Paires de clés Amazon EC2 et instances Linux - Amazon Elastic Compute Cloud

Paires de clés Amazon EC2 et instances Linux

Une paire de clés, composée d'une clé privée et d'une clé publique, est un ensemble d'informations d'identification de sécurité que vous utilisez pour prouver votre identité lors de la connexion à une instance. Amazon EC2 stocke la clé publique et vous stockez la clé privée. Vous utilisez la clé privée, au lieu d'un mot de passe, pour accéder en toute sécurité à vos instances. Toute personne qui possède vos clés privées peut se connecter à vos instances, il est donc important que vous stockiez vos clés privées dans un endroit sécurisé.

Lorsque vous lancez une instance, vous êtes invité à entrer le nom d'une paire de clés. Si vous prévoyez de vous connecter à l'instance en utilisant SSH, vous devez spécifier une paire de clés. Choisissez une paire de clés existante ou créez-en une. Lorsque votre instance démarre pour la première fois, le contenu de la clé publique que vous avez spécifiée au lancement est placé sur votre instance Linux dans une entrée dans ~/.ssh/authorized_keys. Lorsque vous vous connectez à votre instance Linux à l'aide de SSH, vous devez spécifier la clé privée correspondant au contenu de la clé publique pour vous connecter. Pour plus d'informations sur la connexion à votre instance, consultez Connectez-vous à votre instance Linux. Pour de plus amples informations sur les paires de clés et les instances Windows, veuillez consulter Paires de clés Amazon EC2 et instances Windows dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows

Dans la mesure où Amazon EC2 ne conserve pas de copie de votre clé privée, si vous la perdez, il n'est pas possible de la récupérer. Cependant, il peut toujours y avoir un moyen de vous connecter aux instances pour lesquelles vous avez perdu la clé privée. Pour de plus amples informations, veuillez consulter Connexion à votre instance Linux en cas de perte de votre clé privée.

Les clés utilisées par Amazon EC2 sont des clés RSA SSH-2 2048 bits. Vous pouvez avoir jusqu'à 5 000 paires de clés par région.

Création ou importation d'une paire de clés

Vous pouvez utiliser Amazon EC2 pour créer une paire de clés ou importer une paire de clés existante.

Option 1 : Créer une paire de clés à l'aide de Amazon EC2

Vous pouvez créer une paire de clés à l'aide de l'une des méthodes suivantes.

Nouvelle console

Pour créer votre paire de clés

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous NETWORK & SECURITY, choisissez Key Pairs.

  3. Choisissez Créer une paire de clés.

  4. Dans Nom, entrez un nom descriptif pour la paire de clés. Amazon EC2 associe la clé publique au nom que vous spécifiez comme nom de clé. Le nom peut inclure jusqu'à 255 caractères ASCII. Il ne peut pas inclure d'espaces de début ou de fin.

  5. Dans File format (Format de fichier), choisissez le format dans lequel enregistrer la clé privée. Pour enregistrer la clé privée dans un format qui peut être utilisé avec OpenSSH, choisissez pem. Pour enregistrer la clé privée dans un format qui peut être utilisé avec PuTTY, choisissez ppk.

  6. Choisissez Créer une paire de clés.

  7. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Le nom de fichier de base est le nom que vous avez spécifié pour votre paire de clés, et l'extension de nom de fichier est déterminée par le format de fichier que vous avez choisi. Enregistrez le fichier de clé privée en lieu sûr.

    Important

    C'est votre seule occasion d'enregistrer le fichier de clé privée.

  8. Si vous envisagez d'utiliser un client SSH sur un ordinateur macOS ou Linux pour vous connecter à votre instance Linux, utilisez la commande suivante pour définir les autorisations de votre fichier de clé privée afin d'être la seule personne autorisée à le lire.

    chmod 400 my-key-pair.pem

    Si vous ne définissez pas ces autorisations, vous ne pouvez pas vous connecter à votre instance à l'aide de cette paire de clés. Pour plus d'informations, consultez Erreur : fichier de clé privée non protégé.

Ancienne console

Pour créer votre paire de clés

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous NETWORK & SECURITY, choisissez Key Pairs.

  3. Choisissez Create Key Pair.

  4. Pour Nom de la paire de clés, entrez un nom descriptif pour la nouvelle paire de clés, puis choisissez Créer. Le nom peut inclure jusqu'à 255 caractères ASCII. Il ne peut pas inclure d'espaces de début ou de fin.

  5. Le fichier de clé privée est automatiquement téléchargé dans votre navigateur. Le nom de fichier de base est le nom que vous avez spécifié comme nom de votre paire de clés et l'extension du nom de fichier est .pem. Enregistrez le fichier de clé privée en lieu sûr.

    Important

    C'est votre seule occasion d'enregistrer le fichier de clé privée.

  6. Si vous envisagez d'utiliser un client SSH sur un ordinateur macOS ou Linux pour vous connecter à votre instance Linux, utilisez la commande suivante pour définir les autorisations de votre fichier de clé privée afin d'être la seule personne autorisée à le lire.

    chmod 400 my-key-pair.pem

    Si vous ne définissez pas ces autorisations, vous ne pouvez pas vous connecter à votre instance à l'aide de cette paire de clés. Pour plus d'informations, consultez Erreur : fichier de clé privée non protégé.

AWS CLI

Pour créer votre paire de clés

  1. Utilisez la commande AWS CLI create-key-pair comme suit pour générer la clé et l'enregistrer dans un fichier .pem.

    aws ec2 create-key-pair --key-name my-key-pair --query 'KeyMaterial' --output text > my-key-pair.pem
  2. Si vous envisagez d'utiliser un client SSH sur un ordinateur macOS ou Linux pour vous connecter à votre instance Linux, utilisez la commande suivante pour définir les autorisations de votre fichier de clé privée afin d'être la seule personne autorisée à le lire.

    chmod 400 my-key-pair.pem

    Si vous ne définissez pas ces autorisations, vous ne pouvez pas vous connecter à votre instance à l'aide de cette paire de clés. Pour plus d'informations, consultez Erreur : fichier de clé privée non protégé.

PowerShell

Pour créer votre paire de clés

Utilisez la commande Outils AWS pour Windows PowerShell New-EC2KeyPair comme suit pour générer la clé et l'enregistrer dans un fichier .pem.

PS C:\> (New-EC2KeyPair -KeyName "my-key-pair").KeyMaterial | Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem

Option 2 : Importez votre propre clé publique dans Amazon EC2

Au lieu d'utiliser Amazon EC2 pour créer votre paire de clés, vous pouvez créer une paire de clés RSA à l'aide d'un outil tiers, puis importer la clé publique dans Amazon EC2. Par exemple, vous pouvez utiliser ssh-keygen (outil fourni avec l'installation OpenSSH standard) pour créer une paire de clés. Java, Ruby, Python, ainsi qu'un grand nombre d'autres langages de programmation fournissent également des bibliothèques standard pouvant être utilisées pour créer une paire de clés RSA.

Prérequis

  • Les formats suivants sont pris en charge :

    • Format de clé publique OpenSSH (le format dans ~/.ssh/authorized_keys). Si vous vous connectez avec SSH lorsque vous utilisez l’API EC2 Instance Connect, le format SSH2 est également pris en charge.

    • Le format DER codé en base64

    • Le format de fichier de clé publique SSH tel que spécifié dans RFC4716

    • Le format de fichier de clé privée SSH doit être PEM (par exemple, utilisez ssh-keygen -m PEM pour convertir la clé OpenSSH au format PEM)

  • Créez une clé RSA. Amazon EC2 n'accepte pas les clés DSA.

  • Les longueurs prises en charge sont 1024, 2048 et 4096. Si vous vous connectez avec SSH lorsque vous utilisez l’API EC2 Instance Connect, les longueurs prises en charge sont 2 048 et 4 096.

Pour créer une paire de clés à l'aide d'un outil tiers

  1. Générez une paire de clés avec un outil tiers de votre choix.

  2. Enregistrez la clé publique dans un fichier local. Par exemple, ~/.ssh/my-key-pair.pub (Linux) ou C:\keys\my-key-pair.pub (Windows). L'extension du nom de fichier de ce fichier n'est pas importante.

  3. Enregistrez la clé privée dans un autre fichier local ayant l'extension .pem. Par exemple, ~/.ssh/my-key-pair.pem (Linux) ou C:\keys\my-key-pair.pem (Windows). Enregistrez le fichier de clé privée en lieu sûr. Vous devez fournir le nom de votre paire de clés quand vous lancez une instance, ainsi que la clé privée correspondante chaque fois que vous vous connectez à l'instance.

Après avoir créé la paire de clés, utilisez l'une des méthodes suivantes pour importer votre paire de clés vers Amazon EC2.

Nouvelle console

Pour importer la clé publique

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, cliquez sur Key Pairs.

  3. Choisissez Import key pair (Importer une paire de clés).

  4. Pour Name (Nom), entrez un nom descriptif pour la paire de clés. Le nom peut inclure jusqu'à 255 caractères ASCII. Il ne peut pas inclure d'espaces de début ou de fin.

  5. Choisissez Browse (Parcourir) pour accéder à votre clé publique et la sélectionner, ou collez le contenu de votre clé publique dans le champ Public key contents (Contenu de la clé publique).

  6. Choisissez Import key pair (Importer une paire de clés).

  7. Vérifiez que la paire de clés importée apparaît dans la liste des paires de clés.

Ancienne console

Pour importer la clé publique

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous NETWORK & SECURITY, choisissez Key Pairs.

  3. Choisissez Importer une paire de clés.

  4. Dans la boîte de dialogue Importer une paire de clés, choisissez Parcourir, puis sélectionnez le fichier de clé publique préalablement enregistré. Attribuez un nom à la paire de clés dans le champ Nom de la paire de clés, puis choisissez Importer. Le nom peut inclure jusqu'à 255 caractères ASCII. Il ne peut pas inclure d'espaces de début ou de fin.

  5. Vérifiez que la paire de clés importée apparaît dans la liste des paires de clés.

AWS CLI

Pour importer la clé publique

Utilisez la commande de l’AWS CLI import-key-pair.

Pour vérifier que la paire de clés a été importée correctement

Utilisez la commande de l’AWS CLI describe-key-pairs.

PowerShell

Pour importer la clé publique

Utilisez la commande Outils AWS pour Windows PowerShell Import-EC2KeyPair.

Pour vérifier que la paire de clés a été importée correctement

Utilisez la commande Outils AWS pour Windows PowerShell Get-EC2KeyPair.

Balisage d'une paire de clés

Pour vous aider à classer et à gérer vos paires de clés existantes, vous pouvez les baliser avec des métadonnées personnalisées. Pour plus d'informations sur le fonctionnement des balises, consultez Balisage de vos ressources Amazon EC2.

Vous pouvez afficher, ajouter et supprimer des balises à l'aide de la nouvelle console et des outils de ligne de commande.

Nouvelle console

Pour afficher, ajouter ou supprimer une balise pour une paire de clés existante

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, cliquez sur Key Pairs.

  3. Sélectionnez une paire de clés, puis choisissez Actions, Gérer les balises.

  4. La section Gérer les balises affiche toutes les balises affectées à la paire de clés.

    • Pour ajouter une balise, choisissez Ajouter la balise, puis entrez la clé et la valeur de la balise. Vous pouvez ajouter jusqu'à 50 balises par paire de clés. Pour de plus amples informations, veuillez consulter Restrictions liées aux balises.

    • Pour supprimer une balise, choisissez Supprimer en regard de la balise à supprimer.

  5. Sélectionnez Save Changes.

AWS CLI

Pour afficher les balises de paires de clés

Utilisez la commande de l'AWS CLI describe-tags. Dans l'exemple suivant, vous décrivez les balises de toutes vos paires de clés.

$ aws ec2 describe-tags --filters "Name=resource-type,Values=key-pair"
{ "Tags": [ { "Key": "Environment", "ResourceId": "key-0123456789EXAMPLE", "ResourceType": "key-pair", "Value": "Production" }, { "Key": "Environment", "ResourceId": "key-9876543210EXAMPLE", "ResourceType": "key-pair", "Value": "Production" }] }

Pour décrire les balises d'une paire de clés spécifique

Utilisez la commande de l'AWS CLI describe-key-pairs.

$ aws ec2 describe-key-pairs --key-pair-ids key-0123456789EXAMPLE
{ "KeyPairs": [ { "KeyName": "MyKeyPair", "KeyFingerprint": "1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f", "KeyPairId": "key-0123456789EXAMPLE", "Tags": [ { "Key": "Environment", "Value": "Production" }] }] }

Pour baliser une paire de clés existante

Utilisez la commande create-tags de l'AWS CLI. Dans l'exemple suivant, la paire de clés existante est balisée avec Key=Cost-Center et Value=CC-123.

$ aws ec2 create-tags --resources key-0123456789EXAMPLE --tags Key=Cost-Center,Value=CC-123

Pour supprimer une balise d'une paire de clés

Utilisez la commande de l'AWS CLI delete-tags. Pour obtenir des exemples, reportez-vous à la section Exemples dans le document AWS CLI Command Reference.

PowerShell

Pour afficher les balises de paires de clés

Utilisez la commande Get-EC2Tag.

Pour décrire les balises d'une paire de clés spécifique

Utilisez la commande Get-EC2KeyPair.

Pour baliser une paire de clés existante

Utilisez la commande New-EC2Tag.

Pour supprimer une balise d'une paire de clés

Utilisez la commande Remove-EC2Tag.

Récupération de la clé publique pour votre paire de clés sous Linux

Sur votre ordinateur local Linux ou macOS, vous pouvez utiliser la commande ssh-keygen pour extraire la clé publique de votre paire de clés. Spécifiez le chemin où vous avez téléchargé votre clé privée (fichier .pem).

ssh-keygen -y -f /path_to_key_pair/my-key-pair.pem

La commande renvoie la clé publique, comme indiqué dans l'exemple suivant.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE

Si la commande échoue, exécutez la commande suivante pour vous assurer d'avoir modifié les autorisations sur votre fichier de paire de clés afin d'être le seul à pouvoir l'afficher.

chmod 400 my-key-pair.pem

Récupération de la clé publique de votre paire de clés via les métadonnées d'instance

La clé publique spécifiée lorsque vous avez lancé une instance est également accessible via les métadonnées de l'instance. Pour afficher la clé publique que vous avez spécifiée lors du lancement de l'instance, utilisez la commande suivante à partir de votre instance :

IMDSv2
[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" –v http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key

Voici un exemple de sortie.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair
IMDSv1
[ec2-user ~]$ curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key

Voici un exemple de sortie.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair

Si vous modifiez la paire de clés que vous utilisez pour vous connecter à l'instance, nous ne mettons pas à jour les métadonnées de l'instance pour afficher la nouvelle clé publique. Au lieu de cela, les métadonnées d'instance continuent d'afficher la clé publique pour la paire de clés que vous avez spécifiée lors du lancement de l'instance. Pour plus d'informations, consultez Récupération des métadonnées d'instance.

Sur une instance Linux, le contenu de la clé publique est placé dans une entrée du fichier ~/.ssh/authorized_keys. Ouvrez le fichier dans un éditeur de texte. Voici un exemple d'entrée pour la paire de clés nommée my-key-pair. La clé publique est suivie du nom de la paire de clés.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair

Localisation de la clé publique sur une instance

Lorsque vous lancez une instance, vous êtes invité à entrer le nom d'une paire de clés. Si vous prévoyez de vous connecter à l'instance en utilisant SSH, vous devez spécifier une paire de clés. Choisissez une paire de clés existante ou créez-en une. Lorsque votre instance démarre pour la première fois, le contenu de la clé publique que vous avez spécifiée au lancement est placé sur votre instance Linux dans une entrée dans ~/.ssh/authorized_keys.

Pour localiser la clé publique sur une instance

  1. Connectez-vous à votre instance. Pour plus d'informations, consultez Connectez-vous à votre instance Linux.

  2. Dans la fenêtre du terminal, ouvrez le fichier authorized_keys à l'aide de votre éditeur de texte préféré (tel que vim ou nano).

    [ec2-user ~]$ nano ~/.ssh/authorized_keys

    Le fichier authorized_keys s'ouvre, affichant la clé publique, comme le montre l'exemple suivant.

    ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6Vhz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXrlsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZqaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3RbBQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE

Identification de la paire de clés spécifiée au lancement

Lorsque vous lancez une instance, vous êtes invité à entrer le nom d'une paire de clés. Si vous prévoyez de vous connecter à l'instance en utilisant SSH, vous devez spécifier une paire de clés.

Pour identifier la paire de clés spécifiée au lancement

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances, puis sélectionnez votre instance.

  3. Sous l'onglet Description, le champ Nom de la paire de clés affiche le nom de la paire de clés que vous avez spécifiée lors du lancement de l'instance. La valeur du nom de la paire de clés ne change pas même si vous modifiez la clé publique sur l'instance ou ajoutez des paires de clés.

Vérification de l'empreinte de votre paire de clés

Dans la page Paires de clés de la console Amazon EC2, la colonne Empreinte digitale affiche les empreintes digitales générées à partir de vos paires de clés. AWS calcule l'empreinte digitale différemment selon que la paire de clés a été générée par AWS ou un outil tiers. Si vous avez créé la paire de clés à l'aide d'AWS, l'empreinte est calculée à l'aide d'une fonction de hachage SHA-1. Si vous avez créé la paire de clés à l'aide d'un outil tiers et téléchargé la clé publique dans AWS, ou si vous avez généré une nouvelle clé publique à partir d'une clé privée créée avec AWS puis que vous l'avez téléchargée dans AWS, l'empreinte est calculée à partir d'une fonction de hachage MD5.

Vous pouvez utiliser l'empreinte SSH2 affichée sur la page Paires de clés pour vérifier que la clé privée présente sur votre ordinateur local correspond à la clé publique stockée dans AWS. À partir de l'ordinateur où vous avez téléchargé le fichier de clé privée, générez une empreinte SSH2 à partir du fichier de clé privée. La sortie doit correspondre à l'empreinte affichée dans la console.

Si vous avez créé la paire de clés avec AWS, vous pouvez utiliser les outils OpenSSL pour générer une empreinte, comme illustré dans l’exemple suivant :

$ openssl pkcs8 -in path_to_private_key -inform PEM -outform DER -topk8 -nocrypt | openssl sha1 -c

Si vous avez créé une paire de clés à l'aide d'un outil tiers puis téléchargé la clé publique dans AWS, vous pouvez utiliser les outils OpenSSL pour générer l'empreinte, comme illustré dans l’exemple suivant :

$ openssl rsa -in path_to_private_key -pubout -outform DER | openssl md5 -c

Si vous avez créé une paire de clés OpenSSH à l'aide d'OpenSSH 7.8 ou version ultérieure et téléchargé la clé publique dans AWS, vous pouvez utiliser ssh-keygen pour générer l'empreinte, comme illustré dans l’exemple suivant :

$ ssh-keygen -ef path_to_private_key -m PEM | openssl rsa -RSAPublicKey_in -outform DER | openssl md5 -c

Ajout ou remplacement d'une paire de clés pour votre instance

Vous pouvez modifier la paire de clés qui permet d'accéder au compte système par défaut de votre instance. Par exemple, si un utilisateur de votre organisation requiert l'accès au compte utilisateur système à l'aide d'une paire de clés distincte, vous pouvez ajouter la paire de clés à votre instance. Ou, si quelqu'un possède une copie du fichier .pem et que vous voulez l'empêcher de se connecter à votre instance (par exemple, si la personne a quitté votre organisation), vous pouvez remplacer la paire de clés par la nouvelle.

Pour ajouter ou remplacer une paire de clés, vous devez pouvoir vous connecter à votre instance. Si vous avez perdu votre clé privée existante ou vous avez lancé votre instance sans paire de clés, vous ne pourrez pas vous connecter à votre instance et vous ne serez donc pas en mesure d’ajouter ou de remplacer une paire de clés. Si vous avez perdu votre clé privée existante, vous pourrez peut-être la récupérer. Pour plus d'informations, consultez Connexion à votre instance Linux en cas de perte de votre clé privée. Si vous lancez votre instance sans paire de clé, vous ne pourrez pas vous connecter à l'instance à moins de choisir une AMI configurée de façon à autoriser les utilisateurs à se connecter d'une autre façon.

Note

Ces procédures permettent de modifier la paire de clés pour le compte utilisateur par défaut, tel que ec2-user. Pour plus d'informations sur l'ajout de comptes d'utilisateur à votre instance, consultez Gestion des comptes d'utilisateur sur votre instance Amazon Linux.

Pour ajouter ou remplacer une paire de clés

  1. Créez une nouvelle paire de clés à l'aide de la console Amazon EC2 ou d’un outil tiers.

  2. Récupérez la clé publique de votre nouvelle paire de clés. Pour plus d'informations, consultez Récupération de la clé publique pour votre paire de clés sous Linux.

  3. Connectez-vous à votre instance à l'aide de votre fichier de clé privée existant.

  4. À l'aide d'un éditeur de texte de votre choix, ouvrez le fichier .ssh/authorized_keys sur l'instance. Collez les informations de clé publique depuis votre nouvelle paire de clés sous les informations existantes de clé publique. Sauvegardez le fichier.

  5. Déconnectez-vous de votre instance et testez que vous pouvez vous connecter à votre instance à l'aide du nouveau fichier de clé privé.

  6. (Facultatif) Si vous remplacez une paire de clés existante, connectez-vous à votre instance et supprimez les informations de clé publique de la paire de clés originale du fichier .ssh/authorized_keys.

Note

Si vous utilisez un groupe Auto Scaling, assurez-vous que la paire de clés que vous remplacez n'est pas spécifiée dans votre modèle ou votre configuration de lancement. Amazon EC2 Auto Scaling lance une instance de remplacement en cas de détection d'une instance défectueuse. Cependant, le lancement de l'instance échoue si la paire de clés est introuvable.

Suppression de votre paire de clés

Lorsque vous supprimez une paire de clés, vous supprimez seulement la copie Amazon EC2 de la clé publique. La suppression d'une paire de clés n'affecte pas la clé privée présente sur votre ordinateur ni la clé publique sur les instances déjà lancées à l'aide de cette paire de clés. Vous ne pouvez pas lancer de nouvelle instance à l'aide d'une paire de clés supprimée, mais vous pouvez continuer à vous connecter à toutes les instances lancées à l'aide d'une paire de clés supprimée ultérieurement, tant que vous disposez du fichier de clé privée (.pem).

Si vous utilisez un groupe Auto Scaling (par exemple, dans un environnement Elastic Beanstalk), assurez-vous que la paire de clés que vous supprimez n'est pas spécifiée dans votre configuration de lancement. Amazon EC2 Auto Scaling lance une instance de remplacement en cas de détection d'une instance défectueuse. Cependant, le lancement de l'instance échoue si la paire de clés est introuvable.

Vous pouvez supprimer une paire de clés à l'aide de l'une des méthodes suivantes.

Nouvelle console

Pour supprimer votre paire de clés

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, cliquez sur Key Pairs.

  3. Sélectionnez la paire de clés à supprimer et choisissez Delete (Supprimer).

  4. Dans le champ de confirmation, entrez, Delete puis choisissez Delete (Supprimer).

Ancienne console

Pour supprimer votre paire de clés

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous NETWORK & SECURITY, choisissez Key Pairs.

  3. Sélectionnez la paire de clés, puis choisissez Supprimer.

  4. À l'invite, choisissez Oui.

AWS CLI

Pour supprimer votre paire de clés

Utilisez la commande de l’AWS CLI delete-key-pair.

PowerShell

Pour supprimer votre paire de clés

Utilisez la commande Outils AWS pour Windows PowerShell Remove-EC2KeypAir.

Si vous créez une AMI Linux à partir d'une instance, puis utilisez l'AMI pour lancer une nouvelle instance dans une autre région ou dans un compte différent, la nouvelle instance comprend la clé publique de l'instance d'origine. Vous pouvez ainsi vous connecter à la nouvelle instance à l'aide du même fichier de clé privée que celui utilisé pour l'instance d'origine. Vous pouvez supprimer cette clé publique de votre instance en supprimant son entrée du fichier .ssh/authorized_keys à l'aide de l'éditeur de texte de votre choix. Pour plus d'informations sur la gestion des utilisateurs sur votre instance et sur la fourniture d'un accès distant à l'aide d'une paire de clés spécifique, consultez Gestion des comptes d'utilisateur sur votre instance Amazon Linux.