Coppie di chiavi Amazon EC2 e istanze Linux - Amazon Elastic Compute Cloud

Coppie di chiavi Amazon EC2 e istanze Linux

Una coppia di chiavi, costituita da una chiave privata e una chiave pubblica, è un insieme di credenziali di sicurezza utilizzate per dimostrare l'identità durante la connessione a un'istanza. Amazon EC2 archivia solo la chiave pubblica, è quindi importante archiviare la chiave privata. Usa la chiave privataanziché una password per accedere in modo sicuro alle istanze. Chiunque possieda le tue chiavi private può connettersi alle tue istanze, quindi è importante archiviare le chiavi private in un luogo sicuro.

Quando avvii un'istanza ti viene richiesta una coppia di chiavi. Se si prevede di connettersi all'istanza utilizzando SSH, è necessario specificare una coppia di chiavi. Puoi selezionare una coppia di chiavi esistente o crearne una nuova. Quando l'istanza viene avviata per la prima volta, il contenuto della chiave pubblica specificata all'avvio viene inserito nell'istanza Linux in una voce in ~/.ssh/authorized_keys. Quando ti connetti all'istanza Linux usando SSH, per accedere devi specificare la chiave privata che corrisponde al contenuto della chiave pubblica. Per ulteriori informazioni sulla connessione all'istanza, consulta Connessione all'istanza di Linux. Per ulteriori informazioni sulle coppie di chiavi e sulle istanze Windows, consulta Coppie di chiavi Amazon EC2 e istanze Windows nella Guida per l'utente di Amazon EC2 per le istanze Windows

Poiché Amazon EC2 non conserva una copia della chiave privata, se si perde una chiave privata non è possibile recuperarla. Tuttavia, può ancora esserci un modo per connettersi a istanze per cui hai perso la chiave privata. Per ulteriori informazioni, consulta Connessione all'istanza Linux in caso di perdita della chiave privata.

Le chiavi utilizzate da Amazon EC2 sono le chiavi RSA 2048-bit SSH-2. Puoi avere fino a 5.000 coppie di chiavi per regione.

Creazione o importazione di una coppia di chiavi

È possibile utilizzare Amazon EC2 per creare una nuova coppia di chiavi o importarne una esistente.

Opzione 1: creare una coppia di chiavi utilizzando Amazon EC2

È possibile creare una coppia di chiavi utilizzando uno dei seguenti metodi.

New console

Per creare la coppia di chiavi

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione, sotto Network & Security (Rete e sicurezza), scegliere Key Pairs (Coppie di chiavi).

  3. Scegliere Create key pair (Crea coppia di chiavi).

  4. Per Name (Nome), immettere un nome descrittivo per la coppia di chiavi. Amazon EC2 associa la chiave pubblica con il nome specificato come nome della chiave. Il nome può includere fino a 255 caratteri ASCII. Non può includere spazi iniziali o finali.

  5. Per File format (Formato file), scegliere il formato in cui salvare la chiave privata. Per salvare la chiave privata in un formato che può essere utilizzato con OpenSSH, scegliere pem. Per salvare la chiave privata in un formato che può essere utilizzato con PuTTY, scegliere ppk.

  6. Scegliere Create key pair (Crea coppia di chiavi).

  7. Il file della chiave privata viene automaticamente scaricato dal browser. Il nome del file di base è il nome specificato come nome della coppia di chiavi e l'estensione del nome del file è determinata dal formato di file scelto. Salvare il file della chiave privata in un luogo sicuro.

    Importante

    Questo è l'unico momento in cui salvare il file della chiave privata.

  8. Se utilizzerai un client SSH su un computer MacOS o Linux per connetterti all'istanza Linux, utilizza il seguente comando al fine di impostare le autorizzazioni del file della chiave privata per essere l'unico a poterlo leggere.

    chmod 400 my-key-pair.pem

    Se non imposti queste autorizzazioni, allora non puoi connetterti alle tue istanze usando questa coppia di chiavi. Per ulteriori informazioni, consulta Errore: Unprotected Private Key File (File della chiave privata non protetto).

Old console

Per creare la coppia di chiavi

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione, in RETE E SICUREZZA, scegliere Key Pairs (Coppie di chiavi).

  3. Scegliere Create Key Pair (Crea coppia di chiavi).

  4. Per Nome coppia di chiavi, immettere un nome per la nuova coppia di chiavi e scegliere Crea. Il nome può includere fino a 255 caratteri ASCII. Non può includere spazi iniziali o finali.

  5. Il file della chiave privata viene automaticamente scaricato dal browser. Il nome del file base è quello specificato come nome della coppia di chiavi e l'estensione è .pem. Salvare il file della chiave privata in un luogo sicuro.

    Importante

    Questo è l'unico momento in cui salvare il file della chiave privata.

  6. Se utilizzerai un client SSH su un computer MacOS o Linux per connetterti all'istanza Linux, utilizza il seguente comando al fine di impostare le autorizzazioni del file della chiave privata per essere l'unico a poterlo leggere.

    chmod 400 my-key-pair.pem

    Se non imposti queste autorizzazioni, allora non puoi connetterti alle tue istanze usando questa coppia di chiavi. Per ulteriori informazioni, consulta Errore: Unprotected Private Key File (File della chiave privata non protetto).

AWS CLI

Per creare la coppia di chiavi

  1. Utilizza il comando AWS CLI create-key-pair come segue per generare la chiave e salvarla in un file .pem.

    aws ec2 create-key-pair --key-name my-key-pair --query "KeyMaterial" --output text > my-key-pair.pem
  2. Se utilizzerai un client SSH su un computer MacOS o Linux per connetterti all'istanza Linux, utilizza il seguente comando al fine di impostare le autorizzazioni del file della chiave privata per essere l'unico a poterlo leggere.

    chmod 400 my-key-pair.pem

    Se non imposti queste autorizzazioni, allora non puoi connetterti alle tue istanze usando questa coppia di chiavi. Per ulteriori informazioni, consulta Errore: Unprotected Private Key File (File della chiave privata non protetto).

PowerShell

Per creare la coppia di chiavi

Utilizza il comando AWS Tools for Windows PowerShell New-EC2KeyPair come indicato di seguito per generare la chiave e salvarla in un file .pem.

PS C:\> (New-EC2KeyPair -KeyName "my-key-pair").KeyMaterial | Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem

Opzione 2: importare la propria chiave pubblica in Amazon EC2

Invece di creare la coppia di chiavi tramite Amazon EC2, è possibile creare una coppia di chiavi RSA utilizzando una strumento di terze parti e importare la chiave pubblica in Amazon EC2.

Requisiti delle coppie di chiavi

  • Sono supportati i formati seguenti:

    • Il formato chiave pubblica di OpenSSH (il formato in ~/.ssh/authorized_keys). Se effettui la connessione mediante SSH mentre stai utilizzando l'API EC2 Instance Connect, è supportato anche il formato SSH.

    • Il formato DER con codifica Base64

    • Il formato file della chiave pubblica SSH come specificato in RFC4716

    • Il formato del file della chiave privata SSH deve essere PEM

  • Crea una chiave RSA. Amazon EC2 non accetta chiavi DSA.

  • Le lunghezze supportate sono 1024, 2048 e 4096. Se effettui la connessione mediante SSH mentre stai utilizzando l'API EC2 Instance Connect, le lunghezze supportate sono 2048 e 4096.

Per creare una coppia di chiavi tramite uno strumento di terza parte

  1. Generare una coppia di chiavi con lo strumento di terza parte preferito. Ad esempio, per creare una coppia di chiavi è possibile utilizzare ssh-keygen (uno strumento fornito con l'installazione standard di OpenSSH). In alternativa, Java, Ruby, Python e molti altri linguaggi di programmazione forniscono librerie standard che è possibile utilizzare per creare una coppia di chiavi RSA.

    Importante

    La chiave privata deve essere nel formato PEM. Ad esempio, utilizzare ssh-keygen -m PEM per generare la chiave OpenSSH nel formato PEM.

  2. Salvare la chiave pubblica in un file locale. Ad esempio, ~/.ssh/my-key-pair.pub. L'estensione del nome del file non è importante.

  3. Salvare la chiave privata in un file locale che abbia l'estensione .pem. Ad esempio, ~/.ssh/my-key-pair.pem.

    Importante

    Salvare il file della chiave privata in un luogo sicuro. Dovrai fornire il nome della chiave pubblica quando avvii un'istanza e la chiave privata corrispondente ogni volta che ti connetti all'istanza.

Dopo avere creato la coppia di chiavi, utilizzare uno dei seguenti metodi per importare la chiave pubblica in Amazon EC2.

New console

Per importare la chiave pubblica

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione scegliere Key Pairs (Coppie di chiavi).

  3. Scegliere Import key pair (Importa coppia di chiavi).

  4. Per Name (Nome), immettere un nome descrittivo per la chiave pubblica. Il nome può includere fino a 255 caratteri ASCII. Non può includere spazi iniziali o finali.

    Nota

    Quando ci si connette all'istanza dalla console EC2, la console suggerisce questo nome per il nome file della chiave privata.

  5. Scegliere Browse (Sfoglia) per navigare e selezionare la chiave pubblica oppure incollare il contenuto della chiave pubblica nel campo Public key contents (Contenuto chiave pubblica).

  6. Scegliere Import key pair (Importa coppia di chiavi).

  7. Verificare che la chiave pubblica importata venga visualizzata nell'elenco delle coppie di chiavi.

Old console

Per importare la chiave pubblica

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione, in RETE E SICUREZZA, scegliere Key Pairs (Coppie di chiavi).

  3. Scegliere Import Key Pair (Importa coppia di chiavi).

  4. Nella finestra di dialogo Import Key Pair (Importa coppia di chiavi), scegliere Browse (Sfoglia) e selezionare il file della chiave pubblica precedentemente salvato. Inserire un nome per la coppia di chiavi nel campo Key pair name (Nome coppia di chiavi) e scegliere Import (Importa). Il nome può includere fino a 255 caratteri ASCII. Non può includere spazi iniziali o finali.

  5. Verificare che la coppia di chiavi importata venga visualizzata nell'elenco delle coppie di chiavi.

AWS CLI

Per importare la chiave pubblica

Utilizzare il comando AWS CLI import-key-pair.

Per verificare che la coppia di chiavi sia stata importata correttamente

Utilizzare il comando AWS CLI describe-key-pairs.

PowerShell

Per importare la chiave pubblica

Utilizzare il comando AWS Tools for Windows PowerShell Import-EC2Keypair.

Per verificare che la coppia di chiavi sia stata importata correttamente

Utilizzare il comando AWS Tools for Windows PowerShell Get-EC2KeyPair.

Assegnazione di tag a una coppia di chiavi

Per categorizzare e gestire le coppie di chiavi esistenti, è possibile contrassegnarle con tag contenenti metadati personalizzati. Per ulteriori informazioni sul funzionamento dei tag, consultare Tagging delle risorse Amazon EC2..

È possibile visualizzare, aggiungere ed eliminare i tag utilizzando la nuova console e gli strumenti della riga di comando.

New console

Per visualizzare, aggiungere o eliminare un tag per una coppia di chiavi esistente

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione scegliere Key Pairs (Coppie di chiavi).

  3. Selezionare una coppia di chiavi, quindi scegliere Actions (Operazioni), Manage tags (Gestisci tag).

  4. La pagina Manage tags (Gestisci tag) visualizza tutti i tag assegnati alla coppia di chiavi.

    • Per aggiungere un tag, scegliere Add tag (Aggiungi tag), quindi immettere la chiave e il valore del tag. È possibile aggiungere fino a 50 tag per coppia di chiavi. Per ulteriori informazioni, consulta Limitazioni applicate ai tag.

    • Per eliminare un tag, scegliere Remove (Rimuovi) accanto al tag da eliminare.

  5. Seleziona Salva.

AWS CLI

Per visualizzare i tag della coppia di chiavi

Utilizzare il comando AWS CLI describe-tag. Nell'esempio seguente vengono descritti i tag per tutte le coppie di chiavi.

$ aws ec2 describe-tags --filters "Name=resource-type,Values=key-pair"
{ "Tags": [ { "Key": "Environment", "ResourceId": "key-0123456789EXAMPLE", "ResourceType": "key-pair", "Value": "Production" }, { "Key": "Environment", "ResourceId": "key-9876543210EXAMPLE", "ResourceType": "key-pair", "Value": "Production" }] }

Per descrivere i tag per una coppia di chiavi specifica

Utilizzare il comando AWS CLI describe-key-pairs.

$ aws ec2 describe-key-pairs --key-pair-ids key-0123456789EXAMPLE
{ "KeyPairs": [ { "KeyName": "MyKeyPair", "KeyFingerprint": "1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f", "KeyPairId": "key-0123456789EXAMPLE", "Tags": [ { "Key": "Environment", "Value": "Production" }] }] }

Per contrassegnare una coppia di chiavi esistente

Utilizzare il comando create-tags della AWS CLI. Nell'esempio seguente, la coppia di chiavi esistente è contrassegnata con Key=Cost-Center e Value=CC-123.

$ aws ec2 create-tags --resources key-0123456789EXAMPLE --tags Key=Cost-Center,Value=CC-123

Come eliminare un tag da una coppia di chiavi

Utilizzare il comando AWS CLI delete-tags. Per degli esempi, consulta Esempi in Riferimento ai comandi AWS CLI.

PowerShell

Per visualizzare i tag della coppia di chiavi

Utilizzare il comando Get-EC2Tag.

Per descrivere i tag per una coppia di chiavi specifica

Utilizzare il comando Get-EC2KeyPair.

Per contrassegnare una coppia di chiavi esistente

Utilizzare il comando New-EC2Tag.

Come eliminare un tag da una coppia di chiavi

Utilizzare il comando Remove-EC2Tag.

Recupero della chiave pubblica per la coppia di chiavi

Sul computer locale macOS, è possibile utilizzare il comando ssh-keygen per recuperare la chiave pubblica per la coppia di chiavi. Specificare il percorso in cui è stata scaricata la chiave privata (il file .pem).

ssh-keygen -y -f /path_to_key_pair/my-key-pair.pem

Il comando restituisce la chiave pubblica, come illustrato nell'esempio seguente.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE

In caso di errore del comando, assicurarsi di aver modificato le autorizzazioni sul file della coppia di chiavi in modo che solo l'utente possa visualizzarlo eseguendo il comando:

chmod 400 my-key-pair.pem

Recupero della chiave pubblica per la coppia di chiavi tramite i metadati dell'istanza

La chiave pubblicata specificata all'avvio di un'istanza è disponibile anche attraverso i metadati dell'istanza. Per visualizzare la chiave pubblica specificata all'avvio dell'istanza, utilizzare i seguenti comandi dall'istanza:

IMDSv2
[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" –v http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key

Di seguito è riportato un esempio di output.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair
IMDSv1
[ec2-user ~]$ curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key

Di seguito è riportato un esempio di output.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair

Se si modifica la coppia di chiavi utilizzata per connettersi all'istanza, non vengono aggiornati i metadati dell'istanza per mostrare la nuova chiave pubblica. I metadati dell'istanza continuano invece a mostrare la chiave pubblica per la coppia di chiavi specificata al momento dell'avvio dell'istanza. Per ulteriori informazioni, consulta Recupero dei metadati dell'istanza.

In alternativa, in un'istanza Linux, il contenuto della chiave pubblica è collocato in una voce all'interno di ~/.ssh/authorized_keys. È possibile aprire questo file in un editor. La seguente voce è un esempio di coppia di chiavi denominata my-key-pair. È costituita dalla chiave pubblica seguita dal nome della coppia di chiavi.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair

Individuazione della chiave pubblica su un'istanza

Quando avvii un'istanza ti viene richiesta una coppia di chiavi. Se si prevede di connettersi all'istanza utilizzando SSH, è necessario specificare una coppia di chiavi. Puoi selezionare una coppia di chiavi esistente o crearne una nuova. Quando l'istanza viene avviata per la prima volta, il contenuto della chiave pubblica specificata all'avvio viene inserito nell'istanza Linux in una voce in ~/.ssh/authorized_keys.

Per individuare la chiave pubblica su un'istanza

  1. Connettiti alla tua istanza. Per ulteriori informazioni, consulta Connessione all'istanza di Linux.

  2. Nella finestra del terminale, aprire il file authorized_keys utilizzando l'editor di testo preferito (ad esempio vim o nano).

    [ec2-user ~]$ nano ~/.ssh/authorized_keys

    Il file authorized_keys viene aperto, visualizzando la chiave pubblica, come illustrato nell'esempio seguente.

    ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6Vhz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXrlsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZqaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3RbBQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE

Identificazione della coppia di chiavi specificata al momento dell'avvio

Quando avvii un'istanza ti viene richiesta una coppia di chiavi. Se si prevede di connettersi all'istanza utilizzando SSH, è necessario specificare una coppia di chiavi.

New console

Per identificare la coppia di chiavi specificata all'avvio

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione scegliere Instances (Istanze) e selezionare l'istanza desiderata.

  3. Nella scheda Details (Dettagli), sotto Instance details (Dettagli istanza), nel campo Key pair name (Nome della coppia di chiavi) viene visualizzato il nome della coppia di chiavi specificata all'avvio dell'istanza. Il valore del Key pair name (Nome della coppia di chiavi) non cambia anche se si modifica la chiave pubblica sull'istanza o si aggiungono coppie di chiavi.

Old console

Per identificare la coppia di chiavi specificata all'avvio

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione scegliere Instances (Istanze) e selezionare l'istanza desiderata.

  3. Nella scheda Description (Descrizione) nel campo Key pair name (Nome coppia di chiavi) viene visualizzato il nome della coppia di chiavi specificata all'avvio dell'istanza. Il valore del Key pair name (Nome della coppia di chiavi) non cambia anche se si modifica la chiave pubblica sull'istanza o si aggiungono coppie di chiavi.

(Opzionale) Verifica dell'impronta della coppia di chiavi

Nella pagina Key Pairs (Coppie di chiavi) della console Amazon EC2, la colonna Fingerprint (Impronta digitale) mostra l'impronta digitale generata dalle coppie di chiavi. AWS calcola l'impronta digitale in modo diverso a seconda che la coppia di chiavi sia stata generata da AWS o da uno strumento di terza parte. Se si crea una coppia di chiavi tramite AWS, l'impronta digitale viene calcolata con la funzione hash SHA-1. Se la coppia di chiavi era stata creata con uno strumento di terze parti e la chiave pubblica era stata caricata su AWS o se una nuova chiave pubblica era stata generata da una chiave privata già creata su AWS e caricata su AWS, l'impronta digitale viene calcolata usando una funzione di hash MD5.

È possibile utilizzare l'impronta digitale SSH2 visualizzata sulla pagina Key Pairs (Coppie di chiavi) per verificare che la chiave privata che si trova sul computer locale corrisponda alla chiave pubblica archiviata in AWS. Dal computer in cui è stato scaricato il file di chiave privata, genera un'impronta digitale SSH2 dal file di chiave privata. L'output deve corrispondere all'impronta digitale visualizzata nella console.

Se si sta utilizzando un computer locale Windows, è possibile eseguire i comandi seguenti tramite Windows Subsystem per Linux (WSL). Installare WSL e una distribuzione Linux seguendo le istruzioni della Guida all'installazione di Windows 10. L'esempio riportato nelle istruzioni installa la distribuzione Ubuntu di Linux, ma si può installare qualunque distribuzione. Affinché vengano applicate le modifiche, ti verrà chiesto di riavviare il computer.

Se la coppia di chiavi è stata creata tramite AWS, puoi utilizzare gli strumenti di OpenSSL per generare un'impronta digitale come riportato nell'esempio che segue:

$ openssl pkcs8 -in path_to_private_key -inform PEM -outform DER -topk8 -nocrypt | openssl sha1 -c

Se una coppia di chiavi è stata creata tramite uno strumento di terze parti e la chiave pubblica è stata caricata in AWS, puoi utilizzare gli strumenti di OpenSSL per generare l'impronta digitale come mostrato nell'esempio seguente:

$ openssl rsa -in path_to_private_key -pubout -outform DER | openssl md5 -c

Se una coppia di chiavi OpenSSH è stata creata mediante OpenSSH 7.8 o versioni successive e la chiave pubblica è stata caricata in AWS, puoi utilizzare ssh-keygen per generare l'impronta digitale come riportato nell'esempio seguente:

$ ssh-keygen -ef path_to_private_key -m PEM | openssl rsa -RSAPublicKey_in -outform DER | openssl md5 -c

Inserimento o sostituzione di una coppia di chiavi per l'istanza

È possibile modificare la coppia di chiavi utilizzata per accedere all'account di sistema predefinito dell'istanza aggiungendo una nuova chiave pubblica nell'istanza o sostituendo la chiave pubblica (eliminando la chiave pubblica esistente e aggiungendone una nuova) nell'istanza. Questa operazione può essere eseguita per i seguenti motivi:

  • Se un utente dell'organizzazione richiede l'accesso all'account utente di sistema utilizzando una coppia di chiavi separata, è possibile aggiungere tale coppia di chiavi all'istanza.

  • Se si vuole impedire che qualcuno in possesso di una copia della chiave privata (file .pem) si colleghi alla propria istanza (ad esempio, se ha lasciato l'organizzazione), è possibile sostituire la coppia di chiavi con una nuova.

Le chiavi pubbliche si trovano nel file .ssh/authorized_keys sull'istanza.

Per aggiungere o sostituire una coppia di chiavi, è necessario essere in grado di connettersi all'istanza. Se hai perso la chiave privata esistente o hai avviato l'istanza senza una coppia di chiavi, non sarai in grado di connetterti all'istanza e quindi non potrai aggiungere o sostituire una coppia di chiavi. Se hai perso la chiave privata, potresti essere in grado di recuperarla. Per ulteriori informazioni, consulta Connessione all'istanza Linux in caso di perdita della chiave privata. Se hai avviato l'istanza senza una coppia di chiavi, non sarai in grado di connetterti all'istanza a meno che tu non scelga un'AMI configurata per offrire agli utenti un metodo di accesso alternativo.

Nota

Queste procedure modificano la coppia di chiavi dell'account utente predefinito, ad esempio ec2-user. Per ulteriori informazioni sull'aggiunta di altri account utente all'istanza, consulta Gestione degli account utente sull'istanza Amazon Linux.

Per aggiungere o sostituire una coppia di chiavi

  1. Creare una nuova coppia di chiavi tramite la console Amazon EC2 o uno strumento di terze parti.

  2. Recuperare la chiave pubblica da una nuova coppia di chiavi. Per ulteriori informazioni, consulta Recupero della chiave pubblica per la coppia di chiavi.

  3. Connettersi all'istanza tramite un file di chiave privata esistente.

  4. Utilizzare l'editor di testo preferito, aprire il file .ssh/authorized_keys nell'istanza. Incollare le informazioni sulla chiave pubblica dalla nuova coppia di chiavi sotto le informazioni sulla chiave pubblica esistenti. Salva il file.

  5. Disconnettersi dalla nuova istanza e verificare che sia possibile connettersi all'istanza tramite il nuovo file di chiave privata.

  6. (Facoltativo) Se si sostituisce una coppia di chiavi esistente, connettersi all'istanza ed eliminare le informazioni sulla chiave pubblica per la coppia di chiavi originale dal file .ssh/authorized_keys.

Nota

Se si sta utilizzando un gruppo Auto Scaling, assicurarsi che la coppia di chiavi che si sta sostituendo non sia specificata nel modello o nella configurazione di avvio. Se Amazon EC2 Auto Scaling rileva un'istanza non integra, avvia un'istanza sostitutiva. Tuttavia, l'avvio dell'istanza non riesce se non è possibile trovare la coppia di chiavi. Per ulteriori informazioni, consulta Modelli di avvio nella Guida per l'utente di Amazon EC2 Auto Scaling.

Eliminazione della coppia di chiavi

Quando elimini una coppia di chiavi utilizzando i metodi seguenti, elimini la chiave pubblica salvata in Amazon EC2 solo quando la coppia di chiavi è stata creata o importata da te. L'eliminazione di una coppia di chiavi non elimina la chiave pubblica da tutte le istanze avviate in precedenza tramite quella coppia di chiavi. Inoltre, la chiave privata non viene eliminata dal computer locale. È possibile continuare a connettersi alle istanze avviate tramite una coppia di chiavi che viene eliminata in seguito, purché si disponga ancora del file della chiave privata (.pem).

Nota

Per eliminare la chiave pubblica da un'istanza, consulta Eliminazione di una chiave pubblica da un'istanza.

Se si sta utilizzando un gruppo Auto Scaling (ad esempio, in un ambiente Elastic Beanstalk), assicurarsi che la coppia della chiavi che si sta cancellando non sia specificata in un modello di avvio o in una configurazione di avvio associati. Se Amazon EC2 Auto Scaling rileva un'istanza non integra, avvia un'istanza sostitutiva. Tuttavia, l'avvio dell'istanza non riesce se non è possibile trovare la coppia di chiavi. Per ulteriori informazioni, consulta Modelli di avvio nella Guida per l'utente di Amazon EC2 Auto Scaling.

È possibile eliminare una coppia di chiavi utilizzando uno dei seguenti metodi.

New console

Per eliminare la coppia di chiavi

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione scegliere Key Pairs (Coppie di chiavi).

  3. Selezionare la coppia di chiavi da eliminare e scegliere Delete (Elimina).

  4. Nel campo di conferma immettere Delete e quindi scegliere Delete (Elimina).

Old console

Per eliminare la coppia di chiavi

  1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Nel riquadro di navigazione, in RETE E SICUREZZA, scegliere Key Pairs (Coppie di chiavi).

  3. Selezionare la coppia di chiavi, quindi scegliere Delete (Elimina).

  4. Quando viene richiesto, scegliere Yes (Sì).

AWS CLI

Per eliminare la coppia di chiavi

Utilizzare il comando AWS CLI delete-key-pair.

PowerShell

Per eliminare la coppia di chiavi

Utilizzare il comando AWS Tools for Windows PowerShell Remove-EC2KeyPair.

Eliminazione di una chiave pubblica da un'istanza

Se si crea un'AMI Linux da un'istanza, le informazioni sulla chiave pubblica vengono copiate dall'istanza all'AMI. Se si avvia un'istanza dall'AMI, la nuova istanza include la chiave pubblica dell'istanza originale. Per impedire a un utente che dispone della chiave privata di connettersi alla nuova istanza, eliminare la chiave pubblica dall'istanza originale primadi creare l'AMI.

Per eliminare una chiave pubblica da un'istanza

  1. Connettiti alla tua istanza.

  2. Utilizzare l'editor di testo preferito, aprire il file .ssh/authorized_keys nell'istanza. Eliminare le informazioni sulla chiave pubblica e quindi salvare il file.

avvertimento

Dopo aver eliminato la chiave pubblica dall'istanza ed effettuato la disconnessione dall'istanza, non è possibile connettersi nuovamente ad essa a meno che l'AMI non fornisca un altro modo di accedere.