Erstellen Sie ein key pair für Ihre Amazon EC2 EC2-Instance - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie ein key pair für Ihre Amazon EC2 EC2-Instance

Sie können Amazon EC2 verwenden, um Ihre Schlüsselpaare zu erstellen, oder Sie können ein Drittanbieter-Tool verwenden, um Ihre Schlüsselpaare zu erstellen und sie dann in Amazon EC2 zu importieren.

Amazon EC2 unterstützt 2048-Bit-SSH-2-RSA-Schlüssel für Linux- und Windows-Instances. Amazon EC2 unterstützt auch ED25519-Schlüssel für Linux-Instances.

Anweisungen zum Herstellen einer Verbindung mit Ihrer Linux-Instance mithilfe von SSH, nachdem Sie ein key pair erstellt haben, finden Sie unterHerstellen einer Verbindung zur Linux-Instance.

Anweisungen zum Herstellen einer Verbindung mit Ihrer Windows-Instance mithilfe von RDP, nachdem Sie ein key pair erstellt haben, finden Sie unterHerstellen einer Verbindung mit Ihrer -Windows-Instance.

Erstellen eines Schlüsselpaars mit Amazon EC2

Wenn Sie mit Amazon EC2 ein Schlüsselpaar erstellen, wird der öffentliche Schlüssel in Amazon EC2 gespeichert und Sie speichern den privaten Schlüssel.

Sie können bis zu 5.000 Schlüsselpaare pro Region erstellen. Um eine Erhöhung zu beantragen, erstellen Sie eine Support-Anfrage. Weitere Informationen finden Sie unter Erstellen eines Support-Falls im Benutzerhandbuch von AWS Support .

Console
Schlüsselpaar mit Amazon EC2 erstellen
  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich unter Network & Security die Option Key Pairs aus.

  3. Wählen Sie Create Key Pair (Schlüsselpaar erstellen) aus.

  4. Geben Sie unter Name einen aussagekräftigen Namen für das Schlüsselpaar ein. Amazon EC2 ordnet den öffentlichen Schlüssel dem Namen zu, den Sie als Schlüsselnamen angeben. Ein Schlüsselname kann bis zu 255 ASCII-Zeichen enthalten. Er darf keine führenden oder nachfolgenden Leerzeichen enthalten.

  5. Wählen Sie einen für Ihr Betriebssystem geeigneten Schlüsselpaartyp aus:

    (Linux-Instances) Wählen Sie als Schlüsselpaartyp entweder RSA oder ED25519 aus.

    (Windows-Instances) Wählen Sie als Schlüsselpaartyp die Option RSA aus. ED25519-Schlüssel werden für Windows-Instances nicht unterstützt.

  6. Wählen Sie unter Dateiformat für den privaten Schlüssel das Format aus, in dem der private Schlüssel gespeichert werden soll. Um den privaten Schlüssel in einem Format zu speichern, das mit OpenSSH verwendet werden kann, wählen Sie pem. Um den privaten Schlüssel in einem Format zu speichern, das mit PuTTY verwendet werden kann, wählen Sie ppk.

  7. Um dem öffentlichen Schlüssel ein Tag (Markierung) hinzuzufügen, wählen Sie Add Tag (Markierung hinzufügen) und geben Sie den Schlüssel und den Wert für das Tag (Markierung) ein. Wiederholen Sie diesen Schritt für jeden Tag (Markierung).

  8. Wählen Sie Create Key Pair (Schlüsselpaar erstellen) aus.

  9. Die private Schlüsseldatei wird von Ihrem Browser automatisch runtergeladen. Der Basisdateiname ist der Name, den Sie als Name des Schlüsselpaars angegeben haben und die Dateinamenserweiterung wird durch das ausgewählte Dateiformat bestimmt. Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort.

    Wichtig

    Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern.

  10. (Linux-Instanzen) Wenn Sie einen SSH-Client auf einem macOS- oder Linux-Computer verwenden möchten, um eine Verbindung zu Ihrer Linux-Instance herzustellen, verwenden Sie den folgenden Befehl, um die Berechtigungen Ihrer privaten Schlüsseldatei so festzulegen, dass nur Sie sie lesen können.

    chmod 400 key-pair-name.pem

    Wenn Sie diese Berechtigungen nicht festlegen, können Sie unter Verwendung dieses Schlüsselpaars keine Verbindung zu Ihrer Instance herstellen. Weitere Informationen finden Sie unter Fehler: Ungeschützte private Schlüsseldatei.

AWS CLI
Schlüsselpaar mit Amazon EC2 erstellen
  1. Verwenden Sie den create-key-pair-Befehl wie folgt, um das Schlüsselpaar zu generieren und den privaten Schlüssel in einer .pem-Datei zu speichern.

    Für --key-name geben Sie einen Namen für den öffentlichen Schlüssel an. Der Name kann bis zu 255 ASCII-Zeichen enthalten.

    Geben Sie für --key-type entweder rsa oder ed25519 an. Wenn Sie den --key-type-Parameter nicht verwenden, wird standardmäßig ein rsa-Schlüssel erstellt. Hinweis: ED25519-Schlüssel werden für Windows-Instances nicht unterstützt.

    Geben Sie für --key-format entweder pem oder ppk an. Wenn Sie den --key-format-Parameter nicht verwenden, wird standardmäßig eine pem-Datei erstellt.

    --query "KeyMaterial" druckt das Material des privaten Schlüssels in die Ausgabe.

    --output text > my-key-pair.pem speichert das Material des privaten Schlüssels in einer Datei mit der angegebenen Erweiterung. Die Erweiterung kann entweder .pem oder .ppk sein. Der private Schlüssel kann einen Namen haben, der sich vom Namen des öffentlichen Schlüssels unterscheidet. Verwenden Sie jedoch denselben Namen, um die Verwendung zu erleichtern.

    aws ec2 create-key-pair \ --key-name my-key-pair \ --key-type rsa \ --key-format pem \ --query "KeyMaterial" \ --output text > my-key-pair.pem
  2. (Linux-Instanzen) Wenn Sie einen SSH-Client auf einem macOS- oder Linux-Computer verwenden möchten, um eine Verbindung zu Ihrer Linux-Instance herzustellen, verwenden Sie den folgenden Befehl, um die Berechtigungen Ihrer privaten Schlüsseldatei so festzulegen, dass nur Sie sie lesen können.

    chmod 400 key-pair-name.pem

    Wenn Sie diese Berechtigungen nicht festlegen, können Sie unter Verwendung dieses Schlüsselpaars keine Verbindung zu Ihrer Instance herstellen. Weitere Informationen finden Sie unter Fehler: Ungeschützte private Schlüsseldatei.

PowerShell
Schlüsselpaar mit Amazon EC2 erstellen

Verwenden Sie den New-EC2KeyPair AWS Tools for Windows PowerShell Befehl wie folgt, um den Schlüssel zu generieren und ihn in einer .pem .ppk OR-Datei zu speichern.

Für -KeyName geben Sie einen Namen für den öffentlichen Schlüssel an. Der Name kann bis zu 255 ASCII-Zeichen enthalten.

Geben Sie für -KeyType entweder rsa oder ed25519 an. Wenn Sie den -KeyType-Parameter nicht verwenden, wird standardmäßig ein rsa-Schlüssel erstellt. Hinweis: ED25519-Schlüssel werden für Windows-Instances nicht unterstützt.

Geben Sie für -KeyFormat entweder pem oder ppk an. Wenn Sie den -KeyFormat-Parameter nicht verwenden, wird standardmäßig eine pem-Datei erstellt.

KeyMaterial druckt das Material des privaten Schlüssels in die Ausgabe.

Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem speichert das Material des privaten Schlüssels in einer Datei mit der angegebenen Erweiterung. Die Erweiterung kann .pem oder .ppk sein. Der private Schlüssel kann einen Namen haben, der sich vom Namen des öffentlichen Schlüssels unterscheidet. Verwenden Sie jedoch denselben Namen, um die Verwendung zu erleichtern.

PS C:\> (New-EC2KeyPair -KeyName "my-key-pair" -KeyType "rsa" -KeyFormat "pem").KeyMaterial | Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem

Erstellen Sie ein key pair mit AWS CloudFormation

Wenn Sie mit ein neues key pair erstellen AWS CloudFormation, wird der private Schlüssel im AWS Systems Manager Parameter Store gespeichert. Der Parametername hat das folgende Format:

/ec2/keypair/key_pair_id

Weitere Informationen finden Sie unter AWS Systems Manager -Parameterspeicher im Benutzerhandbuch für AWS Systems Manager .

Um ein key pair zu erstellen mit AWS CloudFormation
  1. Geben Sie die AWS::EC2::KeyPairRessource in Ihrer Vorlage an.

    Resources: NewKeyPair: Type: 'AWS::EC2::KeyPair' Properties: KeyName: new-key-pair
  2. Verwenden Sie den describe-key-pairs-Befehl wie folgt, um die ID des Schlüsselpaars abzurufen.

    aws ec2 describe-key-pairs --filters Name=key-name,Values=new-key-pair --query KeyPairs[*].KeyPairId --output text

    Es folgt eine Beispielausgabe.

    key-05abb699beEXAMPLE
  3. Verwenden Sie den get-parameter-Befehl wie folgt, um den Parameter für Ihren Schlüssel abzurufen und das Schlüsselmaterial in einer .pem-Datei zu speichern.

    aws ssm get-parameter --name /ec2/keypair/key-05abb699beEXAMPLE --with-decryption --query Parameter.Value --output text > new-key-pair.pem
Erforderliche IAM-Berechtigungen

Um Parameter Store-Parameter in Ihrem Namen verwalten AWS CloudFormation zu können, muss die IAM-Rolle, die von AWS CloudFormation oder Ihrem Benutzer übernommen wurde, über die folgenden Berechtigungen verfügen:

  • ssm:PutParameter – Gewährt die Berechtigung zum Erstellen eines Parameters für das private Schlüsselmaterial.

  • ssm:DeleteParameter – Gewährt die Berechtigung zum Löschen des Parameters, der das private Schlüsselmaterial gespeichert hat. Diese Berechtigung ist erforderlich, unabhängig davon, ob das Schlüsselpaar importiert oder von AWS CloudFormation erstellt wurde.

Wenn ein key pair AWS CloudFormation gelöscht wird, das von einem Stack erstellt oder importiert wurde, führt es eine Berechtigungsprüfung durch, um festzustellen, ob Sie berechtigt sind, Parameter zu löschen, obwohl ein Parameter nur AWS CloudFormation erstellt wird, wenn er ein key pair erstellt, nicht, wenn er ein key pair importiert. AWS CloudFormation testet anhand eines erfundenen Parameternamens, der mit keinem Parameter in Ihrem Konto übereinstimmt, die erforderliche Berechtigung. Daher wird in der AccessDeniedException-Fehlermeldung möglicherweise ein fiktiver Parametername angezeigt.

Erstellen Sie ein Schlüsselpaar mit einem Drittanbieter-Tool und importieren Sie den öffentlichen Schlüssel in Amazon EC2

Anstatt Amazon EC2 zum Erstellen eines Schlüsselpaars zu verwenden, können Sie mit einem Drittanbieter-Tool ein RSA- oder ED25519-Schlüsselpaar erstellen und dann den öffentlichen Schlüssel in Amazon EC2 importieren.

Anforderungen für Schlüsselpaare
  • Unterstützte Typen: RSA und ED25519. Amazon EC2 akzeptiert keine DSA-Schlüssel.

  • Unterstützte Formate

    • OpenSSH-Format für öffentliche Schlüssel (das Format in~/.ssh/authorized_keys). Bei einer Verbindung via SSH und Verwendung der EC2 Instance Connect-API wird auch das SSH2-Format unterstützt.

    • Das private Schlüsseldateiformat von SSH muss PEM oder PPK sein

    • (Nur RSA) Base64-codiertes DER-Format

    • (Nur RSA) SSH-Dateiformat für öffentliche Schlüssel wie in RFC 4716 angegeben

  • Die unterstützten Längen sind 1024, 2048 und 4096. Bei einr Verbindung via SSH und Verwendung der EC2 Instance Connect-API werden die Längen 2048 und 4096 unterstützt.

So erstellen Sie ein Schlüsselpaar mit einem Tool eines Drittanbieters
  1. Generieren Sie ein Schlüsselpaar mit einem Tool eines Drittanbieters Ihrer Wahl. Beispiel: Sie können ssh-keygen (ein mit der standardmäßigen OpenSSH-Installation bereitgestelltes Tool) verwenden. Alternativ bieten Java, Ruby, Python und viele andere Programmiersprachen Standardbibliotheken, die Sie zum Erstellen eines RSA- oder ED25519-Schlüsselpaars verwenden können.

    Wichtig

    Der private Schlüssel muss im PEM– oder PPK-Format vorliegen. Verwenden Sie zum Beispiel ssh-keygen -m PEM, um den OpenSSH-Schlüssel im PEM-Format zu generieren.

  2. Speichern Sie den öffentlichen Schlüssel in einer lokalen Datei. Beispiel, ~/.ssh/my-key-pair.pub. Die Dateinamenerweiterung für diese Datei ist nicht wichtig.

  3. Speichern Sie den privaten Schlüssel in einer lokalen Datei mit der Erweiterung .pem oder .ppk. Zum Beispiel ~/.ssh/my-key-pair.pem oder ~/.ssh/my-key-pair.ppk.

    Wichtig

    Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort. Sie müssen den Namen für Ihren öffentlichen Schlüssel beim Starten einer Instance angeben. Der entsprechende private Schlüssel muss jedes Mal angegeben werden, wenn Sie eine Verbindung mit der Instance herstellen.

Statt Ihr Schlüsselpaar mit Amazon EC2 zu erstellen, können Sie ein Drittanbietertool verwenden, um ein RSA-Schlüsselpaar zu erstellen, und den öffentlichen Schlüssel anschließend in Amazon EC2 importieren.

Anforderungen für Schlüsselpaare
  • Unterstützte Typen: RSA. Amazon EC2 akzeptiert keine DSA-Schlüssel.

    Anmerkung

    ED25519-Schlüssel werden für Windows-Instances nicht unterstützt.

  • Unterstützte Formate

    • OpenSSH-Format für öffentliche Schlüssel

    • Das private Schlüsseldateiformat von SSH muss PEM oder PPK sein

    • (Nur RSA) Base64-codiertes DER-Format

    • (Nur RSA) SSH-Dateiformat für öffentliche Schlüssel wie in RFC 4716 angegeben

  • Die unterstützten Längen sind 1024, 2048 und 4096.

So erstellen Sie ein Schlüsselpaar mit einem Tool eines Drittanbieters
  1. Generieren Sie ein Schlüsselpaar mit einem Tool eines Drittanbieters Ihrer Wahl. Beispiel: Sie können ssh-keygen (ein mit der standardmäßigen OpenSSH-Installation bereitgestelltes Tool) verwenden. Alternativ bieten Java, Ruby, Python und viele andere Programmiersprachen Standardbibliotheken, die Sie zum Erstellen eines RSA-Schlüsselpaars verwenden können.

    Wichtig

    Der private Schlüssel muss im PEM– oder PPK-Format vorliegen. Verwenden Sie zum Beispiel ssh-keygen -m PEM, um den OpenSSH-Schlüssel im PEM-Format zu generieren.

  2. Speichern Sie den öffentlichen Schlüssel in einer lokalen Datei. Beispiel, C:\keys\my-key-pair.pub. Die Dateinamenerweiterung für diese Datei ist nicht wichtig.

  3. Speichern Sie den privaten Schlüssel in einer lokalen Datei mit der Erweiterung .pem oder .ppk. Zum Beispiel C:\keys\my-key-pair.pem oder C:\keys\my-key-pair.ppk. Die Dateinamenerweiterung für diese Datei ist wichtig, da nur .pem Dateien ausgewählt werden können, wenn Sie von der EC2-Konsole aus eine Verbindung zu Ihrer Windows-Instance herstellen.

    Wichtig

    Speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren Ort. Sie müssen den Namen für Ihren öffentlichen Schlüssel beim Starten einer Instance angeben. Der entsprechende private Schlüssel muss jedes Mal angegeben werden, wenn Sie eine Verbindung mit der Instance herstellen.

Nachdem Sie das Schlüsselpaar erstellt haben, verwenden Sie eine der folgenden Methoden, um den öffentlichen Schlüssel in Amazon EC2 zu importieren.

Console
Öffentlichen Schlüssel in Amazon EC2 importieren
  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich die Option Key Pairs aus.

  3. Wählen Sie Import Key Pair (Schlüsselpaar importieren) aus.

  4. Geben Sie unter Name einen aussagekräftigen Namen für den öffentlichen Schlüssel ein. Der Name kann bis zu 255 ASCII-Zeichen enthalten. Er darf keine führenden oder nachfolgenden Leerzeichen enthalten.

    Anmerkung

    Wenn Sie über die EC2-Konsole eine Verbindung zu Ihrer Instance herstellen, schlägt die Konsole diesen Namen für den Namen Ihrer privaten Schlüsseldatei vor.

  5. Wählen Sie entweder Browse (Durchsuchen), um zu Ihrem öffentlichen Schlüssel zu navigieren und ihn auszuwählen oder fügen Sie den Inhalt Ihres öffentlichen Schlüssels in das Feld Public key contents (Inhalt des öffentlichen Schlüssels) ein.

  6. Wählen Sie Import Key Pair (Schlüsselpaar importieren) aus.

  7. Stellen Sie sicher, dass der importierte öffentliche Schlüssel in der Liste der Schlüsselpaare angezeigt wird.

AWS CLI
Öffentlichen Schlüssel in Amazon EC2 importieren

Verwenden Sie den import-key-pair AWS CLI -Befehl.

So überprüfen Sie, ob das Schlüsselpaar erfolgreich importiert wurde

Verwenden Sie den describe-key-pairs AWS CLI -Befehl.

PowerShell
Öffentlichen Schlüssel in Amazon EC2 importieren

Verwenden Sie den Import-EC2KeyPair AWS Tools for Windows PowerShell -Befehl.

So überprüfen Sie, ob das Schlüsselpaar erfolgreich importiert wurde

Verwenden Sie den Get-EC2KeyPair AWS Tools for Windows PowerShell -Befehl.