AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

EC2 Windows インスタンスの管理者パスワードをリセットするにはどうすればよいですか?

所要時間3分
0

Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスの管理者パスワードをリセットしたいと考えています。

解決策

AWS Systems Manager または EC2Rescue for Windows Server を使用して EC2 Windows インスタンスの管理者パスワードをリセットできます。

Systems Manager Run Command AWSSupport-RunEC2RescueForWindowsTool (オンラインの方法)

前提条件:

  • AWS アカウントの Systems Manager を設定してから、インスタンスに Systems Manager エージェントをインストールする必要があります。詳細については、「AWS Systems Manager のセットアップ」を参照してください。
  • インスタンスは、パブリック IP アドレスまたは NAT を使用して、(Systems Manager 用に) インターネットにアクセスできる必要があります。
    または
    インスタンスは Systems Manager 用に設定された Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを使用する必要があります。
    詳細については、「AWS PrivateLink の概念」を参照してください。

Run Command を使用して Systems Manager で管理者パスワードをリセットするには、次の手順に従います:

1.    暗号化されたパスワードをパラメータストアに書き込むために、インスタンスに関連付けられた AWS Identity and Access Management (IAM) ロールに以下のポリシーを追加します:

{  
  "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Effect": "Allow",  
      "Action": [  
        "ssm:PutParameter"  
      ],  
      "Resource": [  
        "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*"  
      ]  
    }  
  ]  
}

2.    AWS Systems Manager コンソールを開き、ナビゲーションペインから [Run Command] を選択します。

3.    [コマンドを実行する] を選択します。

4.    [コマンドドキュメント] にで、[AWSSupport-RunEC2RescueForWindowsTool] を選択します。

5.    [コマンドのパラメータ] で、[コマンド][ResetAccess] に設定されていることを確認します。

6.    [ターゲット] で、[インスタンスを手動で選択] を選択し、インスタンスを選択します。

7.    [実行] を選択します。

8.    [ターゲットと出力] セクションで、対象のインスタンスの [インスタンス ID] を選択します。

9.    新しいパスワードを取得する方法については [出力の表示] を選択します。

10.    インスタンスへのアクセスを回復したら、パスワードをローテーションし、パラメータストアからパラメータを削除するのがベストプラクティスです。

詳細については、「Use EC2Rescue for Windows Server with Systems Manager Run Command」を参照してください。

マネージドノードでパスワードをリセットする (オンラインの方法)

Amazon EC2 インスタンスのマネージドノードで、任意のユーザーのパスワードをリセットできます。

詳細な手順については、「マネージドノードのパスワードをリセットする」を参照してください。この方法を使用する前に、すべての前提条件を満たしていることを確認してください。

1.    Systems Manager コンソールを開きます。

2.    左側のナビゲーションペインで、[フリートマネージャー] を選択します。

3.    新しいパスワードが必要となるノードを選択します。

4.    [インスタンスアクション] メニューで、[パスワードをリセットする] を選択します。

5.    [ユーザー名] に、パスワードを変更するユーザー名を入力します。ノードにアカウントを持つ任意のユーザー名を指定できます。

6.    [送信] を選択します。

7.    [新しいパスワードの入力] コマンドウィンドウのプロンプトに従って、新しいパスワードを指定します。

Systems Manager Automation AWSSupport-ResetAccess (オフラインの方法)

警告: 自動化を実行する前に、次の点に注意してください:

  • Elastic IP アドレスを使用していない場合は、インスタンスが停止すると、パブリック IP アドレスは解放されます。
  • このインスタンスにインスタンスストアボリュームがある場合、インスタンスが停止すると、そのデータはすべて失われます。
  • [インスタンスのシャットダウン動作][終了] に設定されている場合は、インスタンスは停止時に終了します。
  • インスタンスが Auto Scaling グループの一部である場合は、まず Auto Scaling グループからインスタンスをデタッチします。次に、インスタンスを停止して起動したら、そのインスタンスを Auto Scaling グループにアタッチし直します。

詳細については、「インスタンスの停止と起動」を参照してください。

AWSSupport-ResetAccess は、AWS CloudFormation および AWS Lambda 関数を使用して EC2Rescue のオフラインパスワードリセットを自動化する System Manager Automation のドキュメントです。オートメーションドキュメントは以下の操作を実行します:

  • アベイラビリティーゾーンの復旧を支援するインスタンスを作成します。
  • Amazon Elastic Block Store (Amazon EBS) ボリュームをアタッチおよびデタッチします。
  • EC2Rescue ユーティリティを実行します。
  • お客様の環境から分離された EC2Rescue 用の Amazon VPC を作成します。
  • インスタンスのバックアップ AMI を作成します。

次のシナリオでは、AWSSupport-ResetAccess ドキュメントを使用できます:

  • EC2 キーペアを紛失したため、EC2 インスタンスからパスワード対応 AMI を作成して、既存のキーペアで新しいインスタンスを起動する場合。
  • ローカル管理者のパスワードを紛失したため、現在の EC2 キーペアで復号化できる新しいパスワードを生成する必要がある場合。

重要: 暗号化されたルート EBS ボリュームでは、AWSSupport-ResetAccess ドキュメントは使用できません。

1.    Systems Manager コンソールを開き、ナビゲーションペインから [自動化] を選択します。

2.    [オートメーションの実行] を選択します。

3.    [オートメーションドキュメント] では、[AWSSupport-ResetAccess] を選択してから、[次へ] を選択します。

4.    [入力パラメータ] に、EC2 インスタンスのインスタンス ID を入力します。

5.    [実行] を選択します。

6.    状態が [成功] になるまで待ちます。これには最大 25 分かかる場合があります。

: [実行の詳細] ページで、[実行されたステップ] を表示して進行状況を監視します。[出力] を展開すると、自動化の出力を表示できます。このページに戻るには、Systems Manager コンソールを開き、ナビゲーションペインから [自動化] を選択します。実行中の自動化を選択し、[詳細の表示] を選択します。

7.    既存のキーペアを使用して、新しく生成されたパスワードを EC2 コンソールからデコードします。詳細については、「インスタンスを起動した後に Windows 管理者パスワードを取り戻す方法を教えてください。」を参照してください。

EC2 キーペアを紛失した場合

1.    インスタンスを停止します。

警告: インスタンスを停止する前に、次の点に注意してください:

  • Elastic IP アドレスを使用していない場合、インスタンスを停止するとパブリック IP アドレスは解放されます。
  • このインスタンスにインスタンスストアボリュームがある場合、インスタンスが停止すると、そのデータはすべて失われます。
  • [インスタンスのシャットダウン動作][終了] に設定されている場合は、インスタンスは停止時に終了します。
  • インスタンスが Auto Scaling グループの一部である場合は、まず Auto Scaling グループからインスタンスをデタッチします。次に、インスタンスを停止して起動したら、そのインスタンスを Auto Scaling グループにアタッチし直します。

詳細については、「インスタンスの停止と起動」を参照してください。

2.    Amazon EC2 コンソールを開き、[AMI] を選択します。

3.    インスタンス ID を検索します。

4.    AWSSupport-EC2Rescue-Post-Script-Backup-i-xxxxxxxxx_Date という名前の AMI を選択し、[起動] を選択します。

5.    [起動] ウィザードに従ってインスタンスの設定を指定し、所有するキーペアを選択します。

6.    他のインスタンスを終了する前に、新しいインスタンスに接続できること、およびアプリケーションが想定どおりに動作していることを確認してください。

EC2Rescue (オフラインまたはオンラインの方法)

EC2Rescue を使用して、次回のインスタンス起動時に管理者パスワードをリセットするには、以下の手順を実行します:

1.    パスワードをリセットするインスタンスと同じアベイラビリティーゾーンにある一時的なヘルパーインスタンスを作成します。または、同じアベイラビリティーゾーンにある RDP アクセス許可を持つインスタンスを使用することもできます。

2.    パスワードのリセットが必要なインスタンスのスナップショットを作成するか、AMI バックアップを作成します。

3.    パスワードのリセットが必要なインスタンスを停止します。

4.    パスワードのリセットが必要なインスタンスから、ルートボリュームをデタッチします。

5.    手順 1 の一時ヘルパーインスタンスに、手順 4 でデタッチしたルートボリュームをアタッチします。

6.    EC2Rescue をダウンロードし、EC2Rescue 実行可能ファイルを実行して、zip ファイルを抽出します。

7.    EC2Rescue ユーティリティを実行します。[オフラインインスタンス] を選択し、一時ヘルパーインスタンスにアタッチしたルート EBS ボリュームを選択します。

8.    [診断とレスキュー] を選択します。[発生する可能性のある問題を検出する] で、[Ec2SetPassword] チェックボックスを選択し、[次へ] を選択します。

9.    EC2Rescue 起動ウィザードを完了して、ルート EBS ボリュームを元のインスタンスにアタッチし、新しいパスワードを確認します。

詳細については、「EC2Rescue を使用して Amazon EC2 Windows インスタンスの問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。

関連情報

Amazon EC2 の Identity and Access Management

EC2 Windows インスタンスのトラブルシューティング

Use EC2Rescue for Windows Server

Run the EC2Rescue tool on unreachable instances

AWS Systems Manager

トピック
計算するエンドユーザーコンピューティング
タグ
Amazon EC2AWS Support Automation WorkflowsWindows
言語
日本語

関連ビデオ

詳細については、Ryan のビデオをご覧ください (4:35)
詳細については、Ryan のビデオをご覧ください (4:35)
AWS公式
AWS公式更新しました 10ヶ月前
コメントはありません

関連するコンテンツ