请您建议一些安全的地方来存储与 EC2 实例相关的密钥对?
如果这些东西仅限于您的帐户,那么将它们存储在 Amazon 的 S3 存储中是否安全?
我目前将它安装在我家里的电脑上。这样不好吗?
答案1
保护 EC2 密钥对(它们只是 SSH 密钥)的最佳方法是使用密码短语加密它们(并遵循该密码短语的正常密码管理流程)。假设您使用的是 Linux,则可以使用ssh-keygen -p -f $file
它加密密钥。您应该保留备份,最好是物理安全的备份(即放在保险箱或其他地方的拇指驱动器)。我假设您说的是密钥的私钥部分,因为公钥显然是公开的。
理论上,最好将密钥存储在工作站上的 TPM 或智能卡上,但在处理 SSH 密钥时,此解决方案通常存在实际问题。
将密钥存储在家用电脑上是否不好取决于这是否违反政策。如果不违反,老实说,没有理由认为这比将其存储在用于工作的笔记本电脑上更糟糕。
您当然可以将密钥的备份保存在 S3 中(而不是物理备份)。如果有人能够访问您的 AWS 账户,威胁模型就是您已经度过了非常糟糕的一天(在数据泄露和服务中断等方面)。但是,除非有某个安全主体可以使用您的密钥访问 S3 存储桶但不允许登录机器,否则您需要找到另一种方法。如果您将副本存储在 S3 中,至少要确保使用密码加密。
答案2
好吧,公钥可以存储在任何你想要的地方。比如,把它纹在你的额头上。:)
您需要保护私钥,因为它确实是您的身份。任何获得您的(未加密)密钥的人都可以对您的服务器进行任意操作。因此,请像保护其他重要但机密的文件一样保护并备份它。将其加密并保存在闪存驱动器上,将其打印在纸上并将其存储在保险箱中作为最后的手段,等等。如果您想将其存储在 S3 中,那可能没问题,但我只会以加密形式进行存储。
答案3
答案4
首次访问 EC2 服务器时需要 EC2 密钥对。通过密钥对访问服务器后,需要使用强密码进行更改。这是访问 EC2 服务器的正确方法。如果我错了,请纠正我。