他のユーザーが自分のec2インスタンスにSSHとして接続できるようにするには、ec2インスタンスでそのユーザーのSSHキーを生成し、そのユーザーのローカルシステムにプライベートキーをコピーし、新しいインスタンスのSSHキーをローカルシステムに生成します。ユーザーを選択して公開鍵をec2インスタンス認証キーにコピーしますか?
秘密鍵ではなく公開鍵だけをコピーするだけですので、ユーザーがローカルコンピュータでSSH鍵を生成した場合は安全ですか?
答え1
2つのアプローチの利点を説明する前に、この種の業界標準は、サーバーではなくクライアントシステムでキーペアを生成することです。
今、長所と短所に関する限り、彼らはお互いをほぼ補完するので、各方法の長所だけをリストします。
クライアント側でキーを生成します。
- SSHとの直接的で簡単な統合。 SSH自体を使用してキーを生成し、それが唯一のキーである場合、デフォルトでは正しい場所に自動的に表示されるため、技術的な知識のないユーザーも作業を簡単にできます。
- 理論的には、クライアントシステムでキーを生成するために使用されるエントロピーの品質は、EC2インスタンスよりも優れています(VMはエントロピーが非常に低い)。
- ユーザーは常に秘密鍵がどこにあるかを正確に知っており、鍵のセキュリティを確認するために重要です。
- ユーザーがすでにSSHキー(通常はSSHを頻繁に使用する人がよく使用するキー)を持っている場合は、複数のキーペアを管理する必要があります(痛みを伴う)代わりに公開キーのみを送信できます。
EC2 インスタンスからキーを生成します。
- EC2 インスタンスの所望の場所にキーをコピーすることは非常に簡単です。
- クライアントシステムの負荷を軽減します。
- 最小限のセキュリティ要件を適用する方が簡単です。
公開鍵の代わりに秘密鍵をコピーする場合、セキュリティへの影響について上記で明示的に述べたことはありません。セキュリティへの影響は、コピーに使用するメカニズムがどれほど安全であるかに完全に依存するためです。