Amazon EC2 キーペアと Linux インスタンス - Amazon Elastic Compute Cloud

Amazon EC2 キーペアと Linux インスタンス

キーペアは、インスタンスへの接続時に身分証明に使用するセキュリティ認証情報のセットであり、プライベートキーとパブリックキーで構成されます。パブリックキーは Amazon EC2 が保存し、プライベートキーはユーザーが保存します。インスタンスに安全にアクセスするには、パスワードの代わりにプライベートキーを使用します。プライベートキーを持つ誰でもがインスタンスに接続できるため、プライベートキーは安全な場所に保存することが重要です。

インスタンスの起動時に、キーペアの入力を求められますSSH を使用してインスタンスに接続する予定の場合は、キーペアを指定する必要があります。既存のキーペアを選択するか、新しいキーペアを作成することができます。インスタンスを初めて起動すると、起動時に指定したパブリックキーの内容が Linux インスタンスの ~/.ssh/authorized_keys 内にエントリとして配置されます。SSH を使用して Linux インスタンスに接続する場合、ログインするには、パブリックキーの内容に対応するプライベートキーを指定する必要があります。インスタンスへの接続の詳細については、Linux インスタンスへの接続 を参照してください。キーペアと Windows インスタンスの詳細については、Windows インスタンスの Amazon EC2 ユーザーガイドの「Amazon EC2 キーペアと Windows インスタンス」を参照してください。

Amazon EC2 ではプライベートキーのコピーが保持されないため、プライベートキーを失った場合、復元することはできません。ただし、プライベートキーを失くしたインスタンスに接続する方法はまだあります。詳細については、「プライベートキーを紛失した場合の Linux インスタンスへの接続」を参照してください。

Amazon EC2 が使用するキーは、2048-bit SSH-2 RSA キーです。リージョンごとに最大 5,000 のキーペアを設定できます。

キーペアの作成またはインポート

Amazon EC2 を使用して、新しいキーペアを作成したり、既存のキーペアをインポートしたりできます。

オプション 1: Amazon EC2 を使用してキーペアを作成する

キーペアは、次のいずれかの方法で作成できます。

新しいコンソール

キーペアを作成するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインの [NETWORK & SECURITY] で、[Key Pairs] を選択します。

  3. [キーペアの作成] を選択します。

  4. [名前] に、キーペアのわかりやすい名前を入力します。Amazon EC2 は、キー名として指定した名前にパブリックキーを関連付けます。キー名には、最大 255 文字の ASCII 文字を含めることができます。先頭または末尾にスペースを含めることはできません。

  5. [File format (ファイル形式)] で、プライベートキーを保存する形式を選択します。OpenSSH で使用できる形式でプライベートキーを保存するには、[pem] を選択します。プライベートキーを PuTTY で使用できる形式で保存するには、[ppk] を選択します。

  6. [キーペアの作成] を選択します。

  7. ブラウザによって秘密キーファイルが自動的にダウンロードされます。ベースファイル名は、キーペアの名前として指定した名前で、ファイル名拡張子は選択したファイル形式によって決まります。プライベートキーファイルを安全な場所に保存します。

    重要

    これは、プライベートキーを保存する唯一のチャンスです。

  8. macOS または Linux コンピュータの SSH クライアントを使用して Linux インスタンスに接続する場合は、次のコマンドを使用してプライベートキーファイルのアクセス許可を設定すると、お客様以外のユーザーはそれを読み取ることができないようになります。

    chmod 400 my-key-pair.pem

    これらのアクセス権限を設定しないと、このキーペアを使用してインスタンスに接続できません。詳細については、「エラー: Unprotected Private Key File (保護されていないプライベートキーファイル)」を参照してください。

古いコンソール

キーペアを作成するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインの [NETWORK & SECURITY] で、[Key Pairs] を選択します。

  3. [Create Key Pair] を選択します。

  4. [キーペア名] にキーペアのわかりやすい名前を入力し、[作成] を選択します。キー名には、最大 255 文字の ASCII 文字を含めることができます。先頭または末尾にスペースを含めることはできません。

  5. ブラウザによって秘密キーファイルが自動的にダウンロードされます。ベースファイル名はキーペアの名前として指定した名前となり、ファイル名の拡張子は .pem となります。プライベートキーファイルを安全な場所に保存します。

    重要

    これは、プライベートキーを保存する唯一のチャンスです。

  6. macOS または Linux コンピュータの SSH クライアントを使用して Linux インスタンスに接続する場合は、次のコマンドを使用してプライベートキーファイルのアクセス許可を設定すると、お客様以外のユーザーはそれを読み取ることができないようになります。

    chmod 400 my-key-pair.pem

    これらのアクセス権限を設定しないと、このキーペアを使用してインスタンスに接続できません。詳細については、「エラー: Unprotected Private Key File (保護されていないプライベートキーファイル)」を参照してください。

AWS CLI

キーペアを作成するには

  1. create-key-pair AWS CLI コマンドを使用し、次のようにキーを生成して .pem ファイルに保存します。

    aws ec2 create-key-pair --key-name my-key-pair --query "KeyMaterial" --output text > my-key-pair.pem
  2. macOS または Linux コンピュータの SSH クライアントを使用して Linux インスタンスに接続する場合は、次のコマンドを使用してプライベートキーファイルのアクセス許可を設定すると、お客様以外のユーザーはそれを読み取ることができないようになります。

    chmod 400 my-key-pair.pem

    これらのアクセス権限を設定しないと、このキーペアを使用してインスタンスに接続できません。詳細については、「エラー: Unprotected Private Key File (保護されていないプライベートキーファイル)」を参照してください。

PowerShell

キーペアを作成するには

New-EC2KeyPair AWS Tools for Windows PowerShell コマンドを使用し、次のようにキーを生成して .pem ファイルに保存します。

PS C:\> (New-EC2KeyPair -KeyName "my-key-pair").KeyMaterial | Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem

オプション 2: 独自のパブリックキーを Amazon EC2 にインポートする

Amazon EC2 を使用してキーペアを作成する代わりに、サードパーティー製のツールで RSA キーペアを作成してから、パブリックキーを Amazon EC2 にインポートすることもできます。

キーペアの要件

  • 以下の形式がサポートされています。

    • OpenSSH パブリックキー形式 (~/.ssh/authorized_keys の形式)EC2 Instance Connect API の使用中に SSH を使用して接続する場合は、SSH2 形式もサポートされます。

    • Base64 でエンコードされた DER 形式

    • SSH パブリックキーファイル形式 (RFC4716 で指定)

    • SSH プライベートキーファイル形式は PEM でなければなりません

  • RSA キーを作成します。Amazon EC2 では DSA キーは使用できません。

  • サポートされている長さは 1024、2048、および 4096 です。EC2 Instance Connect API の使用中に SSH を使用して接続する場合は、長さ 2048 および 4096 がサポートされます。

サードパーティーツールを使用してキーペアを作成するには

  1. 選択したサードパーティ製のツールでキーペアを生成します。例えば、ssh-keygen (標準 OpenSSH インストールで提供されるツール) を使用しできます。また、Java、Ruby、Python などのさまざまなプログラミング言語では、RSA キーペアの作成に使用できる標準ライブラリが提供されています。

    重要

    プライベートキーは、PEM 形式でなければなりません。例えば、ssh-keygen -m PEM を使用して OpenSSH キーを PEM 形式で生成します。

  2. ローカルファイルにパブリックキーを保存します。例えば、~/.ssh/my-key-pair.pub。このファイル名の拡張子は重要ではありません。

  3. .pem 拡張子を持つローカルファイルにプライベートキーを保存します。例えば、~/.ssh/my-key-pair.pem

    重要

    プライベートキーファイルを安全な場所に保存します。インスタンスと対応するプライベートキーの起動時には、毎回インスタンスに接続するたびに、パブリックキーの名前を入力する必要があります。

キーペアを作成したら、次のいずれかの方法を使用してパブリックキーを Amazon EC2 にインポートします。

新しいコンソール

パブリックキーをインポートするには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで、[キーペア] を選択します。

  3. [Import Key Pair (キーペアのインポート)] を選択します。

  4. [Name (名前)] に、パブリックキーのわかりやすい名前を入力します。名前には、最大 255 文字の ASCII 文字を含めることができます。先頭または末尾にスペースを含めることはできません。

    注記

    EC2 コンソールからインスタンスに接続すると、コンソールはプライベートキーファイルの名前としてこの名前が提示します。

  5. [Browse (参照)] を選択してパブリックキーに移動して選択するか、パブリックキーのコンテンツを [Public key contents (パブリックキーのコンテンツ)] フィールドに貼り付けます。

  6. [Import Key Pair (キーペアのインポート)] を選択します。

  7. インポートしたパブリックキーがキーペアのリストに表示されていることを確認します。

古いコンソール

パブリックキーをインポートするには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインの [NETWORK & SECURITY] で、[Key Pairs] を選択します。

  3. [Import Key Pair] を選択します。

  4. [Import Key Pair] ダイアログボックスで [Browse] を選択し、前に保存したパブリックキーファイルを選択します。[Key pair name] フィールドにキーペアの名前を入力し、[Import] を選択します。名前には、最大 255 文字の ASCII 文字を含めることができます。先頭または末尾にスペースを含めることはできません。

  5. インポートしたキーペアがキーペアのリストに表示されていることを確認します。

AWS CLI

パブリックキーをインポートするには

import-key-pair AWS CLI コマンドを使用します。

キーペアが正常にインポートされたことを確認するには

describe-key-pairs AWS CLI コマンドを使用します。

PowerShell

パブリックキーをインポートするには

Import-EC2KeyPair AWS Tools for Windows PowerShell コマンドを使用します。

キーペアが正常にインポートされたことを確認するには

Get-EC2KeyPair AWS Tools for Windows PowerShell コマンドを使用します。

キーペアのタグ付け

既存のキーペアを分類および管理しやすくするため、カスタムメタデータでタグ付けすることができます。タグの仕組みの詳細については、「Amazon EC2 リソースのタグ付け」を参照してください。

新しいコンソールとコマンドラインツールを使用して、タグを表示、追加、削除できます。

新しいコンソール

既存のキーペアのタグを表示、追加、または削除するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで、[キーペア] を選択します。

  3. キーペアを選択し、[アクション]、[タグの管理] の順に選択します。

  4. [Manage tags] ページには、キーペアに割り当てられているすべてのタグが表示されます。

    • タグを追加するには、[Add tag] を選択し、タグのキーと値を入力します。キーペアごとに最大 50 個のタグを追加できます。詳細については、「タグの制限」を参照してください。

    • タグを削除するには、削除するタグの横にある [Remove (削除)] を選択します。

  5. [Save] を選択します。

AWS CLI

キーペアのタグを表示するには

describe-tags AWS CLI コマンドを使用します。次の例では、すべてのキーペアのタグの説明を表示します。

$ aws ec2 describe-tags --filters "Name=resource-type,Values=key-pair"
{ "Tags": [ { "Key": "Environment", "ResourceId": "key-0123456789EXAMPLE", "ResourceType": "key-pair", "Value": "Production" }, { "Key": "Environment", "ResourceId": "key-9876543210EXAMPLE", "ResourceType": "key-pair", "Value": "Production" }] }

特定のキーペアのタグの説明を表示するには

describe-key-pairs AWS CLI コマンドを使用します。

$ aws ec2 describe-key-pairs --key-pair-ids key-0123456789EXAMPLE
{ "KeyPairs": [ { "KeyName": "MyKeyPair", "KeyFingerprint": "1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f", "KeyPairId": "key-0123456789EXAMPLE", "Tags": [ { "Key": "Environment", "Value": "Production" }] }] }

既存のキーペアにタグを付けるには

create-tags AWS CLI コマンドを使用します。次の例では、既存のキーペアに Key=Cost-CenterValue=CC-123 のタグが付けられています。

$ aws ec2 create-tags --resources key-0123456789EXAMPLE --tags Key=Cost-Center,Value=CC-123

キーペアからタグを削除するには

delete-tags AWS CLI コマンドを使用します。例については、AWS CLI Command Referenceの「」を参照してください。

PowerShell

キーペアのタグを表示するには

Get-EC2Tag コマンドを使用します。

特定のキーペアのタグの説明を表示するには

Get-EC2KeyPair コマンドを使用します。

既存のキーペアにタグを付けるには

New-EC2Tag コマンドを使用します。

キーペアからタグを削除するには

Remove-EC2Tag コマンドを使用します。

キーペアのパブリックキーの取得

ローカルの Linux または macOS コンピュータで、ssh-keygen コマンドを使用して、キーペアのパブリックキーを取得します。プライベートキーをダウンロードしたパスを指定します (.pem ファイル)。

ssh-keygen -y -f /path_to_key_pair/my-key-pair.pem

コマンドは、次の例に示すように、パブリックキーを返します。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE

コマンドが失敗した場合は、次のコマンドを実行して、自分だけがキーペアファイルを表示できるように、このファイルに対するアクセス許可を変更していることを確認してください。

chmod 400 my-key-pair.pem

インスタンスメタデータを使用したキーペアのパブリックキーの取得

インスタンスの起動時に指定したパブリックキーも、そのインスタンスメタデータを介して表示できます。インスタンスの起動時に指定したパブリックキーを表示するには、インスタンスから次のコマンドを使用します。

IMDSv2
[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" –v http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key

以下に出力例を示します。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair
IMDSv1
[ec2-user ~]$ curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key

以下に出力例を示します。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair

インスタンスへの接続に使用するキーペアを変更しても、新しいパブリックキーを表示するようにインスタンスメタデータは更新されません。代わりに、インスタンスのメタデータは、インスタンスの起動時に指定したキーペアのパブリックキーを引き続き表示します。詳細については、「インスタンスメタデータの取得」を参照してください。

または、Linux インスタンスでは、パブリックキーコンテンツは、~/.ssh/authorized_keys 内のエントリに配置されます。このファイルは、エディタで開くことができます。以下に、my-key-pair という名前のキーペアのエントリの例を示します。パブリックキーの後にキーペアの名前が続く構成になっています。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair

インスタンスでのパブリックキーの検索

インスタンスの起動時に、キーペアの入力を求められますSSH を使用してインスタンスに接続する予定の場合は、キーペアを指定する必要があります。既存のキーペアを選択するか、新しいキーペアを作成することができます。インスタンスを初めて起動すると、起動時に指定したパブリックキーの内容が Linux インスタンスの ~/.ssh/authorized_keys 内にエントリとして配置されます。

インスタンスでパブリックキーを検索するには

  1. インスタンスに接続します。詳細については、「Linux インスタンスへの接続」を参照してください。

  2. ターミナルウィンドウで、任意のテキストエディタ (vimnano など) を使用して authorized_keys ファイルを開きます。

    [ec2-user ~]$ nano ~/.ssh/authorized_keys

    以下の例に示すように、authorized_keys ファイルが開き、パブリックキーが表示されます。

    ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6Vhz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXrlsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZqaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3RbBQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE

起動時に指定されたキーペアの特定

インスタンスの起動時に、キーペアの入力を求められますSSH を使用してインスタンスに接続する予定の場合は、キーペアを指定する必要があります。

新しいコンソール

起動時に指定されたキーペアを識別するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで [インスタンス] を選択し、インスタンスを選択します。

  3. [説明] タブの [インスタンスの詳細] の [キーペア名] フィールドに、インスタンスの起動時に指定したキーペアの名前が表示されます。インスタンスのパブリックキーを変更したり、キーペアを追加しても、[キーペア名] の値は変更されません。

古いコンソール

起動時に指定されたキーペアを識別するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで [インスタンス] を選択し、インスタンスを選択します。

  3. [説明] タブの [キーペア名] フィールドに、インスタンスの起動時に指定したキーペアの名前が表示されます。インスタンスのパブリックキーを変更したり、キーペアを追加しても、[キーペア名] の値は変更されません。

(オプション) キーペアのフィンガープリントの確認

Amazon EC2 コンソールの [キーペア] ページで、[フィンガープリント] 列にキーペアから生成されたフィンガープリントが表示されます。AWS では、キーペアが AWS とサードパーティツールのいずれで生成されたかによって、フィンガープリントの計算が異なります。AWS を使用してキーペアを作成した場合、フィンガープリントは、SHA-1 ハッシュ関数を使用して計算されます。サードパーティツールによってキーペアを作成し、パブリックキーを AWS にアップロードした場合、または AWS で作成した既存のプライベートキーから新しいパブリックキーを作成し、AWS にアップロードした場合、フィンガープリントは、MD5 ハッシュ関数を使用して計算されます。

[Key Pairs (キーペア)] ページに表示される SSH2 フィンガープリントを使用して、ローカルコンピュータにあるプライベートキーが、AWS に格納されているパブリックキーと一致することを確認できます。プライベートキーファイルをダウンロードしたコンピュータから、プライベートキーファイルを使用して SSH2 フィンガープリントを生成します。出力はコンソールに表示されるフィンガープリントと一致する必要があります。

AWS を使用してキーペアを作成した場合、OpenSSL ツールを使用して次の例のようにフィンガープリントを生成できます。

$ openssl pkcs8 -in path_to_private_key -inform PEM -outform DER -topk8 -nocrypt | openssl sha1 -c

サードパーティーツールを使用してキーペアを作成し、パブリックキーを AWS にアップロードした場合、OpenSSL ツールを使用して、次の例のようにフィンガープリントを生成できます。

$ openssl rsa -in path_to_private_key -pubout -outform DER | openssl md5 -c

OpenSSH 7.8 以降を使用して OpenSSH キーペアを作成し、パブリックキーを AWS にアップロードした場合、ssh-keygen を使用して、次の例のようにフィンガープリントを生成できます。

$ ssh-keygen -ef path_to_private_key -m PEM | openssl rsa -RSAPublicKey_in -outform DER | openssl md5 -c

インスタンスのキーペアの追加または置換

インスタンスのデフォルトシステムアカウントにアクセスするために使用するキーペアは変更できます。たとえば、組織のユーザーが、別のキーペアを使用してシステムユーザーアカウントにアクセスする必要がある場合は、キーペアをインスタンスに追加できます。または、.pem ファイルのコピーを持つ者が存在し、インスタンスに接続させないようにするには (たとえば、組織を去った場合)、既存のキーペアを新しいキーペアに交換することができます。

キーペアを追加または置換するには、インスタンスに接続できる必要があります。既存のプライベートキーを紛失したり、キーペアなしでインスタンスを起動したりすると、インスタンスに接続できないため、キーペアを追加または置換することはできません。既存のプライベートキーを紛失した場合は、それを取得できる場合があります。詳細については、「プライベートキーを紛失した場合の Linux インスタンスへの接続」を参照してください。キーペアなしでインスタンスを起動した場合は、ユーザーが別の方法でログインできるように設定した AMI を選択している場合を除き、インスタンスに接続できなくなります。

注記

この手順では、デフォルトのユーザーアカウント (例: ec2-user) のキーペアを変更するためのものです。インスタンスにユーザーアカウントを追加する方法については、「Amazon Linux インスタンスでのユーザーアカウントの管理」を参照してください。

キーペアの追加または交換

  1. Amazon EC2 コンソールまたはサードパーティー製のツールで、新しいキーペアを作成します。

  2. 新しいキーペアからパブリックキーを取得します。詳細については、「キーペアのパブリックキーの取得」を参照してください。

  3. 既存のプライベートキーファイルを使用してインスタンスに接続します。

  4. 任意のテキストエディタを使用して、インスタンス上にある .ssh/authorized_keys ファイルを開きます。既存のパブリックキー情報の下の新しいキーペアからパブリックキーを貼り付けます。ファイルを保存します。

  5. インスタンスから切断し、新しいプライベートキーファイルを使用してインスタンスに接続できることを確認します。

  6. (オプション) 既存のキーペアを交換している場合は、インスタンスに接続し、.ssh/authorized_keys ファイルからオリジナルのキーペアのパブリックキー情報を削除します。

注記

Auto Scaling グループを使用している場合、交換するキーペアが起動設定で指定されていないことを確認します。Amazon EC2 Auto Scaling は異常なインスタンスを検出した場合、代わりのインスタンスを起動します。ただし、キーペアが見つからない場合は、インスタンスの起動に失敗します。

キーペアの削除

キーペアを削除すると、Amazon EC2 のパブリックキーのコピーのみが削除されます。キーペアの削除は、コンピュータのプライベートキーにも、このキーペアを使用して既に起動している各インスタンスのパブリックキーにも影響しません。削除したキーペアを使用して新しいインスタンスを起動することはできませんが、プライベートキー (.pem) ファイルを保持している間は、削除したキーペアを使用して起動した各インスタンスに引き続き接続することができます。

Auto Scaling グループ (Elastic Beanstalk 環境など) を使用している場合、削除するキーペアが起動設定で指定されていないことを確認します。Amazon EC2 Auto Scaling は異常なインスタンスを検出した場合、代わりのインスタンスを起動します。ただし、キーペアが見つからない場合は、インスタンスの起動に失敗します。

次のいずれかの方法を使用して、キーペアを削除できます。

新しいコンソール

キーペアを削除するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで、[キーペア] を選択します。

  3. 削除するキーペアを選択し、[Delete (削除)] を選択します。

  4. 確認フィールドで、Delete を入力し、[Delete (削除)] を選択します。

古いコンソール

キーペアを削除するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインの [NETWORK & SECURITY] で、[Key Pairs] を選択します。

  3. キーペアを選択し、[Delete] を選択します。

  4. プロンプトが表示されたら、[Yes] を選択します。

AWS CLI

キーペアを削除するには

delete-key-pair AWS CLI コマンドを使用します。

PowerShell

キーペアを削除するには

Remove-EC2KeyPair AWS Tools for Windows PowerShell コマンドを使用します。

インスタンスから Linux AMI を作成し、AMI を使用して別のリージョンまたはアカウントの新しいインスタンスを起動すると、新しいインスタンスには元のインスタンスからのパブリックキーが含まれます。これにより、元のインスタンスと同じプライベートキーファイルを使用して新しいインスタンスに接続できます。インスタンスからこのパブリックキーを削除するには、任意のテキストエディターを使用して、.ssh/authorized_keys ファイルからそのエントリを削除します。インスタンスでのユーザーの管理、特定のキーペアを使用したリモートアクセス権の付与については、「Amazon Linux インスタンスでのユーザーアカウントの管理」を参照してください。