Créez une paire de clés pour votre EC2 instance Amazon - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez une paire de clés pour votre EC2 instance Amazon

Vous pouvez utiliser Amazon EC2 pour créer vos paires de clés, ou vous pouvez utiliser un outil tiers pour créer vos paires de clés, puis les importer sur AmazonEC2.

Amazon EC2 prend en charge les RSA clés SSH 2 048 bits pour les instances Linux et Windows. Amazon prend EC2 également en charge ED25519 les clés pour les instances Linux.

Pour savoir comment vous connecter à votre instance après avoir créé une paire de clés, consultez Connectez-vous à votre instance Linux à l'aide de SSH etConnectez-vous à votre instance Windows à l'aide de RDP.

Créez une paire de clés à l'aide d'Amazon EC2

Lorsque vous créez une paire de clés à l'aide d'AmazonEC2, la clé publique est stockée dans Amazon EC2 et vous stockez la clé privée.

Vous pouvez créer jusqu'à 5 000 paires de clés par région. Pour demander une augmentation, créez un dossier de support. Pour obtenir plus d'informations, consultez la section Creating a support case (Création d'un cas de support) dans le Guide de l'utilisateur AWS Support .

Console
Pour créer une paire de clés à l'aide d'Amazon EC2
  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, sous Network & Security, choisissez Key Pairs.

  3. Choisissez Créer une paire de clés.

  4. Pour Name (Nom), entrez un nom descriptif pour la paire de clés. Amazon EC2 associe la clé publique au nom que vous spécifiez comme nom de clé. Le nom d'une clé peut comporter jusqu'à 255 ASCII caractères. Il ne peut pas inclure d’espaces de début ou de fin.

  5. Sélectionnez un type de paire de clés adapté à votre système d'exploitation :

    (Instances Linux) Pour le type de paire de clés, choisissez RSAsoit ED25519.

    (Instances Windows) Pour le type de paire de clés, sélectionnez RSA. ED25519les clés ne sont pas prises en charge pour les instances Windows.

  6. Pour le Private Key File format (Format de fichier de clé privée), sélectionnez le format dans lequel vous souhaitez enregistrer la clé privée. Pour enregistrer la clé privée dans un format utilisable avec OpenSSH, choisissez pem. Pour enregistrer la clé privée dans un format utilisable avec PuTTY, choisissez ppk.

  7. Pour ajouter une balise à la clé publique, sélectionnez Add tag (Ajouter une balise), puis entrez la clé et la valeur de la balise. Répétez l’opération pour chaque étiquette.

  8. Choisissez Créer une paire de clés.

  9. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Le nom de fichier de base est celui que vous avez spécifié pour votre paire de clés, et l’extension de nom de fichier est déterminée par le format de fichier que vous avez choisi. Enregistrez le fichier de clé privée en lieu sûr.

    Important

    C’est votre seule occasion d’enregistrer le fichier de clé privée.

  10. Si vous envisagez d'utiliser un SSH client sur un ordinateur macOS ou Linux pour vous connecter à votre instance Linux, utilisez la commande suivante pour définir les autorisations de votre fichier de clé privée afin que vous soyez le seul à pouvoir le lire.

    chmod 400 key-pair-name.pem

    Si vous ne définissez pas ces autorisations, vous ne pouvez pas vous connecter à votre instance à l’aide de cette paire de clés. Pour de plus amples informations, veuillez consulter Erreur : fichier de clé privée non protégé.

AWS CLI
Pour créer une paire de clés à l'aide d'Amazon EC2
  1. Utilisation de la create-key-paircommande comme suit pour générer la paire de clés et enregistrer la clé privée dans un .pem fichier.

    Pour --key-name, indiquez un nom pour la clé publique. Le nom peut comporter jusqu'à 255 ASCII caractères.

    Pour --key-type, spécifiez rsa ou ed25519. Si vous n’incluez pas le paramètre --key-type, une clé rsa est créée par défaut. Notez que ED25519 les clés ne sont pas prises en charge pour les instances Windows.

    Pour --key-format, spécifiez pem ou ppk. Si vous n’incluez pas le paramètre --key-format, un fichier pem est créé par défaut.

    --query "KeyMaterial" imprime le matériel de clé privée à la sortie.

    --output text > my-key-pair.pem enregistre le matériel de clé privée dans un fichier avec l’extension spécifiée. L’extension peut être .pem ou .ppk. La clé privée peut avoir un nom différent de la clé publique, mais pour faciliter son utilisation, utilisez le même nom.

    aws ec2 create-key-pair \ --key-name my-key-pair \ --key-type rsa \ --key-format pem \ --query "KeyMaterial" \ --output text > my-key-pair.pem
  2. Si vous envisagez d'utiliser un SSH client sur un ordinateur macOS ou Linux pour vous connecter à votre instance Linux, utilisez la commande suivante pour définir les autorisations de votre fichier de clé privée afin que vous soyez le seul à pouvoir le lire.

    chmod 400 key-pair-name.pem

    Si vous ne définissez pas ces autorisations, vous ne pouvez pas vous connecter à votre instance à l’aide de cette paire de clés. Pour de plus amples informations, veuillez consulter Erreur : fichier de clé privée non protégé.

PowerShell
Pour créer une paire de clés à l'aide d'Amazon EC2

Utilisation de la New-EC2KeyPair AWS Tools for Windows PowerShell commande comme suit pour générer la clé et l'enregistrer dans un .ppk fichier .pem or.

Pour -KeyName, indiquez un nom pour la clé publique. Le nom peut comporter jusqu'à 255 ASCII caractères.

Pour -KeyType, spécifiez rsa ou ed25519. Si vous n’incluez pas le paramètre -KeyType, une clé rsa est créée par défaut. Notez que ED25519 les clés ne sont pas prises en charge pour les instances Windows.

Pour -KeyFormat, spécifiez pem ou ppk. Si vous n’incluez pas le paramètre -KeyFormat, un fichier pem est créé par défaut.

KeyMaterial imprime le matériel de clé privée à la sortie.

Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem enregistre le matériel de clé privée dans un fichier avec l’extension spécifiée. L’extension peut être .pem ou .ppk. La clé privée peut avoir un nom différent de la clé publique, mais pour faciliter son utilisation, utilisez le même nom.

PS C:\> (New-EC2KeyPair -KeyName "my-key-pair" -KeyType "rsa" -KeyFormat "pem").KeyMaterial | Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem

Créez une paire de clés en utilisant AWS CloudFormation

Lorsque vous créez une nouvelle paire de clés à l'aide de AWS CloudFormation, la clé privée est enregistrée dans AWS Systems Manager Parameter Store. Le nom du paramètre a le format suivant :

/ec2/keypair/key_pair_id

Pour plus d’informations, veuillez consulter la rubrique AWS Systems Manager Parameter Store dans le Guide de l’utilisateur AWS Systems Manager .

Pour créer une paire de clés en utilisant AWS CloudFormation
  1. Spécifiez la KeyPair ressource AWSEC2: : : dans votre modèle.

    Resources: NewKeyPair: Type: 'AWS::EC2::KeyPair' Properties: KeyName: new-key-pair
  2. Utilisation de la describe-key-pairscommande comme suit pour obtenir l'ID de la paire de clés.

    aws ec2 describe-key-pairs --filters Name=key-name,Values=new-key-pair --query KeyPairs[*].KeyPairId --output text

    Voici un exemple de sortie.

    key-05abb699beEXAMPLE
  3. Utilisation de la get-parametercommandez comme suit pour obtenir le paramètre de votre clé et enregistrer le contenu clé dans un .pem fichier.

    aws ssm get-parameter --name /ec2/keypair/key-05abb699beEXAMPLE --with-decryption --query Parameter.Value --output text > new-key-pair.pem
IAMAutorisations requises

AWS CloudFormation Pour permettre de gérer les paramètres du Parameter Store en votre nom, le IAM rôle assumé par AWS CloudFormation ou votre utilisateur doit disposer des autorisations suivantes :

  • ssm:PutParameter : accorde l’autorisation de créer un paramètre pour le matériel de clé privée.

  • ssm:DeleteParameter : autorise la suppression du paramètre utilisé pour stocker les éléments de clé privée. Cette autorisation est nécessaire, que la paire de clés ait été importée ou créée par AWS CloudFormation.

Lorsqu'il AWS CloudFormation supprime une paire de clés créée ou importée par une pile, il effectue une vérification des autorisations pour déterminer si vous êtes autorisé à supprimer des paramètres, même s'il AWS CloudFormation crée un paramètre uniquement lorsqu'il crée une paire de clés, et non lorsqu'il importe une paire de clés. AWS CloudFormation teste l'autorisation requise à l'aide d'un nom de paramètre fabriqué qui ne correspond à aucun paramètre de votre compte. Par conséquent, vous pouvez voir un nom de paramètre fabriqué dans le message d’erreur AccessDeniedException.

Créez une paire de clés à l'aide d'un outil tiers et importez la clé publique sur Amazon EC2

Au lieu d'utiliser Amazon EC2 pour créer une paire de clés, vous pouvez créer une paire de ED25519 clés RSA or à l'aide d'un outil tiers, puis importer la clé publique sur AmazonEC2.

Exigences relatives aux paires de clés
  • Types pris en charge :

    • (Linux et Windows) RSA

    • (Linux uniquement) ED25519

      Note

      ED25519les clés ne sont pas prises en charge pour les instances Windows.

    • Amazon EC2 n'accepte pas les DSA clés.

  • Formats pris en charge :

    • Format de clé SSH publique ouvert (pour Linux, format en~/.ssh/authorized_keys)

    • (Linux uniquement) Si vous vous connectez SSH en utilisant EC2 Instance ConnectAPI, le SSH2 format est également pris en charge.

    • SSHle format de fichier de clé privée doit être PEM ou PPK

    • (RSAuniquement) Format codé DER Base64

    • (RSAuniquement) format de fichier à clé SSH publique tel que spécifié dans RFC4716

  • Longueurs prises en charge :

    • 1024, 2048 et 4096.

    • (Linux uniquement) Si vous vous connectez SSH en utilisant EC2 Instance ConnectAPI, les longueurs prises en charge sont 2048 et 4096.

Pour créer une paire de clés à l’aide d’un outil tiers
  1. Générez une paire de clés avec un outil tiers de votre choix. Par exemple, vous pouvez utiliser ssh-keygen (un outil fourni avec l'SSHinstallation standard d'Open). Java, Ruby, Python et de nombreux autres langages de programmation fournissent également des bibliothèques standard que vous pouvez utiliser pour créer une paire de clés.

    Important

    La clé privée doit être au PPK format PEM or. Par exemple, ssh-keygen -m PEM utilisez-le pour générer la SSH touche Ouvrir au PEM format.

  2. Enregistrez la clé publique dans un fichier local. Par exemple, ~/.ssh/my-key-pair.pub (Linux, macOS) ou C:\keys\my-key-pair.pub (Windows). L’extension du nom de fichier de ce fichier n’est pas importante.

  3. Enregistrez la clé privée dans un fichier local dont l’extension est .pem ou .ppk. Par exemple, ~/.ssh/my-key-pair.pem ou ~/.ssh/my-key-pair.ppk (Linux, macOS) C:\keys\my-key-pair.pem ou C:\keys\my-key-pair.ppk (Windows). L'extension de fichier est importante car, selon l'outil que vous utilisez pour vous connecter à votre instance, vous aurez besoin d'un format de fichier spécifique. Open SSH nécessite un .pem fichier, tandis que Pu TTY nécessite un .ppk fichier.

    Important

    Enregistrez le fichier de clé privée en lieu sûr. Vous devez fournir le nom de votre clé publique lorsque vous lancez une instance, ainsi que la clé privée correspondante chaque fois que vous vous connectez à l’instance.

Après avoir créé la paire de clés, utilisez l'une des méthodes suivantes pour importer votre clé publique sur AmazonEC2.

Console
Pour importer la clé publique sur Amazon EC2
  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, cliquez sur Key Pairs.

  3. Choisissez Import key pair (Importer une paire de clés).

  4. Pour Name (Nom), saisissez un nom descriptif pour la clé publique. Le nom peut comporter jusqu'à 255 ASCII caractères. Il ne peut pas inclure d’espaces de début ou de fin.

    Note

    Lorsque vous vous connectez à votre instance depuis la EC2 console, celle-ci suggère ce nom pour le nom de votre fichier de clé privée.

  5. Choisissez Browse (Parcourir) pour accéder à votre clé publique et la sélectionner, ou collez le contenu de votre clé publique dans le champ Public key contents (Contenu de la clé publique).

  6. Choisissez Import key pair (Importer une paire de clés).

  7. Vérifiez que la clé publique que vous avez importée apparaît dans la liste des paires de clés.

AWS CLI
Pour importer la clé publique sur Amazon EC2

Utilisation de la import-key-pair AWS CLI commande.

Pour vérifier que la paire de clés a été importée correctement

Utilisation de la describe-key-pairs AWS CLI commande.

PowerShell
Pour importer la clé publique sur Amazon EC2

Utilisation de la Import-EC2KeyPair AWS Tools for Windows PowerShell commande.

Pour vérifier que la paire de clés a été importée correctement

Utilisation de la Get-EC2KeyPair AWS Tools for Windows PowerShell commande.