Dove deve essere memorizzata la coppia di chiavi AWS EC2?

Puoi suggerire luoghi sicuri in cui archiviare le coppie di chiavi associate alle istanze EC2?

È sicuro archiviare questo tipo di cose nello spazio di archiviazione S3 di Amazon se sono limitate al tuo account?

Al momento ce l'ho sul mio PC ... a casa. È male?

Il modo migliore per proteggere le tue coppie di chiavi EC2, che sono solo chiavi SSH, è crittografarle con una passphrase (e seguire il normale processo di gestione delle password per quella passphrase). Supponendo che si stia utilizzando Linux, è possibile utilizzare ssh-keygen -p -f $fileper crittografare la chiave. Dovresti conservare un backup, preferibilmente protetto fisicamente (ad esempio una chiavetta USB in una cassetta di sicurezza o qualcosa del genere). Presumo che tu stia parlando della metà privata della chiave, poiché la chiave pubblica è ovviamente pubblica.

Teoricamente, sarebbe meglio archiviare la chiave su un TPM sulla workstation o su una smart card, ma di solito ci sono problemi pratici con questa soluzione quando si tratta di chiavi SSH.

La cattiva memorizzazione della chiave sul PC di casa dipende dal fatto che si tratti di una violazione delle norme. Se non lo è, onestamente, ci sono poche ragioni per vederlo come peggio che memorizzarlo su un laptop che usi per lavoro.

Puoi sicuramente mantenere un backup della chiave in S3 (anziché un backup fisico). Il modello di minaccia è tale che stai già vivendo una brutta giornata (tra l'altro in termini di perdite di dati e interruzione del servizio) se qualcuno è in grado di accedere al tuo account AWS. Tuttavia, a meno che non vi siano entità di sicurezza che potrebbero avere accesso al bucket S3 con la chiave, ma che non possano accedere alle macchine, è necessario trovare un altro modo. Se conservi una copia in S3, assicurati almeno che sia crittografata con una passphrase.

Bene, la chiave pubblica può essere archiviata dove vuoi. Tatualo sulla fronte, per esempio. :)

La chiave privata è ciò che devi proteggere, poiché è veramente la tua identità. Chiunque metta le mani sulla tua chiave (non crittografata) può farsi strada con i tuoi server. Quindi, proteggilo ed esegui il backup come faresti con qualsiasi altro file importante ma riservato. Crittografalo e salvalo su un'unità flash, stampalo su carta e memorizzalo in una cassaforte come ultima risorsa, ecc. Se vuoi conservarlo in S3, probabilmente va bene, ma lo farei solo nella sua modulo crittografato.