在執行個體上新增或移除公有金鑰 - Amazon Elastic Compute Cloud

在執行個體上新增或移除公有金鑰

當您啟動執行個體時,您可指定金鑰對。若您在啟動時指定金鑰對,當執行個體第一次啟動時,公有金鑰材料會放置在 ~/.ssh/authorized_keys 內項目的 Linux 執行個體上。

您可以變更用來存取執行個體預設系統帳戶的金鑰對,方法是在執行個體上新增公有金鑰,或是取代執行個體上的公有金鑰 (刪除現有公有金鑰並在執行個體上新增一個)。您也可以從執行個體中移除所有公有金鑰。您可能會因下列原因執行這些動作:

  • 如果組織中的使用者需要使用不同的金鑰對來存取系統使用者,您可以將該共有金鑰新增到執行個體。

  • 如果某些人擁有私有金鑰的複本 (.pem 檔案),而您希望阻止他們連線到您的執行個體 (例如,如果他們已離開您的組織),則您可刪除執行個體上的公有金鑰,並以新的金鑰取代。

  • 如果您從執行個體中建立 Linux AMI,則公有金鑰材料會從執行個體複製到 AMI。如果從 AMI 中啟動執行個體,則新的執行個體會包含來自原始執行個體的公有金鑰。若要防止擁有私有金鑰的某些人連線到新執行個體,請從原始執行個體中移除公有金鑰,然後再建立 AMI。

公有金鑰位於執行個體上的 .ssh/authorized_keys 檔案中。

若要新增或取代金鑰對,您必須能夠連線至您的執行個體。如果您已遺失現有的私有金鑰或您已在沒有金鑰對的情況下啟動執行個體,您將無法連線至執行個體,因此將無法新增或取代金鑰對。如果您已遺失私有金鑰,您可以擷取它。如需詳細資訊,請參閱 我的私有金鑰遺失。如何連線到我的 Linux 執行個體? 如果您已在沒有金鑰對的情況下啟動執行個體,除非您已選擇設定為允許使用者透過其他方式登入的 AMI,否則您將無法連線至該執行個體。

注意

這些程序是用來修改預設使用者 (例如 ec2-user) 的金鑰對。如需有關將使用者新增到執行個體的詳細資訊,請參閱 在 Linux 執行個體上管理使用者

新增或替換金鑰對

  1. 使用 Amazon EC2 主控台第三方工具來建立新的金鑰對。

  2. 從新的金鑰對擷取公有金鑰。如需更多詳細資訊,請參閱 擷取公有金鑰資料

  3. 使用現有的私有金鑰,連線到執行個體

  4. 使用您自選的文字編輯器,在執行個體上開啟 .ssh/authorized_keys 檔案。貼上新金鑰對的公有金鑰資訊 (在現有公有金鑰資訊的下方)。儲存檔案。

  5. 中斷與執行個體的連線,然後測試是否能使用新的私有金鑰檔案來連線到執行個體。

  6. (選用) 如果要替換現有的金鑰對,請連線到執行個體,然後從 .ssh/authorized_keys 檔案,刪除原始金鑰對的公有金鑰資訊。

重要

如果使用 Auto Scaling 群組,請確保在啟動範本或啟動組態中並未指定您要取代的金鑰對。如果 Amazon EC2 Auto Scaling 偵測到運作狀態不良的執行個體,則會啟動替代執行個體。不過,如果找不到金鑰對,執行個體啟動就會失敗。如需詳細資訊,請參閱 Amazon EC2 Auto Scaling 使用者指南中的啟動範本

若要從執行個體中移除公有金鑰

  1. 連線到您的執行個體

  2. 使用您自選的文字編輯器,在執行個體上開啟 .ssh/authorized_keys 檔案。刪除公有金鑰資訊,然後儲存檔案。

警告

從執行個體中移除所有公有金鑰,並從執行個體中斷連線後,除非 AMI 提供另一種登入方式,否則無法再次連線。