Adición o eliminación de una clave pública en una instancia de Linux - Amazon Elastic Compute Cloud

Adición o eliminación de una clave pública en una instancia de Linux

Si pierde una clave privada, perderá el acceso a todas las instancias que usen el par de claves. Para obtener más información sobre la conexión a una instancia mediante un par de claves diferente al que especificó en el lanzamiento, consulte Perdí mi clave privada.

Al lanzar una instancia, puede especificar el par de claves. Si especifica un par de claves durante el lanzamiento, cuando la instancia se arranca por primera vez, el material de la clave pública se coloca en la instancia de Linux en una entrada dentro de ~/.ssh/authorized_keys.

Puede cambiar el par de claves que se utiliza para acceder a la cuenta predeterminada del sistema de la instancia agregando una nueva clave pública en la instancia o reemplazando la clave pública (es decir, eliminando la clave pública existente y agregando una nueva) en la instancia. También puede eliminar todas las claves públicas de una instancia. Para añadir o reemplazar un par de claves, tiene que conectarse a su instancia.

Puede agregar o sustituir un par de claves por los motivos siguientes:

  • Si un usuario de su organización tiene que acceder al usuario del sistema con un par de claves diferente, puede agregar la clave pública a la instancia.

  • Si alguien tiene una copia de la clave privada (archivo .pem) y usted quiere evitar que se conecte a la instancia (en caso de que, por ejemplo, ya no pertenezca a la organización), puede eliminar la clave pública de la instancia y reemplazarla por una nueva.

  • Si crea una AMI de Linux a partir de una instancia, el material de la clave pública se copia de la instancia a la AMI. Si lanza una instancia a partir de la AMI, la nueva instancia incluirá la clave pública de la instancia original. Para evitar que alguien que tenga la clave privada se conecte a la nueva instancia, puede eliminar la clave pública de la instancia original antes de crear la AMI.

Utilice los procedimientos siguientes para modificar el par de claves para el usuario predeterminado como, por ejemplo, ec2-user. Para obtener información sobre cómo agregar usuarios a la instancia, consulte la documentación del sistema operativo de la instancia.

Para agregar o sustituir un par de claves
  1. Cree un nuevo par de claves mediante la consola de Amazon EC2 o una herramienta de terceros.

  2. Recupere la clave pública a partir de su nuevo par de claves. Para obtener más información, consulte Recupere el material de la clave pública.

  3. Conéctese a la instancia con la clave privada existente.

  4. Con el editor de texto que desee, abra el archivo .ssh/authorized_keys en la instancia. Pegue la información de la clave pública de su nuevo par de claves debajo de la información de la clave pública existente. Guarde el archivo.

  5. Desconéctese de la instancia y compruebe que puede volver a conectarse a la instancia utilizando el nuevo archivo de clave privada.

  6. (Opcional) Si desea sustituir un par de claves existente, conéctese a la instancia y elimine la información de la clave pública para el par de claves original del archivo .ssh/authorized_keys.

importante

Si utiliza un grupo de Auto Scaling, asegúrese de que el par de claves que va a reemplazar no se especifique en la plantilla de lanzamiento ni en la configuración de lanzamiento. Si Amazon EC2 Auto Scaling detecta una instancia en mal estado, lanzará una instancia de reemplazo. Sin embargo, el lanzamiento de la instancia fallará si no se encuentra el par de claves. Para obtener más información, consulte Plantillas de lanzamiento en la Guía del usuario de Amazon EC2 Auto Scaling.

Para eliminar la clave pública de una instancia
  1. Conéctese a la instancia.

  2. Con el editor de texto que desee, abra el archivo .ssh/authorized_keys en la instancia. Elimine la información de la clave pública y, a continuación, guarde el archivo.

aviso

Después de eliminar todas las claves públicas de una instancia y desconectarse de ella, no podrá volver a conectarse a ella, a menos que la AMI proporcione otra forma de iniciar sesión.