Amazon EC2 のキーペアと Windows インスタンス - Amazon Elastic Compute Cloud
Amazon EC2 を使用してキーペアを作成するサードパーティー製のツールを使用してキーペアを作成し、Amazon EC2 にパブリックキーをインポートするパブリックキーへのタグ付けプライベートキーからパブリックキーを取得するインスタンスメタデータからパブリックキーを取得する起動時に指定されたキーペアの特定キーペアのフィンガープリントを確認するキーペアの削除プライベートキーを紛失した場合の Windows インスタンスへの接続

Amazon EC2 のキーペアと Windows インスタンス

キーペアには、プライベートキーとパブリックキーを含んでおり、Amazon EC2 インスタンスへの接続時の身分証明に使用する、セキュリティ認証情報のセットを構成しています。パブリックキーは、Amazon EC2 によりお客様のインスタンス内に保管されます。またプライベートキーは、お客様自身が保管します。Windows インスタンスの場合、管理者パスワードを復号化するにはプライベートキーが必要です。インスタンスへの接続には、この復号化されたパスワードを使用します。プライベートキーを使用すれば、任意の人間がインスタンスに接続できてしまうため、プライベートキーは安全な場所に保存することが重要です。

インスタンスの起動時に、キーペアの入力を求められます。/RDP を使用してインスタンスに接続する予定の場合は、キーペアを指定する必要があります。既存のキーペアを選択するか、新しいキーペアを作成することができます。SSH を使用して Linux インスタンスに接続する際のログインには、パブリックキーに対応するプライベートキーを指定する必要があります。インスタンスへの接続の詳細については、「」を参照してください。Windows インスタンスでは、プライベートキーを使用して管理者パスワードを取得し、RDP を使用してログインします。インスタンスへの接続の詳細については、「Windows インスタンスに接続する」を参照してください。キーペアと Linux インスタンスの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Amazon EC2 のキーペアと Linux インスタンス」を参照してください。

Amazon EC2 ではプライベートキーのコピーが保持されないため、プライベートキーを失った場合、復元することはできません。ただし、プライベートキーを失くしたインスタンスに接続する方法はまだあります。詳細については、「 プライベートキーを紛失した場合の Windows インスタンスへの接続」を参照してください。

キーペアは、Amazon EC2 を使用して作成できます。また、サードパーティー製のツールによりキーペアを作成し、パブリックキーを Amazon EC2 にインポートすることもできます。

Amazon EC2 が使用するキーは、ED25519 または 2048-bit SSH-2 RSA キーです。

リージョンごとに最大 5,000 のキーペアを設定できます。

Amazon EC2 を使用してキーペアを作成する

キーペアは、次のいずれかの方法で作成できます。

Console

キーペアを作成するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインの [Network & Security] で、[Key Pairs] を選択します。

  3. [キーペアの作成] を選択します。

  4. [Name (名前)] に、キーペアのわかりやすい名前を入力します。Amazon EC2 は、キー名として指定した名前にパブリックキーを関連付けます。キー名には、最大 255 文字の ASCII 文字を含めることができます。先頭または末尾にスペースを含めることはできません。

  5. キーペアタイプは、[RSA] または[ED25519] を選択します。ED25519キーは、Windows インスタンス、EC2 Isntance Connect、または EC2 シリアルコンソールではサポートされません。

  6. [プライベートキーファイル形式] で、プライベートキーを保存する形式を選択します。OpenSSH で使用できる形式でプライベートキーを保存するには、[pem] を選択します。プライベートキーを PuTTY で使用できる形式で保存するには、[ppk] を選択します。

    前のステップで [25519] を選択した場合は、プライベートキーのファイル形式オプションが表示されず、プライベートキーの形式はデフォルトで pem になります。

  7. タグをパブリックキーに追加するには、[タグの追加] を選択、タグのキーと値を入力します。各タグについて、これを繰り返します。

  8. [キーペアの作成] を選択します。

  9. ブラウザによって秘密キーファイルが自動的にダウンロードされます。ベースファイル名は、キーペアの名前として指定した名前で、ファイル名拡張子は選択したファイル形式によって決まります。プライベートキーファイルを安全な場所に保存します。

    重要

    これは、プライベートキーを保存する唯一のチャンスです。

AWS CLI

キーペアを作成するには

  • create-key-pair コマンドを使用し、次のようにキーペアを生成してキーペアを .pem ファイルに保存します。

    --key-nameに、パブリックキーの名前を指定します。名前には、最大 255 文字の ASCII 文字を含めることができます。

    --key-type で、rsa または ed25519 を指定します。--key-type パラメータを含めない場合の場合、rsa キーはデフォルトで作成されます。ED25519 キーは、Windows インスタンス、EC2 Instance Connect、および EC2 シリアルコンソールではサポートされていないことに注意してください。

    --query "KeyMaterial" はプライベートキー素材をを出力に印刷します。

    --output text > my-key-pair.pem は、プライベートキーのマテリアルを .pem 拡張機能とともにファイルに保存します。プライベートキーには、パブリックキーの名前とは異なる名前を指定できますが、使いやすくするために、同じ名前を使用してください。 

    aws ec2 create-key-pair \
    --key-name my-key-pair \
    --key-type rsa \
    --query "KeyMaterial" \
    --output text > my-key-pair.pem
PowerShell

キーペアを作成するには

New-EC2KeyPair AWS Tools for Windows PowerShell コマンドを使用し、次のようにキーを生成して .pem ファイルに保存します。

-KeyNameに、パブリックキーの名前を指定します。名前には、最大 255 文字の ASCII 文字を含めることができます。

-KeyType で、rsa または ed25519 を指定します。-KeyType パラメータを含めない場合の場合、rsa キーはデフォルトで作成されます。ED25519 キーは、Windows インスタンス、EC2 Instance Connect、および EC2 シリアルコンソールではサポートされていないことに注意してください。

KeyMaterial はプライベートキー素材をを出力に印刷します。

Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem は、プライベートキーのマテリアルを .pem 拡張機能とともにファイルに保存します。プライベートキーには、パブリックキーの名前とは異なる名前を指定できますが、使いやすくするために、同じ名前を使用してください。 

PS C:\> (New-EC2KeyPair -KeyName "my-key-pair" -KeyType "rsa").KeyMaterial | Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem

サードパーティー製のツールを使用してキーペアを作成し、Amazon EC2 にパブリックキーをインポートする

Amazon EC2 を使用してキーペアを作成する代わりに、サードパーティーのツールで RSA キーペアまたは ED25519 キーペアを作成してから、パブリックキーを Amazon EC2 にインポートすることもできます。

キーペアの要件

  • サポートされているタイプ: RSA および ED25519。Amazon EC2 は DSA キーを受け付けません。

    • ED25519 キーは、Windows インスタンス、EC2 Instance Connect、および EC2 シリアルコンソールではサポートされていないことに注意してください。

  • サポートされる形式:

    • OpenSSH パブリックキー形式

    • SSH プライベートキーファイル形式は PEM でなければなりません

    • (RSA のみ) Base64 でエンコードされた DER 形式

    • (RSA のみ) SSH パブリックキーファイル形式 (RFC 4716 で指定)

  • サポートされているキーの長さ 1024、2048、および 4096。

サードパーティーツールを使用してキーペアを作成するには

  1. 選択したサードパーティ製のツールでキーペアを生成します。例えば、ssh-keygen (標準 OpenSSH インストールで提供されるツール) を使用しできます。また、Java、Ruby、Python などのさまざまなプログラミング言語では、RSA キーペアまたは ED25519 キーペアの作成に使用できる標準ライブラリが提供されています。

    重要

    プライベートキーは、PEM 形式でなければなりません。例えば、ssh-keygen -m PEM を使用して OpenSSH キーを PEM 形式で生成します。

  2. ローカルファイルにパブリックキーを保存します。例えば、 C:\keys\my-key-pair.pub。このファイル名の拡張子は重要ではありません。

  3. .pem 拡張子を持つローカルファイルにプライベートキーを保存します。例えば、 C:\keys\my-key-pair.pemEC2 コンソールから Windows インスタンスに接続するときに選択できるのは .pem ファイルだけなので、このファイルのファイル名拡張子は重要です。

    重要

    プライベートキーファイルを安全な場所に保存します。インスタンスと対応するプライベートキーの起動時には、毎回インスタンスに接続するたびに、パブリックキーの名前を入力する必要があります。

キーペアを作成したら、次のいずれかの方法を使用してパブリックキーを Amazon EC2 にインポートします。

Console

パブリックキーをインポートするには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[キーペア] を選択します。

  3. [Import Key Pair (キーペアのインポート)] を選択します。

  4. [Name (名前)] に、パブリックキーのわかりやすい名前を入力します。名前には、最大 255 文字の ASCII 文字を含めることができます。先頭または末尾にスペースを含めることはできません。

    注記

    EC2 コンソールからインスタンスに接続すると、コンソールはプライベートキーファイルの名前としてこの名前が提示します。

  5. [Browse (参照)] を選択してパブリックキーに移動して選択するか、パブリックキーのコンテンツを [Public key contents (パブリックキーのコンテンツ)] フィールドに貼り付けます。

  6. [Import Key Pair (キーペアのインポート)] を選択します。

  7. インポートしたパブリックキーがキーペアのリストに表示されていることを確認します。

AWS CLI

パブリックキーをインポートするには

import-key-pair AWS CLI コマンドを使用します。

キーペアが正常にインポートされたことを確認するには

describe-key-pairs AWS CLI コマンドを使用します。

PowerShell

パブリックキーをインポートするには

Import-EC2KeyPair AWS Tools for Windows PowerShell コマンドを使用します。

キーペアが正常にインポートされたことを確認するには

Get-EC2KeyPair AWS Tools for Windows PowerShell コマンドを使用します。

パブリックキーへのタグ付け

Amazon EC2 を使用して作成した、または Amazon EC2 にインポートしたパブリックキーの分類と管理には、カスタムメタデータによるタグ付けが役立ちます。タグの仕組みの詳細については、「Amazon EC2 リソースのタグ付け」を参照してください。

タグの表示、追加、および削除は、以下のいずれかの方法で行います。

Console

既存のパブリックキーのタグを表示、追加、または削除するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[キーペア] を選択します。

  3. パブリックキーを選択した上で、[アクション]、[タグを管理] の順にクリックします。

  4. [タグの管理] ページには、対象のパブリックキーに割り当てられているすべてのタグが表示されます。

    • タグを追加するには、[Add tag] を選択し、タグのキーと値を入力します。キーごとに最大 50 個のタグを追加できます。詳細については、「」を参照してくださいタグの制限

    • タグを削除するには、削除するタグの横にある [Remove (削除)] を選択します。

  5. [Save] を選択します。

AWS CLI

パブリックキーのタグを表示するには

describe-tags AWS CLI コマンドを使用します。次の例では、すべてのパブリックキーのタグを詳細表示します。 

C:\> aws ec2 describe-tags --filters "Name=resource-type,Values=key-pair"
{
    "Tags": [
    {
        "Key": "Environment",
        "ResourceId": "key-0123456789EXAMPLE",
        "ResourceType": "key-pair",
        "Value": "Production"
    },
    {
        "Key": "Environment",
        "ResourceId": "key-9876543210EXAMPLE",
        "ResourceType": "key-pair",
        "Value": "Production"
    }]
}

特定のパブリックキーのタグの詳細を表示するには

describe-key-pairs AWS CLI コマンドを使用します。 

C:\> aws ec2 describe-key-pairs --key-pair-ids key-0123456789EXAMPLE
{
    "KeyPairs": [
    {
        "KeyName": "MyKeyPair",
        "KeyFingerprint": "1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f",
        "KeyPairId": "key-0123456789EXAMPLE",
        "Tags": [
        {
            "Key": "Environment",
            "Value": "Production"
        }]			
    }]
}

既存のパブリックキーにタグ付けするには

create-tags AWS CLI コマンドを使用します。次の例では、既存のキーに Key=Cost-CenterValue=CC-123 のタグが付けられています。 

C:\> aws ec2 create-tags --resources key-0123456789EXAMPLE --tags Key=Cost-Center,Value=CC-123

パブリックキーからタグを削除するには

delete-tags AWS CLI コマンドを使用します。例については、AWS CLI コマンドリファレンスの「」を参照してください。

PowerShell

パブリックキーのタグを表示するには

Get-EC2Tag コマンドを使用します。

特定のパブリックキーのタグの詳細を表示するには

Get-EC2KeyPair コマンドを使用します。

既存のパブリックキーにタグ付けするには

New-EC2Tag コマンドを使用します。

パブリックキーからタグを削除するには

Remove-EC2Tag コマンドを使用します。

プライベートキーからパブリックキーを取得する

ローカルの Windows コンピュータでは、PuTTYgen を使用してキーペアのパブリックキーを取得します。

PuTTYgen を起動し、[Load] を選択します。プライベートキーファイル (.ppk または .pem) を選択します。PuTTYgen の [Public key for pasting into OpenSSH authorized_keys ファイル] にパブリックキーが表示されます。パブリックキーは、[パブリックキーの保存] を選択してファイルの名前を指定し、ファイルを保存後、そのファイルを開いて表示することもできます。

インスタンスメタデータからパブリックキーを取得する

インスタンスの起動時に指定したパブリックキーを、インスタンスメタデータを通じて取得することもできます。インスタンスの起動時に指定したパブリックキーを表示するには、インスタンスから次のコマンドを使用します。

PS C:\> Invoke-RestMethod -uri  http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key

以下に出力例を示します。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V
hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr
lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ
qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb
BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair

インスタンスへの接続に使用するキーペアを変更しても、新しいパブリックキーを表示するようにインスタンスメタデータは更新されません。代わりに、インスタンスのメタデータは、インスタンスの起動時に指定したキーペアのパブリックキーを引き続き表示します。詳細については、「」を参照してくださいインスタンスメタデータの取得

起動時に指定されたキーペアの特定

インスタンスの起動時に、キーペアの入力を求められます。/RDP を使用してインスタンスに接続する予定の場合は、キーペアを指定する必要があります。

起動時に指定されたキーペアを識別するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで [インスタンス] を選択し、インスタンスを選択します。

  3. [説明] タブの [インスタンスの詳細] の [キーペア名] フィールドに、インスタンスの起動時に指定したキーペアの名前が表示されます。インスタンスのパブリックキーを変更したり、キーペアを追加しても、[キーペア名] の値は変更されません。

キーペアのフィンガープリントを確認する

Amazon EC2 コンソールの [キーペア] ページで、[フィンガープリント] 列にキーペアから生成されたフィンガープリントが表示されます。AWS は、キーペアが AWS またはサードパーティツールのどちらで生成されたかによって、フィンガープリントの計算が異なります。AWS を使用してキーペアを作成した場合、フィンガープリントは、SHA-1 ハッシュ関数を使用して計算されます。サードパーティツールによってキーペアを作成し、パブリックキーを AWS にアップロードした場合、または AWS で作成した既存のプライベートキーから新しいパブリックキーを作成し、AWS にアップロードした場合、フィンガープリントは、MD5 ハッシュ関数を使用して計算されます。

[Key Pairs (キーペア)] ページに表示される SSH2 フィンガープリントを使用して、ローカルコンピュータにあるプライベートキーが、AWS に格納されているパブリックキーと一致することを確認できます。プライベートキーファイルをダウンロードしたコンピュータから、プライベートキーファイルを使用して SSH2 フィンガープリントを生成します。出力はコンソールに表示されるフィンガープリントと一致する必要があります。

Windows ローカルマシンを使用している場合、Windows Subsystem for Linux (WSL) を使用して、次のコマンドを実行できます。Windows 10 インストールガイドの手順を使用して、WSL と Linux ディストリビューションをインストールします。手順の例では、Linux の Ubuntu ディストリビューションをインストールしますが、任意のディストリビューションをインストールできます。コンピュータを再起動して変更を有効にすることが求められます。

AWS を使用してキーペアを作成した場合、OpenSSL ツールを使用して次の例のようにフィンガープリントを生成できます。

$ openssl pkcs8 -in path_to_private_key -inform PEM -outform DER -topk8 -nocrypt | openssl sha1 -c

サードパーティーツールを使用してキーペアを作成し、パブリックキーを AWS にアップロードした場合、OpenSSL ツールを使用して、次の例のようにフィンガープリントを生成できます。

$ openssl rsa -in path_to_private_key -pubout -outform DER | openssl md5 -c

OpenSSH 7.8 以降を使用して OpenSSH キーペアを作成し、パブリックキーを AWS にアップロードした場合、ssh-keygen を使用して、次の例のようにフィンガープリントを生成できます。

RSA キーペアの場合:

$ ssh-keygen -ef path_to_private_key -m PEM | openssl rsa -RSAPublicKey_in -outform DER | openssl md5 -c

ED25519 キーペアの場合:

$ ssh-keygen -l -f path_to_private_key.pem

キーペアの削除

以下の方法によりキーペアの削除を行うと、(そのキーペアの作成またはインポートの際に Amazon EC2 に保存された) パブリックキーのみが削除されます。キーペアを削除しても、このキーペアを使用して以前に起動したインスタンスからはパブリックキーは削除されません。ローカルコンピュータのプライベートキーも削除されません。削除されるキーペアを使用して起動したインスタンスには、プライベートキー (.pem) ファイルを持っている限り、引き続き接続することができます。

Auto Scaling グループ (Elastic Beanstalk 環境など) を使用している場合、削除するキーペアが関連付けられている起動テンプレートまたは起動設定で指定されていないことを確認します。Amazon EC2 Auto Scaling が異常なインスタンスを検出した場合、代替インスタンスを起動します。ただし、キーペアが見つからない場合、インスタンスの起動は失敗します。詳細については、Amazon EC2 Auto Scaling ユーザーガイドの「起動テンプレート」を参照してください。

次のいずれかの方法を使用して、キーペアを削除できます。

Console

キーペアを削除するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[キーペア] を選択します。

  3. 削除するキーペアを選択し、[Delete (削除)] を選択します。

  4. 確認フィールドで、Delete を入力し、[Delete (削除)] を選択します。

AWS CLI

キーペアを削除するには

delete-key-pair AWS CLI コマンドを使用します。

PowerShell

キーペアを削除するには

Remove-EC2KeyPair AWS Tools for Windows PowerShell コマンドを使用します。

プライベートキーを紛失した場合の Windows インスタンスへの接続

新しく起動した Windows インスタンスに接続する際、インスタンスの起動時に指定したキーペアのプライベートキーを使用して、管理者アカウントのパスワードを復号します。

管理者パスワードを紛失し、プライベートキーを使用できなくなった場合は、パスワードをリセットするか、新しいインスタンスを作成する必要があります。詳細については、「紛失したか、期限切れとなった Windows 管理者パスワードのリセット」を参照してください。Systems Manager ドキュメントを使用してパスワードをリセットするステップについては、AWS Systems Manager ユーザーガイドの「チュートリアル: EC2 インスタンスで、パスワードと SSH キーをリセットする」を参照してください。