Come scaricare la chiave pubblica da Amazon AWS?

Ho un'istanza linux di Amazon ec2 in esecuzione associata a una coppia di chiavi (p1) e ho scaricato la chiave privata sul desktop di casa. Ora al lavoro, ho creato una coppia di chiavi (p2) sul desktop di lavoro e ho importato la chiave pubblica su Amazon tramite la console AWS.

A casa, voglio aggiungere la chiave pubblica di keypair p2 da aggiungere alla authorized_keysmia istanza AMI (a cui attualmente posso accedere solo da casa). Tuttavia, ho dimenticato di portare con me la chiave pubblica di p2, quindi è possibile in qualche modo esportare questa chiave pubblica da Amazon.

Bel puzzle, grazie! Ecco una risposta:

1. Avviare un nuovo avvio temporaneo EBS t1.micro istanza A, specificando la coppia di chiavi p2. Specificare una zona di disponibilità in cui è già in esecuzione un'altra istanza B e alla quale si ha accesso. (Avvia uno temporaneo se necessario).

2. Arresta (non termina) l'istanza A dopo che è stata in esecuzione per alcuni minuti, quindi ha la possibilità di salvare la chiave pubblica nel suo file authorized_keys.

3. Scollegare il volume EBS di root dall'istanza arrestata A. Collegare e montarlo sull'istanza in esecuzione B.

4. Copia la chiave pubblica dal file system montato.

5. Staccare ed eliminare il volume EBS. Terminare l'istanza temporanea A.

Il comando ssh-keygen corretto è tuttavia:

ssh-keygen -y -f /path/to/privatekey > /path/to/publickey

Ho già fornito una risposta che utilizza i volumi EBS per ottenere la chiave pubblica ssh, ma ecco un altro modo per accedervi avviando un'istanza temporanea EC2 con uno script di dati utente che invia la chiave pubblica all'output della console. Ecco i passaggi:

Salvare il codice seguente in un file denominato output-ssh-key.userdatasul computer locale. NON ESEGUIRE LOCALMENTE QUESTI COMANDI!

#!/bin/bash -ex
exec> >(tee /var/log/user-data.log|logger -t user -s 2>/dev/console) 2>&1
adminkey=$(GET instance-data/latest/meta-data/public-keys/ | 
  perl -ne 'print $1 if /^0=[^a-z0-9]*([-.@\w]*)/i')
cat <<EOF
SSHKEY:========================================================================
SSHKEY:HERE IS YOUR PUBLIC SSH KEY FOR KEYPAIR "$adminkey":
SSHKEY:$(cat /home/ubuntu/.ssh/authorized_keys)
SSHKEY:========================================================================
SSHKEY:Halting in 50min ($(date --date='+50 minutes' +"%Y-%m-%d %H:%M UTC"))
EOF
sleep 3000
halt

Esegui un'istanza di Ubuntu 10.04 LTS standard con il file sopra come script di dati utente. Specificare la coppia di chiavi per cui si desidera recuperare la chiave ssh pubblica:

ec2-run-instances \
  --key YOURKEYPAIRHERE \
  --instance-type t1.micro \
  --instance-initiated-shutdown-behavior terminate \
  --user-data-file output-ssh-key.userdata \
  ami-ab36fbc2

Continua a richiedere l'output della console dall'istanza fino a quando non mostra la tua chiave ssh pubblica. Specificare l'id dell'istanza restituito dal comando run-instance:

ec2-get-console-output YOURINSTANCEID | grep SSHKEY: | cut -f3- -d:

Entro 2-10 minuti otterrai un output in questo modo:

========================================================================
HERE IS YOUR PUBLIC SSH KEY FOR KEYPAIR "erich":
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA6rn8cl41CkzaH4ZBhczOJZaR4xBBDI1Kelc2ivzVvCB
THcdJRWpDd5I5hY5W9qke9Tm4fH3KaUVndlcP0ORGvS3PAL4lTpkS4D4goMEFrwMO8BG0NoE8sf2U/7g
aUkdcrDC7jzKYdwleRCI3uibNXiSdeG6RotClAAp7pMflDVp5WjjECDZ+8Jzs2wasdTwQYPhiWSiNcfb
fS97QdtROf0AcoPWElZAgmabaDFBlvvzcqxQRjNp/zbpkFHZBSKp+Sm4+WsRuLu6TDe9lb2Ps0xvBp1F
THlJRUVKP2yeZbVioKnOsXcjLfoJ9TEL7EMnPYinBMIE3kAYw3FzZZFeX3Q== erich
========================================================================
Halting in 50min (2011-12-20 05:58 UTC)

L'istanza temporanea si interromperà automaticamente tra meno di un'ora, ma puoi terminarla tu stesso se desideri assicurarti di non essere addebitato più dei due centesimi che costerà correre.

Se si dispone della chiave SSH privata, è possibile rigenerare il componente della chiave pubblica semplicemente eseguendo il comando ssh-keygen seguente :

 ssh-keygen -i -f /path/to/private-key > /path/to/public-key

Questa è la parte semplice ... La console e l'API AWS non supportano il push di 2 coppie di chiavi all'avvio di un'istanza EC2. Questo è un esercizio lasciato all'amministratore di sistema con altri mezzi.

Se hai accesso alla chiave di identità già autorizzata, puoi semplicemente eseguire il seguente comando ssh-copy-id :

 ssh-copy-id -i /path/to/public-key user@EC2-instance

Ciò copierà automaticamente la chiave pubblica fornita sul server e nel ~user/.ssh/authorized_keysfile e garantirà le autorizzazioni appropriate per il file.

Il modo più elegante sarebbe quello di includere le chiavi di identità aggiuntive nei processi di gestione della configurazione. Nel mio caso ciò comporta l'aggiunta di ulteriori chiavi alla configurazione Puppet per il nodo.

Come nota a margine, preferenza personale ma utilizzerebbe un metodo di gestione delle chiavi SSH migliore rispetto al semplice dover includere chiavi separate per il lavoro e la posizione di casa. Come ho già detto in una domanda precedente, conservo le mie chiavi su un'unità USB che conservo con me piuttosto che su qualsiasi computer che utilizzo.

Un'altra opzione sarebbe quella di aggiungere un breve script in user_data che aggiunge semplicemente un'altra chiave ssh a root:

#!/bin/bash

touch ~/.ssh/authorized_keys
chmod 400 ~/.ssh/authorized_keys

echo "<KEY>" >> ~/.ssh/authorized_keys

Quindi è possibile accedere alla macchina come root con ssh -l root -i <KEYFILE> URLe leggere semplicemente la chiave da Tasti_utente autorizzati ec2_utente, Ubuntu o come viene chiamato.

L'unica cosa: è necessario rendere la macchina raggiungibile pubblicamente e assicurarsi che l'accesso alla porta 22 sia possibile dall'esterno.