¿Cómo descargar la clave pública de Amazon AWS?

Tengo una instancia de Linux ec2 en ejecución asociada con un par de claves (p1) y he descargado la clave privada en el escritorio de mi casa. Ahora en el trabajo, creé un par de claves (p2) en mi escritorio de trabajo e importé la clave pública a Amazon a través de la consola de AWS.

En casa, quiero agregar la clave pública de keypair p2 que se agregará a authorized_keysmi instancia de AMI (a la que actualmente solo puedo acceder desde mi casa). Sin embargo, olvidé traer la clave pública de p2 conmigo, por lo que es posible exportar de alguna manera esta clave pública desde Amazon.

Bonito rompecabezas, gracias! Aquí hay una respuesta:

1. Inicie una nueva instancia temporal de arranque EBS t1.micro A, especificando el par de claves p2. Especifique una zona de disponibilidad donde ya tenga otra instancia B en ejecución y a la que tenga acceso. (Comience uno temporal si es necesario).

2. Detenga (no finalice) la instancia A después de que haya estado en estado de ejecución durante unos minutos, de modo que tenga la posibilidad de guardar la clave pública en su archivo autorizado_claves.

3. Separe el volumen EBS raíz de la instancia detenida A. Adjúntelo y móntelo en su instancia en ejecución B.

4. Copie la clave pública del sistema de archivos montado.

5. Separe y elimine el volumen EBS. Terminar la instancia temporal A.

Sin embargo, el comando ssh-keygen correcto es:

ssh-keygen -y -f /path/to/privatekey > /path/to/publickey

Ya proporcioné una respuesta que usa volúmenes EBS para obtener la clave pública ssh, pero aquí hay otra forma de obtenerla iniciando una instancia EC2 temporal con un script de datos de usuario que envía la clave pública a la salida de la consola. Aquí están los pasos:

Guarde el siguiente código en un archivo nombrado output-ssh-key.userdataen su computadora local. ¡NO EJECUTE ESTOS MANDOS LOCALMENTE!

#!/bin/bash -ex
exec> >(tee /var/log/user-data.log|logger -t user -s 2>/dev/console) 2>&1
adminkey=$(GET instance-data/latest/meta-data/public-keys/ | 
  perl -ne 'print $1 if /^0=[^a-z0-9]*([-.@\w]*)/i')
cat <<EOF
SSHKEY:========================================================================
SSHKEY:HERE IS YOUR PUBLIC SSH KEY FOR KEYPAIR "$adminkey":
SSHKEY:$(cat /home/ubuntu/.ssh/authorized_keys)
SSHKEY:========================================================================
SSHKEY:Halting in 50min ($(date --date='+50 minutes' +"%Y-%m-%d %H:%M UTC"))
EOF
sleep 3000
halt

Ejecute una instancia de Ubuntu 10.04 LTS con el archivo anterior como un script de datos de usuario. Especifique el par de claves para el que desea recuperar la clave ssh pública:

ec2-run-instances \
  --key YOURKEYPAIRHERE \
  --instance-type t1.micro \
  --instance-initiated-shutdown-behavior terminate \
  --user-data-file output-ssh-key.userdata \
  ami-ab36fbc2

Siga solicitando la salida de la consola de la instancia hasta que muestre su clave ssh pública. Especifique el id de instancia devuelto por el comando run-Instances:

ec2-get-console-output YOURINSTANCEID | grep SSHKEY: | cut -f3- -d:

Dentro de 2-10 minutos obtendrá una salida como esta:

========================================================================
HERE IS YOUR PUBLIC SSH KEY FOR KEYPAIR "erich":
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA6rn8cl41CkzaH4ZBhczOJZaR4xBBDI1Kelc2ivzVvCB
THcdJRWpDd5I5hY5W9qke9Tm4fH3KaUVndlcP0ORGvS3PAL4lTpkS4D4goMEFrwMO8BG0NoE8sf2U/7g
aUkdcrDC7jzKYdwleRCI3uibNXiSdeG6RotClAAp7pMflDVp5WjjECDZ+8Jzs2wasdTwQYPhiWSiNcfb
fS97QdtROf0AcoPWElZAgmabaDFBlvvzcqxQRjNp/zbpkFHZBSKp+Sm4+WsRuLu6TDe9lb2Ps0xvBp1F
THlJRUVKP2yeZbVioKnOsXcjLfoJ9TEL7EMnPYinBMIE3kAYw3FzZZFeX3Q== erich
========================================================================
Halting in 50min (2011-12-20 05:58 UTC)

La instancia temporal terminará automáticamente en menos de una hora, pero puede terminarla usted mismo si desea asegurarse de que no se le cobre más de los dos centavos que costará ejecutarla.

Si tiene la clave SSH privada, puede volver a generar el componente de clave pública simplemente ejecutando el siguiente comando ssh-keygen :

 ssh-keygen -i -f /path/to/private-key > /path/to/public-key

Esa es la parte simple ... La consola y la API de AWS no admiten empujar 2 pares de teclas al iniciar una instancia de EC2. Este es un ejercicio que el administrador del sistema debe realizar por otros medios.

Si tiene acceso a la clave de identidad ya autorizada, simplemente puede ejecutar el siguiente comando ssh-copy-id :

 ssh-copy-id -i /path/to/public-key user@EC2-instance

Esto copiará la clave pública dada al servidor y al ~user/.ssh/authorized_keysarchivo automáticamente para usted y garantizará los permisos adecuados en el archivo.

La forma más elegante sería incluir las claves de identidad adicionales en sus procesos de gestión de configuración. En mi caso, esto implica agregar las teclas adicionales a la marioneta configuración de para el nodo.

Como nota al margen, la preferencia personal, pero utilizaría un mejor método de administración de claves SSH que simplemente tener que incluir claves separadas para el trabajo y la ubicación del hogar. Como mencioné en una pregunta anterior , mantengo mis llaves en una unidad USB que guardo conmigo en lugar de en cualquier computadora que utilizo.

Otra opción sería agregar un script corto en user_data que simplemente agregue otra clave ssh a la raíz:

#!/bin/bash

touch ~/.ssh/authorized_keys
chmod 400 ~/.ssh/authorized_keys

echo "<KEY>" >> ~/.ssh/authorized_keys

Luego, puede iniciar sesión en la máquina como root ssh -l root -i <KEYFILE> URLy simplemente leer la clave de las claves autorizadas del usuario ec2_user, ubuntu o como se llame.

Lo único es que debe hacer que la máquina sea públicamente accesible y asegurarse de que el acceso al puerto 22 sea posible desde el exterior.