Crea una coppia di key pair per la tua istanza Amazon EC2

Puoi usare Amazon EC2 per creare le tue coppie di chiavi oppure puoi utilizzare uno strumento di terze parti per creare le tue coppie di chiavi e poi importarle in Amazon EC2.

Amazon EC2 supporta le chiavi RSA ED25519 e 2048-bit SSH-2 per le istanze Linux. Amazon EC2 supporta le chiavi RSA 2048-bit SSH-2 per le istanze Windows. Le chiavi ED25519 non sono supportate per le istanze Windows.

Per le istruzioni per connettersi all'istanza Linux usando SSH dopo aver creato una coppia di chiavi, consulta Connessione all'istanza di Linux.

Creazione di una coppia di chiavi utilizzando Amazon EC2

Quando crei una coppia di chiavi utilizzando Amazon EC2, la chiave pubblica viene archiviata in Amazon EC2 e tu archivi la chiave privata.

Puoi creare fino a 5.000 coppie di chiavi per regione. Per richiedere un aumento, crea una richiesta di supporto. Per ulteriori informazioni, consulta Creazione di una richiesta di assistenza nella Guida per l'utente di AWS Support .

Console

Come creare una coppia di chiavi utilizzando Amazon EC2

1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Nel riquadro di navigazione, sotto Network & Security (Rete e sicurezza), scegliere Key Pairs (Coppie di chiavi).

3. Scegliere Create key pair (Crea coppia di chiavi).

4. Per Name (Nome), immettere un nome descrittivo per la coppia di chiavi. Amazon EC2 associa la chiave pubblica con il nome specificato come nome della chiave. Il nome può includere fino a 255 caratteri ASCII. Non può includere spazi iniziali o finali.

5. Per Key pair type (Tipo di coppia di chiavi), scegliere RSA o ED25519.

6. Per Private key file format (Formato file chiave privata), scegliere il formato in cui salvare la chiave privata. Per salvare la chiave privata in un formato che può essere utilizzato con OpenSSH, scegliere pem. Per salvare la chiave privata in un formato che può essere utilizzato con PuTTY, scegliere ppk.

7. Per aggiungere un tag, scegli Add tag (Aggiungi tag) e immetti la chiave e il valore per il tag. Ripetere per ogni tag.

8. Scegliere Create key pair (Crea coppia di chiavi).

9. Il file della chiave privata viene automaticamente scaricato dal browser. Il nome del file di base è il nome specificato come nome della coppia di chiavi e l'estensione del nome del file è determinata dal formato di file scelto. Salvare il file della chiave privata in un luogo sicuro.

   Importante

   Questo è l'unico momento in cui salvare il file della chiave privata.

10. Se prevedi di utilizzare un client SSH su un computer macOS o Linux per connetterti all'istanza Linux, utilizza il comando seguente per impostare le autorizzazioni del file della chiave privata per essere l'unico a poterlo leggere.

    chmod 400 key-pair-name.pem

    Se non imposti queste autorizzazioni, allora non puoi connetterti alle tue istanze usando questa coppia di chiavi. Per ulteriori informazioni, consulta Errore: Unprotected Private Key File (File della chiave privata non protetto).

AWS CLI

Come creare una coppia di chiavi utilizzando Amazon EC2

1. Utilizza il comando create-key-pair come segue per generare la coppia di chiavi e salvare la chiave privata in un file .pem.

   Per --key-name, specifica un nome per la chiave pubblica. Il nome può essere composto da un massimo di 255 caratteri ASCII.

   Per --key-type, specifica rsa o ed25519. Se non includi i parametri --key-type, una chiave rsa viene creata per impostazione predefinita. Le chiavi ED25519 non sono supportate per le istanze Windows.

   Per --key-format, specifica pem o ppk. Se non viene incluso il parametro --key-format, per impostazione di default viene creato un file pem.

   --query "KeyMaterial" stampa il materiale della chiave privata nell'output.

   --output text > my-key-pair.pem salva il materiale della chiave privata in un file con estensione specificata. L'estensione può essere .pem o .ppk. La chiave privata può avere un nome diverso dalla chiave pubblica ma, per facilità d'uso, utilizzare lo stesso nome.

   aws ec2 create-key-pair \
       --key-name my-key-pair \
       --key-type rsa \
       --key-format pem \
       --query "KeyMaterial" \
       --output text > my-key-pair.pem

2. Se prevedi di utilizzare un client SSH su un computer macOS o Linux per connetterti all'istanza Linux, utilizza il comando seguente per impostare le autorizzazioni del file della chiave privata per essere l'unico a poterlo leggere.

   chmod 400 key-pair-name.pem

   Se non imposti queste autorizzazioni, allora non puoi connetterti alle tue istanze usando questa coppia di chiavi. Per ulteriori informazioni, consulta Errore: Unprotected Private Key File (File della chiave privata non protetto).

PowerShell

Come creare una coppia di chiavi utilizzando Amazon EC2

Utilizzate il New-EC2KeyPair AWS Tools for Windows PowerShell comando seguente per generare la chiave e salvarla in un .ppk file .pem or.

Per -KeyName, specifica un nome per la chiave pubblica. Il nome può essere composto da un massimo di 255 caratteri ASCII.

Per -KeyType, specifica rsa o ed25519. Se non includi i parametri -KeyType, una chiave rsa viene creata per impostazione predefinita. Le chiavi ED25519 non sono supportate per le istanze Windows.

Per -KeyFormat, specifica pem o ppk. Se non viene incluso il parametro -KeyFormat, per impostazione di default viene creato un file pem.

KeyMaterial stampa il materiale della chiave privata nell'output.

Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem salva il materiale della chiave privata in un file con estensione specificata. L'estensione può essere .pem o .ppk. La chiave privata può avere un nome diverso dalla chiave pubblica ma, per facilità d'uso, utilizzare lo stesso nome.

PS C:\> (New-EC2KeyPair -KeyName "my-key-pair" -KeyType "rsa" -KeyFormat "pem").KeyMaterial | Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem

Crea una key pair usando AWS CloudFormation

Quando si crea una nuova coppia di chiavi utilizzando AWS CloudFormation, la chiave privata viene salvata in AWS Systems Manager Parameter Store. Il nome del parametro ha il formato seguente:

/ec2/keypair/key_pair_id

Per ulteriori informazioni, consulta Archivio dei parametri AWS Systems Manager nella Guida per l'utente di AWS Systems Manager .

Per creare una key pair usando AWS CloudFormation

1. Specificate la AWS::EC2::KeyPairrisorsa nel modello.

   Resources:
     NewKeyPair:
       Type: 'AWS::EC2::KeyPair'
       Properties: 
         KeyName: new-key-pair

2. Utilizza il comando describe-key-pairs come segue per ottenere l'ID della coppia di chiavi.

   aws ec2 describe-key-pairs --filters Name=key-name,Values=new-key-pair --query KeyPairs[*].KeyPairId --output text

   Di seguito è riportato un output di esempio.

   key-05abb699beEXAMPLE

3. Utilizza il comando get-parameter come segue per ottenere il parametro per la tua chiave e salvare il materiale della chiave in un file .pem.

   aws ssm get-parameter --name /ec2/keypair/key-05abb699beEXAMPLE --with-decryption --query Parameter.Value --output text > new-key-pair.pem

Autorizzazioni IAM richieste

AWS CloudFormation Per consentire la gestione dei parametri di Parameter Store per tuo conto, il ruolo IAM assunto dal AWS CloudFormation o dal tuo utente deve disporre delle seguenti autorizzazioni:

• ssm:PutParameter: concede l'autorizzazione per creare un parametro per il materiale della chiave privata.

• ssm:DeleteParameter: concede l'autorizzazione a eliminare il parametro che ha archiviato il materiale della chiave privata. Questa autorizzazione è necessaria indipendentemente dal fatto che la coppia di chiavi sia stata importata o creata da AWS CloudFormation.

Quando si AWS CloudFormation elimina una coppia di chiavi creata o importata da uno stack, esegue un controllo delle autorizzazioni per determinare se si dispone dell'autorizzazione per eliminare i parametri, anche se AWS CloudFormation crea un parametro solo quando crea una coppia di chiavi, non quando importa una coppia di chiavi. AWS CloudFormation verifica l'autorizzazione richiesta utilizzando un nome di parametro fabbricato che non corrisponde a nessun parametro del tuo account. Pertanto, è possibile che nel messaggio di errore AccessDeniedException venga visualizzato un nome di parametro fittizio.

Creazione di una coppia di chiavi tramite uno strumento di terza parte e importazione della chiave pubblica in Amazon EC2

Invece di creare la coppia di chiavi tramite Amazon EC2, è possibile creare una coppia di chiavi RSA o ED25519 utilizzando una strumento di terze parti e importare la chiave pubblica in Amazon EC2.

Requisiti delle coppie di chiavi

• Tipi supportati: RSA ed ED25519. Amazon EC2 non accetta chiavi DSA.

  Nota

  Le chiavi ED25519 non sono supportate per le istanze Windows.

• Formati supportati:

  • Il formato chiave pubblica di OpenSSH (il formato in ~/.ssh/authorized_keys). Se effettui la connessione mediante SSH mentre stai utilizzando l'API EC2 Instance Connect, è supportato anche il formato SSH.

  • Il formato del file della chiave privata SSH deve essere PEM o PPK

  • (Solo RSA) Il formato DER con codifica Base64

  • (Solo RSA) Il formato file della chiave pubblica SSH come specificato in RFC4716

• Le lunghezze supportate sono 1024, 2048 e 4096. Se effettui la connessione mediante SSH mentre stai utilizzando l'API EC2 Instance Connect, le lunghezze supportate sono 2048 e 4096.

Per creare una coppia di chiavi tramite uno strumento di terza parte

1. Generare una coppia di chiavi con lo strumento di terza parte preferito. Ad esempio, per creare una coppia di chiavi è possibile utilizzare ssh-keygen (uno strumento fornito con l'installazione standard di OpenSSH). In alternativa, Java, Ruby, Python e molti altri linguaggi di programmazione forniscono librerie standard utilizzabili per creare una coppia di chiavi RSA o ED25519.

   Importante

   La chiave privata deve essere nel formato PEM o PPK. Ad esempio, utilizzare ssh-keygen -m PEM per generare la chiave OpenSSH nel formato PEM.

2. Salvare la chiave pubblica in un file locale. Ad esempio, ~/.ssh/my-key-pair.pub. L'estensione del nome del file non è importante.

3. Salvare la chiave privata in un file locale con estensione .pem o .ppk. Ad esempio, ~/.ssh/my-key-pair.pem o ~/.ssh/my-key-pair.ppk.

   Importante

   Salvare il file della chiave privata in un luogo sicuro. Dovrai fornire il nome della chiave pubblica quando avvii un'istanza e la chiave privata corrispondente ogni volta che ti connetti all'istanza.

Dopo avere creato la coppia di chiavi, utilizzare uno dei seguenti metodi per importare la chiave pubblica in Amazon EC2.

Console

Come importare la chiave pubblica in Amazon EC2

1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Nel riquadro di navigazione scegliere Key Pairs (Coppie di chiavi).

3. Scegliere Import key pair (Importa coppia di chiavi).

4. Per Name (Nome), immettere un nome descrittivo per la chiave pubblica. Il nome può includere fino a 255 caratteri ASCII. Non può includere spazi iniziali o finali.

   Nota

   Quando ci si connette all'istanza dalla console EC2, la console suggerisce questo nome per il nome file della chiave privata.

5. Scegliere Browse (Sfoglia) per navigare e selezionare la chiave pubblica oppure incollare il contenuto della chiave pubblica nel campo Public key contents (Contenuto chiave pubblica).

6. Scegliere Import key pair (Importa coppia di chiavi).

7. Verificare che la chiave pubblica importata venga visualizzata nell'elenco delle coppie di chiavi.

AWS CLI

Come importare la chiave pubblica in Amazon EC2

Utilizza il comando import-key-pair AWS CLI .

Per verificare che la coppia di chiavi sia stata importata correttamente

Utilizza il comando describe-key-pairs AWS CLI .

PowerShell

Come importare la chiave pubblica in Amazon EC2

Utilizza il comando Import-EC2KeyPair AWS Tools for Windows PowerShell .

Per verificare che la coppia di chiavi sia stata importata correttamente

Utilizza il comando Get-EC2KeyPair AWS Tools for Windows PowerShell .