EC2 Windows インスタンスの管理者パスワードをリセットする方法を教えてください。

解決策

Systems Manager Run Command AWSSupport-RunEC2RescueForWindowsTool (オンライン方式)

前提条件:

• AWS Systems Manager を構成し、インスタンスに Systems Manager エージェントをインストールする必要があります。詳細については、「AWS Systems Manager のセットアップ」を参照してください。
• インスタンスにはインターネットアクセスがあり、パブリック IP アドレスまたは NAT ゲートウェイを使用する必要があります。
  または、
  インスタンスは Systems Manager 用に設定された Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを使用する必要があります。
  詳細については、「AWS PrivateLink の概念」を参照してください。

Systems Manager Run Command を使用して管理者パスワードをリセットするには、次の手順を実行します。

1. インスタンスに関連付けられた AWS Identity and Access Management (IAM) ロールに次のポリシーをアタッチします。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:PutParameter"
               ],
               "Resource": [
                   "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*"
               ]
           }
       ]
   }
   

   このポリシーは、暗号化されたパスワードを Parameter Store に書き込みます。

2. Systems Manager コンソールを開きます。

3. ナビゲーションペインで [Run Command] を選択します。

4. [コマンドを実行] を選択します。

5. [コマンドドキュメント] で AWSSupport-RunEC2RescueForWindowsTool を選択します。

6. [コマンドパラメータ] において、[コマンド] が ResetAccess に設定されていることを確認します。

7. [ターゲット] で [インスタンスを手動で選択] を選択し、目的のインスタンスを選択します。

8. [実行] を選択します。

9. [ターゲットと出力] セクションで目的のインスタンスの [インスタンス ID] を選択します。

10. [出力の表示] を選択すると、新しいパスワードを取得する手順が表示されます。

注: インスタンスへのアクセスを復旧した後は、パスワードをローテーションし、Parameter Store からパラメータを削除することをおすすめします。

詳細については、「EC2Rescue と Systems Manager を使用して障害のある Windows インスタンスをトラブルシューティングする」を参照してください。

Systems Manager Automation AWSSupport-ResetAccess (オフライン方式)

重要: オートメーションを実行する前に、次の情報を確認してください。

• Elastic IP アドレスを使用していない場合、インスタンスの停止時にパブリック IP アドレスは解放されます。
• このインスタンスにインスタンスストアボリュームがある場合、インスタンスの停止時に、データはすべて失われます。
• インスタンスのシャットダウン動作が Terminate に設定されている場合、インスタンスは停止時に破棄されます。
• インスタンスが Auto Scaling グループに属している場合は、まず Auto Scaling グループからそのインスタンスをデタッチします。インスタンスを停止して起動した後、そのインスタンスを Auto Scaling グループに再度アタッチします。

Systems Manager Automation ドキュメント AWSSupport-ResetAccess は、AWS CloudFormation および AWS Lambda 関数を使用して EC2Rescue のオフラインでのパスワードリセットを自動化します。オートメーションドキュメントは次の操作を行います。

• アベイラビリティーゾーンの復旧を支援するインスタンスを作成します。
• Amazon Elastic Block Store (Amazon EBS) ボリュームのアタッチ、デタッチ。
• EC2Rescue ツールの実行。
• 環境から独立した、EC2Rescue 用の Amazon VPC の作成。
• インスタンスのバックアップ Amazon マシンイメージ (AMI) の作成。

次のシナリオでは、AWSSupport-ResetAccess ドキュメントを使用できます。

• Amazon EC2 キーペアを紛失した場合。EC2 インスタンスでパスワードが有効な AMI を作成し、既存のキーペアを使用して新しいインスタンスを起動する場合。
• ローカル管理者のパスワードを紛失した場合。現在の Amazon EC2 キーペアで復号化できる新しいパスワードを生成する必要がある場合。

重要: 暗号化されたルート Amazon EBS ボリュームでは、AWSSupport-ResetAccess ドキュメントは使用できません。
AWSSupport-ResetAccess を使用してパスワードをリセットするには、次の手順を実行します。

1. Systems Manager コンソールを開きます。
2. ナビゲーションペインで、[オートメーション] を選択します。
3. [オートメーションの実行] を選択します。
4. [オートメーションドキュメント] で AWSSupport-ResetAccess を選択し、[次へ] を選択します。
5. [入力パラメータ] に EC2 インスタンスの InstanceID を入力します。
6. [実行] を選択します。
7. 状態が Success に変化するまで待ちます。最大 25 分かかる場合があります。
   注: [実行の詳細] ページで、[実行されたステップ] を表示して進行状況を監視します。[出力] を展開すると、自動化の出力を表示できます。このページに戻るには、Systems Manager コンソールを開き、ナビゲーションペインから [自動化] を選択します。実行中のオートメーションを選択し、[詳細の表示] を選択します。
8. 既存のキーペアを使用し、新しく生成したパスワードを Amazon EC2 コンソールからデコードします。詳細については、「EC2 インスタンスを起動した後に Windows 管理者パスワードを取得する方法を教えてください」を参照してください。

Amazon EC2 キーペアを紛失した場合

Amazon EC2 キーペアを紛失した場合は、次の手順を実行してください。

1. インスタンスを停止します。
2. Amazon EC2 コンソール を開き、**[AMI]**を選択します。
3. 目的のインスタンス ID を検索します。
4. AWSSupport-EC2Rescue-Post-Script-Backup-i-#########_Date という名前の AMI を選択し、[起動] を選択します。
5. 起動ウィザードに従ってインスタンスの構成を指定し、所有するキーペアを選択します。
6. 他方のインスタンスを破棄する前に、新しいインスタンスに接続可能であり、アプリケーションが想定通りに動作することを確認してください。

EC2Rescue (オフラインまたはオンライン方式)

次回のインスタンス起動時に EC2Rescue を使用して管理者パスワードをリセットするには、次の手順を実行します。

1. パスワードをリセットするインスタンスと同じアベイラビリティーゾーン内に、一時的なヘルパーインスタンスを作成します。または、同じアベイラビリティーゾーン内の、Remote Desktop Protocol (RDP) アクセスを持つインスタンスを使用してもかまいません。
2. パスワードのリセットが必要なインスタンスのスナップショットを作成するか、AMI バックアップを作成します。
3. パスワードのリセットが必要なインスタンスを停止します。
4. パスワードのリセットが必要なインスタンスから、ルートボリュームをデタッチします。
5. ステップ 4 のルートボリュームをステップ 1 の一時ヘルパーインスタンスにアタッチします。
6. EC2Rescue をダウンロードし、EC2Rescue 実行可能ファイルを実行して zip ファイルを解凍します。
7. EC2Rescue ツールを実行します。[オフラインインスタンス] を選択し、一時ヘルパーインスタンスにアタッチしたルート EBS ボリュームを選択します。
8. [診断とレスキュー] を選択します。[潜在的な問題の検出] で Ec2SetPassword にチェックを入れ、[次へ] を選択します。
9. EC2Rescue 起動ウィザードを完了します。次に、ルート EBS ボリュームを元のインスタンスにアタッチし、新しいパスワードを確認します。

詳細については、「EC2Rescue を使用して Amazon EC2 Windows インスタンスの問題をトラブルシューティングする方法を教えてください」を参照してください。

マネージドノード (オンライン方式)

EC2 インスタンスのマネージドノードでは、任意のユーザーパスワードをリセットできます。この方法を実施する前に、すべての前提条件を満たしていることを確認する必要があります。

1. Systems Manager コンソールを開きます。

2. ナビゲーションペインで [Fleet Manager] を選択します。

3. 新しいパスワードを必要とするノードを選択します。

4. [ノードアクション] メニューで [ノード設定] を選択します。次に、[ノードユーザーパスワードのリセット] を選択します。
   注: パスワードのリセット機能を使用するには、暗号化が必須です。Session Manager の [プリファレンス] ページで AWS Key Management Service (AWS KMS) キーを構成します。

5. 復号化を行うには、インスタンスに関連付けられた IAM ロールに次のポリシーをアタッチします。

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "AllowKMSDecrypt",
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:REGION:AccountID:key/KeyId"
           }
       ]
   }

   インスタンスにアタッチされたインスタンスプロファイルまたは IAM ロールには、Session Manager で暗号化を構成した際に指定したキーに対する kms:Decrypt 権限が必要です。

6. [ユーザー名] には、リストからユーザー名を選択するか、パスワードを変更するユーザーの名前を入力します。ノードにアカウントを持つ任意のユーザー名を指定できます。

7. [送信] を選択します。

8. [新しいパスワードの入力] コマンドウィンドウのプロンプトに従って、新しいパスワードを指定します。

関連情報

Amazon EC2 での ID とアクセス管理

Amazon EC2 Windows インスタンスに関する問題のトラブルシューティング

障害が発生した Amazon EC2 Windows インスタンスを EC2Rescue でトラブルシューティングする

到達できないインスタンスで EC2Rescue ツールを実行する