为您的 Amazon EC2 实例创建密钥对 - Amazon Elastic Compute Cloud
使用 Amazon EC2 创建密钥对使用 AWS CloudFormation 创建密钥对将公有密钥导入 Amazon EC2

为您的 Amazon EC2 实例创建密钥对

您可以使用 Amazon EC2 创建密钥对,或者可以使用第三方工具创建密钥对,然后将它们导入 Amazon EC2。

Amazon EC2 支持适用于 Linux 实例的 ED25519 和 2048 位 SSH-2 RSA 密钥。Amazon EC2 支持适用于 Windows 实例的 2048 位 SSH-2 RSA 密钥。Windows 实例不支持 ED25519 密钥。

有关在创建密钥对后使用 RDP 连接到您的 Windows 实例的步骤,请参阅连接到您的 Windows 实例

使用 Amazon EC2 创建密钥对

当您使用 Amazon EC2 创建密钥对时,公有密钥将存储在 Amazon EC2 中,您需要存储私有密钥。

您最多可以为每个区域创建 5000 个密钥对。要申请增加,请创建支持案例。有关更多信息,请参阅 AWS Support 用户指南中的创建支持案例

Console
要使用 Amazon EC2 创建密钥对

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中的 Network & Security 下,选择 Key Pairs

  3. 选择 Create key pair (创建密钥对)

  4. 对于 Name (名称),为模板输入一个描述性名称。Amazon EC2 将公有密钥与您指定的密钥名称相关联。密钥名称最多可包含 255 个 ASCII 字符。它不能包含前导空格或尾随空格。

  5. 对于 Key pair type(密钥对类型),选择 RSA。请注意,Windows 实例不支持 ED25519 密钥。

  6. 对于 Private key file format(私有密钥文件格式),选择要保存私有密钥的格式。要以可与 OpenSSH 一起使用的格式保存私有密钥,请选择 pem。要以可与 PuTTY 一起使用的格式保存私有密钥,请选择 ppk

  7. 要添加标签到公有密钥,请选择 Add tag(添加标签),然后输入标签的键和值。对每个标签重复此操作。

  8. 选择 Create key pair (创建密钥对)

  9. 您的浏览器会自动下载私有密钥文件。基本文件名是指定为密钥对名称的名称,文件扩展名由您选择的文件格式确定。将私有密钥文件保存在安全位置。

    重要

    这是您保存私有密钥文件的唯一机会。

AWS CLI
要使用 Amazon EC2 创建密钥对

  • 按如下方式使用 create-key-pair 命令生成密钥对,并将私有密钥保存到 .pem 文件中。

    对于 --key-name,为公有密钥指定一个名称。该名称最多为 255 个 ASCII 字符。

    对于 --key-type,请指定 rsaed25519。如果您不包括 --key-type 参数,原定设置创建一个 rsa 密钥。请注意,Windows 实例不支持 ED25519 密钥。

    对于 --key-format,请指定 pemppk。如果您不包括 --key-format 参数,原定设置将创建一个 pem 文件。

    --query "KeyMaterial" 将私有密钥材料打印到输出中。

    --output text > my-key-pair.pem 会将私有密钥材料保存在一个具有指定扩展名的文件中。该扩展名可以是 .pem.ppk。私有密钥的名称可以与公有密钥的名称不同,但为了便于使用,请使用相同的名称。

    aws ec2 create-key-pair \
    --key-name my-key-pair \
    --key-type rsa \
    --key-format pem \
    --query "KeyMaterial" \
    --output text > my-key-pair.pem
PowerShell
要使用 Amazon EC2 创建密钥对

按如下方式使用 New-EC2KeyPair AWS Tools for Windows PowerShell 命令生成密钥,并将其保存到 .pem.ppk 文件中。

对于 -KeyName,为公有密钥指定一个名称。该名称最多为 255 个 ASCII 字符。

对于 -KeyType,请指定 rsaed25519。如果您不包括 -KeyType 参数,原定设置创建一个 rsa 密钥。请注意,Windows 实例不支持 ED25519 密钥。

对于 -KeyFormat,请指定 pemppk。如果您不包括 -KeyFormat 参数,原定设置将创建一个 pem 文件。

KeyMaterial 将私有密钥材料打印到输出中。

Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem 会将私有密钥材料保存在一个具有指定扩展名的文件中。该扩展名可以是 .pem.ppk。私有密钥的名称可以与公有密钥的名称不同,但为了便于使用,请使用相同的名称。

PS C:\> (New-EC2KeyPair -KeyName "my-key-pair" -KeyType "rsa" -KeyFormat "pem").KeyMaterial | Out-File -Encoding ascii -FilePath C:\path\my-key-pair.pem

使用 AWS CloudFormation 创建密钥对

当您使用 AWS CloudFormation 创建新的密钥对时,私有密钥会保存到 AWS Systems Manager Parameter Store。参数名称有以下形式:

/ec2/keypair/key_pair_id

有关更多信息,请参阅《AWS Systems Manager 用户指南》中的 AWS Systems Manager Parameter Store

使用 AWS CloudFormation 创建密钥对

  1. 在您的模板中指定 AWS::EC2::KeyPair 资源。

    Resources:
  NewKeyPair:
    Type: 'AWS::EC2::KeyPair'
    Properties: 
      KeyName: new-key-pair

  2. 按如下方式使用 describe-key-pairs 命令获取密钥对的 ID。

    aws ec2 describe-key-pairs --filters Name=key-name,Values=new-key-pair --query KeyPairs[*].KeyPairId --output text

    下面是示例输出。

    key-05abb699beEXAMPLE

  3. 按如下方式使用 get-parameter 命令获取密钥的参数,并将密钥材料保存在 .pem 文件中。

    aws ssm get-parameter --name /ec2/keypair/key-05abb699beEXAMPLE --with-decryption --query Parameter.Value --output text > new-key-pair.pem
所需的 IAM 权限

要启用 AWS CloudFormation 以代表您管理 Parameter Store 参数,由 AWS CloudFormation 或您用户担任的 IAM 角色必须拥有以下权限:

  • ssm:PutParameter – 授予权限以创建私有密钥材料的参数。

  • ssm:DeleteParameter – 授予权限以删除存储私有密钥材料的参数。无论密钥对是由 AWS CloudFormation 导入还是创建的,都需要此权限。

当 AWS CloudFormation 删除由堆栈创建或导入的密钥对时,它会执行权限检查,以确定您是否有权删除参数,即使 AWS CloudFormation 仅在创建密钥对而非导入密钥对时才创建参数。AWS CloudFormation 使用与您账户中的任何参数都不匹配的虚构参数名称测试所需的权限。因此,您可能会在 AccessDeniedException 错误消息中看到虚构的参数名称。

使用第三方工具创建密钥对,并将公有密钥导入 Amazon EC2

如果不使用 Amazon EC2 创建密钥对,您可以使用第三方工具创建一个 RSA 密钥对,然后将公有密钥导入 Amazon EC2。

密钥对的要求

  • 支持的类型:RSA。Amazon EC2 不接受 DSA 密钥。

    注意

    Windows 实例不支持 ED25519 密钥。

  • 支持的格式:

    • OpenSSH 公有密钥格式

    • SSH 私有密钥文件格式必须为 PEM 或 PPK

    • (仅 RSA)Base64 编码的 DER 格式

    • (仅 RSA)SSH 公有密钥文件格式如 RFC 4716 所指定

  • 支持的长度:1024、2048 和 4096。

要使用第三方工具创建密钥对

  1. 使用您选择的第三方工具生成密钥对。例如,您可以使用 ssh-keygen(通过标准 OpenSSH 安装提供的工具)。或者,您可以使用 Java、Ruby、Python 和很多其他提供标准库的编程语言来创建 RSA 密钥对。

    重要

    私有密钥必须采用 PEM 或 PPK 格式。例如,使用 ssh-keygen -m PEM 生成 PEM 格式的 OpenSSH 密钥。

  2. 将公有密钥保存至本地文件。例如,C:\keys\my-key-pair.pub。此文件的文件扩展名并不重要。

  3. 将私有密钥保存至扩展名为 .pem.ppk 的本地文件。例如, C:\keys\my-key-pair.pem C:\keys\my-key-pair.ppk此文件的文件扩展名非常重要,因为从 EC2 控制台连接到 Windows 实例时只能选择 .pem 文件。

    重要

    将私有密钥文件保存在安全位置。当您启动实例时,您将需要提供公有密钥的名称;当您每次连接到实例时,您将需要提供相应的私有密钥。

创建密钥对后,使用以下方法之一将公有密钥导入到 Amazon EC2。

Console
要将公有密钥导入至 Amazon EC2

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择 Key Pairs (密钥对)

  3. 选择 Import key pair (导入密钥对)

  4. 对于 Name(名称),为公有密钥输入一个描述性名称。该名称最多可包含 255 个 ASCII 字符。它不能包含前导空格或尾随空格。

    注意

    当您从 EC2 控制台连接到实例时,控制台会建议使用此名称作为私有密钥文件的名称。

  5. 选择 Browse (浏览) 以导航到您的公有密钥并选择它,或者将公有密钥的内容粘贴到 Public key contents (公有密钥内容) 字段中。

  6. 选择 Import key pair (导入密钥对)

  7. 验证您导入的公有密钥是否显示在密钥对列表中。

AWS CLI
要将公有密钥导入至 Amazon EC2

使用 import-key-pair AWS CLI 命令。

验证密钥对是否已成功导入

使用 describe-key-pairs AWS CLI 命令。

PowerShell
要将公有密钥导入至 Amazon EC2

使用 Import-EC2KeyPair AWS Tools for Windows PowerShell 命令。

验证密钥对是否已成功导入

使用 Get-EC2KeyPair AWS Tools for Windows PowerShell 命令。