Gestion de l'accès SSH - AWS OpsWorks

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de l'accès SSH

Important

Le AWS OpsWorks Stacks service a atteint sa fin de vie le 26 mai 2024 et a été désactivé tant pour les nouveaux clients que pour les clients existants. Nous recommandons vivement aux clients de migrer leurs charges de travail vers d'autres solutions dès que possible. Si vous avez des questions sur la migration, contactez l' AWS Support équipe sur AWS Re:Post ou via le AWS Support Premium.

AWS OpsWorks Stacks prend en charge les clés SSH pour les piles Linux et Windows.

  • Pour les instances Linux, vous pouvez utiliser SSH pour vous connecter à une instance : par exemple, pour exécuter les commandes de l'interface de ligne de commande de l'agent.

    Pour plus d’informations, consultez Connexion avec SSH.

  • Pour les instances Windows, vous pouvez utiliser une clé SSH pour obtenir le mot de passe Administrateur de l'instance, que vous pouvez ensuite utiliser pour vous connecter avec le protocole RDP.

    Pour plus d’informations, consultez Connexion avec RDP.

L'authentification est basée sur une paire de clés SSH, qui se compose d'une clé publique et d'une clé privée :

  • Vous installez la clé publique sur l'instance.

    L'emplacement dépend du système d'exploitation en question, mais AWS OpsWorks Stacks s'occupe des détails pour vous.

  • Vous stockez la clé privée localement et la fournissez à un client SSH, tel que ssh.exe, pour accéder à l'instance.

    Le client SSH utilise la clé privée pour se connecter à l'instance.

Pour fournir un accès SSH aux utilisateurs d'une pile, vous avez besoin d'un moyen de créer les paires de clés SSH, d'installer les clés publiques sur les instances de la pile et de gérer en toute sécurité les clés privées.

Amazon EC2 fournit un moyen simple d'installer une clé SSH publique sur une instance. Vous pouvez utiliser la console ou l'API Amazon EC2 pour créer une ou plusieurs paires de clés pour chaque région AWS que vous prévoyez d'utiliser. Amazon EC2 stocke les clés publiques sur AWS et vous stockez les clés privées localement. Lorsque vous lancez une instance, vous spécifiez l'une des paires de clés de la région et Amazon EC2 l'installe automatiquement sur l'instance. Vous utilisez ensuite la clé privée correspondante pour vous connecter à l'instance. Pour plus d'informations, consultez Paires de clés Amazon EC2.

Avec AWS OpsWorks Stacks, vous pouvez spécifier l'une des paires de clés Amazon EC2 de la région lorsque vous créez une pile, et éventuellement la remplacer par une paire de clés différente lorsque vous créez chaque instance. Lorsque AWS OpsWorks Stacks lance l'instance Amazon EC2 correspondante, il spécifie la paire de clés et Amazon EC2 installe la clé publique sur l'instance. Vous pouvez ensuite utiliser la clé privée pour vous connecter ou récupérer un mot de passe administrateur, comme vous le feriez avec une instance Amazon EC2 standard. Pour plus d’informations, consultez Installation d'une clé Amazon EC2.

L'utilisation d'une paire de clés Amazon EC2 est pratique, mais présente deux limites importantes :

  • Une paire de clés Amazon EC2 est liée à une région AWS spécifique.

    Si vous travaillez dans plusieurs régions, vous devez gérer plusieurs paires de clés.

  • Vous ne pouvez installer qu'une seule paire de clés Amazon EC2 sur une instance.

    Si vous voulez autoriser plusieurs utilisateurs à se connecter, ils doivent tous avoir une copie de la clé privée, ce qui n'est pas une méthode de sécurité recommandée.

Pour les piles Linux, AWS OpsWorks Stacks fournit un moyen plus simple et plus flexible de gérer les paires de clés SSH.

  • Chaque utilisateur enregistre une paire de clés personnelle.

    Ils stockent la clé privée localement et enregistrent la clé publique auprès de AWS OpsWorks Stacks, comme décrit dansEnregistrement de la clé SSH publique d'un utilisateur.

  • Lorsque vous définissez les autorisations utilisateur pour une pile, vous spécifiez les utilisateurs qui doivent bénéficier d'un accès SSH aux instances de la pile.

    AWS OpsWorks Stacks crée automatiquement un utilisateur système sur les instances de la pile pour chaque utilisateur autorisé et installe sa clé publique. L'utilisateur peut ensuite utiliser la clé privée correspondante pour se connecter, comme décrit dans Connexion avec SSH.

L'utilisation de clés SSH personnelles présente les avantages suivants.

  • Il n'est pas nécessaire de configurer manuellement les clés sur les instances ; AWS OpsWorks Stacks installe automatiquement les clés publiques appropriées sur chaque instance.

  • AWS OpsWorks Stacks installe uniquement les clés publiques personnelles des utilisateurs autorisés.

    Les utilisateurs non autorisés ne peuvent pas utiliser leur clé privée personnelle pour accéder aux instances. Avec les paires de clés Amazon EC2, tout utilisateur possédant la clé privée correspondante peut se connecter, avec ou sans accès SSH autorisé.

  • Si un utilisateur n'a plus besoin de l'accès SSH, vous pouvez utiliser la page Autorisations pour révoquer les autorisations SSH/RDP de l'utilisateur.

    AWS OpsWorks Stacks désinstalle immédiatement la clé publique des instances de la pile.

  • Vous pouvez utiliser la même clé pour n'importe quelle région AWS.

    Les utilisateurs ne doivent gérer qu'une seule clé privée.

  • Il n'y a pas besoin de partager les clés privées.

    Chaque utilisateur a sa propre clé privée.

  • Il est facile d'effectuer une rotation des clés.

    Vous ou l'utilisateur mettez à jour la clé publique dans Mes paramètres et AWS OpsWorks Stacks met automatiquement à jour les instances.