Pares de chaves do Amazon EC2 e instâncias do Linux - Amazon Elastic Compute Cloud

Pares de chaves do Amazon EC2 e instâncias do Linux

Um par de chaves, o qual consiste em uma chave privada e uma chave pública, trata-se de um conjunto de credenciais de segurança usadas para provar sua identidade ao se conectar a uma instância. O Amazon EC2 armazena a chave pública, e você armazena a chave privada. Você usa a chave privada, em vez de uma senha, para acessar as instâncias com segurança. Qualquer um com sua chave privada pode se conectar às instâncias, por isso é importante que você armazene as chaves privadas em um lugar seguro.

Ao executar uma instância, um par de chaves será solicitado. Se você planeja se conectar à instância usando SSH, deverá especificar um par de chaves. É possível escolher um par de chaves existente ou criar um novo. Quando sua instância é inicializada pela primeira vez, o conteúdo da chave pública especificada na inicialização é posicionado em uma entrada dentro de ~/.ssh/authorized_keys. Ao conectar-se à instância do Linux usando SSH, você deve especificar a chave privada que corresponde ao conteúdo da chave pública para fazer login. Para obter mais informações sobre como se conectar à sua instância, consulte Conecte-se à sua instância do Linux. Para obter mais informações sobre pares de chaves e instâncias do Windows, consulte Pares de chaves do Amazon EC2 e instâncias do Windows no Guia do usuário do Amazon EC2 para instâncias do Windows

Como o Amazon EC2 não mantém uma cópia da sua chave privada, não há como recuperar a chave privada caso você a perca. No entanto, ainda pode haver uma maneira de se conectar a instâncias para as quais você perdeu a chave privada. Para obter mais informações, consulte Conectar-se à instância do Linux em caso de perda da chave privada.

As chaves que o Amazon EC2 usa são chaves SSH-2 RSA de 2048 bits. É possível ter até 5.000 pares de chaves por região.

Como criar ou importar um par de chaves

Você pode usar o Amazon EC2 para criar um novo par de chaves ou importar um par de chaves existente.

Opção 1: criar um par de chaves usando o Amazon EC2

Você pode criar um par de chaves usando um dos seguintes métodos.

Novo console

Como criar o par de chaves

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em REDE E SEGURANÇA, escolha Pares de chaves.

  3. Escolha Create key pair (Criar par de chaves).

  4. Em Name (Nome), insira um nome descritivo para o par de chaves. O Amazon EC2 associa a chave pública ao nome especificado como o nome da chave. Um nome de chave pode incluir até 255 caracteres ASCII. Não pode incluir espaços no início nem no final.

  5. Em File format (Formato de arquivo), escolha o formato no qual salvar a chave privada. Para salvar a chave privada em um formato que possa ser usado com o OpenSSH, escolha pem. Para salvar a chave privada em um formato que possa ser usado com o PuTTY, escolha ppk.

  6. Escolha Create key pair (Criar par de chaves).

  7. O arquivo de chave privada é baixado automaticamente pelo navegador. O nome do arquivo base é o nome especificado como o nome do par de chaves e a extensão do nome do arquivo é determinada pelo formato do arquivo escolhido. Salve o arquivo de chave privada em um lugar seguro.

    Importante

    Esta é a única chance de você salvar o arquivo de chave privada.

  8. Se você usar um cliente SSH em um computador macOS ou Linux para conectar-se à instância do Linux, use o seguinte comando para definir as permissões do arquivo de chave privada de maneira que apenas você possa lê-lo.

    chmod 400 my-key-pair.pem

    Se você não definir essas permissões, não poderá conectar-se à instância usando esse par de chaves. Para obter mais informações, consulte Erro: arquivo de chave privada desprotegido.

Console antigo

Como criar o par de chaves

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em REDE E SEGURANÇA, escolha Pares de chaves.

  3. Escolha Criar par de chaves.

  4. Em Nome do par de chaves, insira um nome para o novo par de chaves e escolha Criar. Um nome de chave pode incluir até 255 caracteres ASCII. Não pode incluir espaços no início nem no final.

  5. O arquivo de chave privada é baixado automaticamente pelo navegador. O nome do arquivo base é o nome especificado como sendo o nome do par de chaves e a extensão do nome do arquivo é .pem. Salve o arquivo de chave privada em um lugar seguro.

    Importante

    Esta é a única chance de você salvar o arquivo de chave privada.

  6. Se você usar um cliente SSH em um computador macOS ou Linux para conectar-se à instância do Linux, use o seguinte comando para definir as permissões do arquivo de chave privada de maneira que apenas você possa lê-lo.

    chmod 400 my-key-pair.pem

    Se você não definir essas permissões, não poderá conectar-se à instância usando esse par de chaves. Para obter mais informações, consulte Erro: arquivo de chave privada desprotegido.

AWS CLI

Como criar o par de chaves

  1. Use o comando da AWS CLI, create-key-pair, da seguinte forma para gerar a chave e salvá-la em um arquivo .pem.

    aws ec2 create-key-pair --key-name my-key-pair --query 'KeyMaterial' --output text > my-key-pair.pem
  2. Se você usar um cliente SSH em um computador macOS ou Linux para conectar-se à instância do Linux, use o seguinte comando para definir as permissões do arquivo de chave privada de maneira que apenas você possa lê-lo.

    chmod 400 my-key-pair.pem

    Se você não definir essas permissões, não poderá conectar-se à instância usando esse par de chaves. Para obter mais informações, consulte Erro: arquivo de chave privada desprotegido.

PowerShell

Como criar o par de chaves

Use o comando do AWS Tools para Windows PowerShell, New-EC2KeyPair, da seguinte forma para gerar a chave e salvá-la em um arquivo .pem.

PS C:\> (New-EC2KeyPair -KeyName "my-key-pair").KeyMaterial | Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem

Opção 2: importar sua própria chave pública para o Amazon EC2

Em vez de usar o Amazon EC2 para criar seu par de chaves, você pode criar um par de chaves de RSA usando uma ferramenta de terceiros e, então, importar a chave pública para o Amazon EC2. Por exemplo, você pode usar ssh-keygen (uma ferramenta que vem com a instalação padrão de OpenSSH) para criar um par de chaves. Como alternativa, Java, Ruby, Python e muitas outras linguagens de programação fornecem bibliotecas padrão que você pode usar para criar um par de chaves de RSA.

Requisitos

  • Os seguintes formatos são compatíveis:

    • Formato de chave pública de OpenSSH (o formato em ~/.ssh/authorized_keys) Se você se conectar usando SSH enquanto usa a API EC2 Instance Connect, o formato do SSH2 também será compatível.

    • Formato DER codificado em Base64

    • Formato de arquivo de chave pública SSH, conforme especificado em RFC4716

    • O formato do arquivo de chave privada SSH deve ser PEM (por exemplo, use ssh-keygen -m PEM para converter a chave OpenSSH no formato PEM)

  • Crie uma chave RSA. O Amazon EC2 não aceita chaves DSA.

  • Os tamanhos com suporte são 1024, 2048 e 4096. Se você se conectar usando SSH enquanto usa a API EC2 Instance Connect, os tamanhos compatíveis serão 2048 e 4096.

Para criar um par de chaves usando uma ferramenta de terceiros

  1. Gere um par de chaves com uma ferramenta de terceiros de sua escolha.

  2. Salve a chave pública em um arquivo local. Por exemplo, ~/.ssh/my-key-pair.pub (Linux) ou C:\keys\my-key-pair.pub (Windows). A extensão do nome de arquivo para esse arquivo não é importante.

  3. Salve a chave privada em um arquivo local diferente que tenha a extensão .pem. Por exemplo, ~/.ssh/my-key-pair.pem (Linux) ou C:\keys\my-key-pair.pem (Windows). Salve o arquivo de chave privada em um lugar seguro. Você precisará fornecer o nome do par de chaves ao iniciar uma instância e a chave privada correspondente sempre que se conectar à instância.

Depois de criar o par de chaves, use um dos seguintes métodos para importar o par de chaves no Amazon EC2.

Novo console

Para importar a chave pública

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Key Pairs (Pares de chaves).

  3. Selecione Import key pair (Importar par de chaves).

  4. Em Name (Nome), insira um nome descritivo para o par de chaves. O nome pode incluir até 255 caracteres ASCII. Não pode incluir espaços no início nem no final.

  5. Escolha Browse (Procurar) para navegar e selecionar a chave pública ou cole o conteúdo da chave pública no campo Public key contents (Conteúdo da chave pública).

  6. Selecione Import key pair (Importar par de chaves).

  7. Verifique se o par de chaves importado aparece na lista de pares de chaves.

Console antigo

Para importar a chave pública

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em NETWORK & SECURITY (REDE E SEGURANÇA), escolha Key Pairs (Pares de chaves).

  3. Selecione Import Key Pair (Importar par de chaves).

  4. Na caixa de diálogo Import Key Pair (Importar par de chaves), escolha Browse (Explorar) e selecione o arquivo de chave pública salvo previamente. Insira um nome para o par de chaves no campo Key pair name (Nome do par de chaves) e selecione Import (Importar). O nome pode incluir até 255 caracteres ASCII. Não pode incluir espaços no início nem no final.

  5. Verifique se o par de chaves importado aparece na lista de pares de chaves.

AWS CLI

Para importar a chave pública

Use o comando import-key-pair da AWS CLI.

Como verificar se o par de chaves foi importado com êxito

Use o comando describe-key-pairs da AWS CLI.

PowerShell

Para importar a chave pública

Use o comando Import-EC2KeyPair do AWS Tools para Windows PowerShell.

Como verificar se o par de chaves foi importado com êxito

Use o comando Get-EC2KeyPair do AWS Tools para Windows PowerShell.

Marcar um par de chaves

Para categorizar e gerenciar os pares de chaves existentes, você pode marcá-los com metadados personalizados. Para obter mais informações sobre como as tags funcionam, consulte Marcar recursos do Amazon EC2.

Você pode exibir, adicionar e excluir tags usando o novo console e as ferramentas da linha de comando.

Novo console

Como exibir, adicionar ou excluir uma tag para um par de chaves existente

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Key Pairs (Pares de chaves).

  3. Selecione um par de chaves e escolha Actions (Ações), Manage tags (Gerenciar tags).

  4. A seção Manage tags (Gerenciar tags) exibe todas as tags atribuídas ao par de chaves.

    • Para adicionar uma tag, escolha Add tag (Adicionar tag), e insira a chave e o valor da tag. Você pode adicionar até 50 tags por par de chaves. Para obter mais informações, consulte Restrições de tags.

    • Para excluir uma tag, escolha Remove (Remover) ao lado da tag que você deseja excluir.

  5. Selecione Save changes (Salvar alterações).

AWS CLI

Como visualizar tags de par de chaves

Use o comando describe-tags da AWS CLI. No exemplo a seguir, descreva as tags para todos os pares de chaves.

$ aws ec2 describe-tags --filters "Name=resource-type,Values=key-pair"
{ "Tags": [ { "Key": "Environment", "ResourceId": "key-0123456789EXAMPLE", "ResourceType": "key-pair", "Value": "Production" }, { "Key": "Environment", "ResourceId": "key-9876543210EXAMPLE", "ResourceType": "key-pair", "Value": "Production" }] }

Como descrever as tags de um par de chaves específico

Use o comando describe-key-pairs da AWS CLI.

$ aws ec2 describe-key-pairs --key-pair-ids key-0123456789EXAMPLE
{ "KeyPairs": [ { "KeyName": "MyKeyPair", "KeyFingerprint": "1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f", "KeyPairId": "key-0123456789EXAMPLE", "Tags": [ { "Key": "Environment", "Value": "Production" }] }] }

Como marcar um par de chaves existente

Use o comando da AWS CLI create-tags. No exemplo a seguir, o par de chaves existente é marcado com Key=Cost-Center e Value=CC-123.

$ aws ec2 create-tags --resources key-0123456789EXAMPLE --tags Key=Cost-Center,Value=CC-123

Como excluir uma tag de um par de chaves

Use o comando delete-tags da AWS CLI. Para obter exemplos, consulte Exemplos no AWS CLI Command Reference.

PowerShell

Como visualizar tags de par de chaves

Use o comando Get-EC2Tag.

Como descrever as tags de um par de chaves específico

Use o comando Get-EC2KeyPair.

Como marcar um par de chaves existente

Use o comando New-EC2Tag.

Como excluir uma tag de um par de chaves

Use o comando Remove-EC2Tag.

Recuperar a chave pública para seu par de chaves

No computador Linux ou macOS local, você pode usar o comando ssh-keygen para recuperar a chave pública de seu par de chaves. Especifique o caminho onde você fez download de sua chave privada (o arquivo .pem).

ssh-keygen -y -f /path_to_key_pair/my-key-pair.pem

O comando retorna a chave pública, como mostrado no exemplo a seguir.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE

Se o comando falhar, execute o comando a seguir para verificar se você alterou as permissões no arquivo de par de chaves de forma que somente você possa visualizá-lo.

chmod 400 my-key-pair.pem

Recuperar a chave pública para seu par de chaves por meio de metadados de instância

A chave pública que você especificou ao executar uma instância também está disponível por meio dos metadados da instância. Para ver a chave pública especificada ao executar a instância, use o comando a seguir a partir da sua instância:

IMDSv2
[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" –v http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key

Veja a seguir um exemplo de saída.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair
IMDSv1
[ec2-user ~]$ curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key

Veja a seguir um exemplo de saída.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair

Se você alterar o par de chaves usado para conectar-se à instância, não atualizaremos os metadados da instância para mostrar a nova chave pública. Em vez disso, os metadados da instância continuam a mostrar a chave pública do par de chaves especificado quando você executou a instância. Para obter mais informações, consulte Recuperação dos metadados da instância.

Como alternativa, em uma instância do Linux, conteúdo da chave pública é posicionado em uma entrada dentro de ~/.ssh/authorized_keys. Você pode abrir esse arquivo em um editor. A seguir está uma entrada de exemplo do par de chaves chamado de my-key-pair. Ela consiste de uma chave pública seguida pelo nome do par de chaves.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE my-key-pair

Localizar a chave pública em uma instância

Ao executar uma instância, um par de chaves será solicitado. Se você planeja se conectar à instância usando SSH, deverá especificar um par de chaves. É possível escolher um par de chaves existente ou criar um novo. Quando a instância é inicializada pela primeira vez, o conteúdo da chave pública especificada na inicialização é colocado na instância do Linux em uma entrada dentro de ~/.ssh/authorized_keys.

Como localizar a chave pública em uma instância

  1. Conecte-se à sua instância. Para obter mais informações, consulte Conecte-se à sua instância do Linux.

  2. Na janela do terminal, abra o arquivo authorized_keys usando seu editor de texto favorito (como vim ou nano).

    [ec2-user ~]$ nano ~/.ssh/authorized_keys

    O arquivo authorized_keys é aberto, exibindo a chave pública, conforme mostrado no exemplo a seguir.

    ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6Vhz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXrlsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZqaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3RbBQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE

Identificar o par de chaves que foi especificado na execução

Ao executar uma instância, um par de chaves será solicitado. Se você planeja se conectar à instância usando SSH, deverá especificar um par de chaves.

Como identificar o par de chaves que foi especificado na execução

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Instâncias e, em seguida, sua instância.

  3. Na guia Description (Descrição), o campo Key pair name (Nome do par de chaves) exibe o nome do par de chaves especificado quando você executou a instância. O valor do Key pair name (Nome do par de chaves) não é alterado mesmo que você altere a chave pública na instância ou adicione pares de chaves.

(Opcional) Verificar a impressão digital do par de chaves

Na página Key Pairs (Pares de chaves) no console do Amazon EC2, a coluna Fingerprint (Impressão digital) exibe as impressões digitais geradas a partir de seus pares de chaves. AWS calcula a impressão digital de forma diferente dependendo se o par de chaves foi gerado por AWS ou uma ferramenta de terceiros. Se você tiver criado o par de chaves usando a AWS, a impressão digital será calculada usando uma função hash SHA-1. Se você tiver criado o par de chaves com uma ferramenta de terceiros e carregado a chave pública para a AWS, ou se tiver gerado uma nova chave pública a partir de uma chave privada criada pela AWS e carregado na AWS, a impressão digital será calculada usando uma função hash MD5.

Você pode usar a impressão digital SSH2 exibida na página Pares de chaves para verificar se a chave privada que você tem em sua máquina local corresponde à chave pública armazenada na AWS. Usando o computador em que o arquivo de chave privada foi obtido por download, gere uma impressão digital SSH2 a partir do arquivo de chave privada. A saída deve corresponder à impressão digital exibida no console.

Se você tiver criado o par de chaves usando a AWS, poderá usar as ferramentas OpenSSL para gerar uma impressão digital como no exemplo a seguir.

$ openssl pkcs8 -in path_to_private_key -inform PEM -outform DER -topk8 -nocrypt | openssl sha1 -c

Se você tiver criado um par de chaves usando uma ferramenta de terceiros e feito upload da chave pública para a AWS, poderá usar as ferramentas OpenSSL para gerar a impressão digital da seguinte forma:

$ openssl rsa -in path_to_private_key -pubout -outform DER | openssl md5 -c

Se tiver criado um par de chaves OpenSSH usando o OpenSSH 7.8 ou posterior e feito upload da chave pública para a AWS, você poderá usar ssh-keygen para gerar a impressão digital como mostrado a seguir:

$ ssh-keygen -ef path_to_private_key -m PEM | openssl rsa -RSAPublicKey_in -outform DER | openssl md5 -c

Adicionar ou substituir um par de chaves para sua instância

Você pode alterar o par de chaves usado para acessar a conta do sistema padrão da sua instância. Por exemplo, se um usuário da sua organização requisitar acesso à conta do usuário no sistema usando um par de chaves separado, você poderá adicionar esse par de chaves à sua instância. Ou, se alguém tiver uma cópia do arquivo .pem e você quiser impedir que ele se conecte à sua instância (por exemplo, se tiver saído da organização), poderá substituir o par de chaves por um novo.

Para adicionar ou substituir um par de chaves, você deve poder se conectar à sua instância. Se você perdeu sua chave privada existente ou iniciou sua instância sem um par de chaves, não poderá se conectar à instância e, portanto, não poderá adicionar ou substituir um par de chaves. Se você perdeu sua chave privada existente, talvez seja possível recuperá-la. Para obter mais informações, consulte Conectar-se à instância do Linux em caso de perda da chave privada. Se você iniciou sua instância sem um par de chaves, não conseguirá se conectar à instância a menos que escolha uma AMI configurada para permitir aos usuários outra maneira de efetuar login.

nota

Esses procedimentos são para modificar o par de chaves para a conta do usuário padrão, como ec2-user. Para obter mais informações sobre como adicionar contas de usuário à sua instância, consulte Gerenciar contas de usuário na instância do Amazon Linux.

Para adicionar ou substituir um par de chaves

  1. Crie um par de chaves usando o console do Amazon EC2 ou uma ferramenta de terceiros.

  2. Recupere a chave pública do seu novo par de chaves. Para obter mais informações, consulte Recuperar a chave pública para seu par de chaves.

  3. Conecte-se à sua instância usando o arquivo de chave privada existente.

  4. Usando um editor de texto à sua escolha, abra o arquivo .ssh/authorized_keys na instância. Cole as informações de chave pública do seu novo par de chaves abaixo das informações de chave pública existentes. Salve o arquivo.

  5. Desconecte-se da sua instância e teste se você pode se conectar à sua instância usando novo arquivo de chave privada.

  6. (Opcional) Se você estiver substituindo um par de chaves existente, conecte-se à sua instância e exclua as informações de chave pública para o par de chaves original do arquivo .ssh/authorized_keys.

nota

Se estiver usando um grupo do Auto Scaling, verifique se o par de chaves que você está substituindo não está especificado em seu modelo de execução ou configuração de execução. O Amazon EC2 Auto Scaling executará uma instância de substituição se detectar uma instância não íntegra. No entanto, a execução da instância falhará se o par de chaves não for encontrado.

Excluir o par de chaves

Ao excluir um par de chaves, você só exclui a cópia da chave pública do Amazon EC2. A exclusão de um par de chaves não afeta a chave privada no computador nem a chave pública em nenhuma instância já executada usando esse par de chaves. Você não pode executar uma nova instância usando um par de chaves excluído, mas pode continuar a se conectar a quaisquer instâncias executadas usando um par de chaves excluído, desde que ainda tenha o arquivo de chaves privadas (.pem).

Se você estiver usando um grupo Auto Scaling (por exemplo, em um ambiente Elastic Beanstalk), certifique-se de que o par de chaves que você está excluindo não esteja especificado na sua configuração de execução. O Amazon EC2 Auto Scaling executará uma instância de substituição se detectar uma instância não íntegra. No entanto, a execução da instância falhará se o par de chaves não for encontrado.

Você pode excluir um par de chaves usando um dos seguintes métodos.

Novo console

Como excluir o par de chaves

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Key Pairs (Pares de chaves).

  3. Selecione o par de chaves a ser excluído e escolha Delete (Excluir).

  4. No campo de confirmação, insira Delete e escolha Delete (Excluir).

Console antigo

Como excluir o par de chaves

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, em REDE E SEGURANÇA, escolha Pares de chaves.

  3. Selecione o par de chaves e escolha Excluir.

  4. Quando solicitado, escolha Sim.

AWS CLI

Como excluir o par de chaves

Use o comando delete-key-pair da AWS CLI.

PowerShell

Como excluir o par de chaves

Use o comando Remove-EC2KeyPair do AWS Tools para Windows PowerShell.

Se você criar uma AMI em Linux a partir de uma instância e usar a AMI para executar uma nova instância em um uma região ou conta diferente, a nova instância incluirá a chave pública da instância original. Isso permite que você se conecte à nova instância usando o mesmo arquivo de chave privada que sua instância original. Você pode remover essa chave pública da sua instância removendo a entrada do arquivo .ssh/authorized_keys usando um editor de texto da sua escolha. Para obter mais informações sobre o gerenciamento de usuários na sua instância e fornecer acesso remoto usando um par de chaves específico, consulte Gerenciar contas de usuário na instância do Amazon Linux.