本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 SSH 存取
重要
該 AWS OpsWorks Stacks 服務於 2024 年 5 月 26 日終止使用壽命,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載移轉至其他解決方案。如果您對移轉有任何疑問,請透過 AWS Re: post
AWS OpsWorks 堆疊支援安全殼層金鑰,適用於 Linux 和視窗堆疊。
身分驗證是根據 SSH 金鑰對來進行;金鑰對中包含公有金鑰和私有金鑰:
-
您會在執行個體上安裝公有金鑰。
該位置取決於特定的操作系統,但 AWS OpsWorks Stacks 會為您處理詳細信息。
-
您可將私有金鑰存放在本機,並將其提供給 SSH 用戶端 (例如
ssh.exe),以存取執行個體。SSH 用戶端會使用私有金鑰連線到該執行個體。
若要將 SSH 存取權提供給堆疊的使用者,您需要一種可以建立 SSH 金鑰對、在堆疊的執行個體上安裝公有金鑰,以及安全地管理私有金鑰的方式。
Amazon EC2 提供一種在執行個體上安裝公開安全殼層金鑰的簡單方法。您可以使用 Amazon EC2 主控台或 API 為計劃使用的每個 AWS 區域建立一或多個金鑰配對。Amazon EC2 會將公開金鑰存放在 AWS 上,而您可以在本機存放私密金鑰。啟動執行個體時,您可以指定該區域的其中一個金鑰配對,Amazon EC2 會自動將其安裝在執行個體上。然後,您即可使用對應的私有金鑰登入執行個體。如需詳細資訊,請參閱 Amazon EC2 金鑰對。
使用 AWS OpsWorks Stacks 時,您可以在建立堆疊時指定區域的其中一個 Amazon EC2 key pair,並在建立每個執行個體時選擇性地使用不同的金鑰組覆寫它。當 AWS OpsWorks Stack 啟動對應的 Amazon EC2 執行個體時,它會指定 key pair,而 Amazon EC2 會在執行個體上安裝公開金鑰。然後,您可以使用私密金鑰登入或擷取管理員密碼,就像使用標準 Amazon EC2 執行個體一樣。如需詳細資訊,請參閱 安裝亞 Amazon EC2 密鑰。
使用 Amazon EC2 key pair 很方便,但有兩個顯著的限制:
-
亞 Amazon EC2 key pair 與特定 AWS 區域相關聯。
如果您在多個區域中工作,就必須管理多組金鑰對。
-
您只能在一個執行個體上安裝一個 Amazon EC2 key pair。
如果您想要允許多位使用者登入,則所有使用者都必須具備私有金鑰的複本;這不是建議的安全做法。
對於 Linux 堆疊, AWS OpsWorks 堆疊提供了一種更簡單、更靈活的方式來管理 SSH 金鑰配對。
-
每位使用者可註冊個人金鑰對。
它們將私鑰存儲在本地,並在 AWS OpsWorks Stacks 中註冊公鑰,如中所述註冊使用者的公開安全殼層金鑰。
-
在設定堆疊的許可時,您可以指定哪些使用者應具備堆疊執行個體的 SSH 存取權。
AWS OpsWorks Stacks 會為每位授權使用者在堆疊的執行個體上自動建立系統使用者,並安裝其公開金鑰。使用者即可使用對應的私有金鑰登入,如使用 SSH 登入中所述。
使用個人 SSH 金鑰有下列優勢。
-
不需要在執行個體上手動設定金鑰; AWS OpsWorks Stacks 會自動在每個執行個體上安裝適當的公開金鑰。
-
AWS OpsWorks Stacks 只會安裝授權使用者的個人公開金鑰。
未經授權的使用者不能使用其個人私有金鑰來存取執行個體。使用 Amazon EC2 金鑰配對時,任何具有對應私密金鑰的使用者都可以登入,無論是否具有授權 SSH 存取權。
-
如果使用者不再需要 SSH 存取權,您可以使用 Permissions (許可) 頁面,撤銷使用者的 SSH/RDP 許可。
AWS OpsWorks 堆疊會立即從堆疊的執行個體解除安裝公開金鑰。
-
您可以為任何 AWS 區域使用相同的金鑰。
使用者只需要管理一個私有金鑰。
-
您不需要共享私有金鑰。
每位使用者都有自己的私有金鑰。
-
輪換金鑰非常簡單。
您或使用者可以在 My Settings (我的設定) 中更新公有金鑰,而 AWS OpsWorks Stacks 即會自動更新執行個體。
