終了する前に、新しいインスタンスに接続できること、およびアプリケーションが想定どおりに動作していることを確認してください。

EC2Rescue (オフラインまたはオンラインメソッド)

EC2Rescue を使用して、次回のインスタンス起動時に管理者パスワードをリセットするには、以下の手順を実行します。

1.    パスワードをリセットするインスタンスと同じアベイラビリティーゾーンにある一時的なヘルパーインスタンスを作成します。または、同じアベイラビリティーゾーンにある RDP アクセス許可を持つインスタンスを使用することもできます。

2.    パスワードのリセットが必要なインスタンスのスナップショットを作成するか、AMI バックアップを作成します。

3.    パスワードのリセットが必要なインスタンスを停止します。

4.    パスワードのリセットが必要なインスタンスから、ルートボリュームをデタッチします。

5.    ステップ 1 の一時ヘルパーインスタンスに、ステップ 4 でデタッチしたルートボリュームをアタッチします。

6.    EC2Rescue をダウンロードし、EC2Rescue 実行可能ファイルを実行して、zip ファイルを抽出します。

7.    EC2Rescue ユーティリティを実行します。[オフラインインスタンス] を選択し、一時ヘルパーインスタンスにアタッチしたルート EBS ボリュームを選択します。

8.    [診断とレスキュー] を選択します。[発生する可能性のある問題を検出する] で、[Ec2SetPassword] チェックボックスを選択し、[次へ] を選択します。

9.    EC2Rescue 起動ウィザードを完了して、ルート EBS ボリュームを元のインスタンスにアタッチし、新しいパスワードを確認します。

詳細については、「EC2Rescue を使用して Amazon EC2 Windows インスタンスの問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。

関連情報

Amazon EC2 の Identity and Access Management

EC2 Windows インスタンスをトラブルシューティングする

Windows Server 用 EC2Rescue を使用する

到達不可能なインスタンスでの EC2Rescue ツールの実行

AWS Systems Manager