本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理 SSH 存取
重要
AWS OpsWorks Stacks 服務已於 2024 年 5 月 26 日終止,並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載遷移至其他解決方案。如果您對遷移有任何疑問,請透過 AWS re:Post
AWS OpsWorks Stacks 支援 Linux 和 Windows 堆疊的 SSH 金鑰。
身分驗證是根據 SSH 金鑰對來進行;金鑰對中包含公有金鑰和私有金鑰:
-
您會在執行個體上安裝公有金鑰。
位置取決於特定的作業系統,但 AWS OpsWorks Stacks 會為您處理詳細資訊。
-
您可將私有金鑰存放在本機,並將其提供給 SSH 用戶端 (例如
ssh.exe),以存取執行個體。SSH 用戶端會使用私有金鑰連線到該執行個體。
若要將 SSH 存取權提供給堆疊的使用者,您需要一種可以建立 SSH 金鑰對、在堆疊的執行個體上安裝公有金鑰,以及安全地管理私有金鑰的方式。
Amazon EC2 提供在執行個體上安裝公有 SSH 金鑰的簡單方法。您可以使用 Amazon EC2 主控台或 API,為您計劃使用的每個 AWS 區域建立一或多個金鑰對。Amazon EC2 會將公有金鑰存放在 AWS 上,而您將私有金鑰存放在本機。當您啟動執行個體時,您可以指定其中一個區域的金鑰對,Amazon EC2 會自動將其安裝在執行個體上。然後,您即可使用對應的私有金鑰登入執行個體。如需詳細資訊,請參閱 Amazon EC2 金鑰對。
使用 AWS OpsWorks Stacks,您可以在建立堆疊時指定其中一個區域的 Amazon EC2 金鑰對,並在建立每個執行個體時選擇性地使用不同的金鑰對覆寫它。當 AWS OpsWorks Stacks 啟動對應的 Amazon EC2 執行個體時,它會指定金鑰對,Amazon EC2 會在執行個體上安裝公有金鑰。然後,您可以使用私有金鑰登入或擷取管理員密碼,就像使用標準 Amazon EC2 執行個體一樣。如需詳細資訊,請參閱安裝 Amazon EC2 金鑰。
使用 Amazon EC2 金鑰對很方便,但有兩個重大限制:
-
Amazon EC2 金鑰對與特定 AWS 區域綁定。
如果您在多個區域中工作,就必須管理多組金鑰對。
-
您只能在執行個體上安裝一個 Amazon EC2 金鑰對。
如果您想要允許多位使用者登入,則所有使用者都必須具備私有金鑰的複本;這不是建議的安全做法。
對於 Linux 堆疊, AWS OpsWorks Stacks 提供更簡單且更靈活的方法來管理 SSH 金鑰對。
-
每位使用者可註冊個人金鑰對。
它們會在本機存放私有金鑰,並向 AWS OpsWorks Stacks 註冊公有金鑰,如中所述註冊使用者的公有 SSH 金鑰。
-
在設定堆疊的許可時,您可以指定哪些使用者應具備堆疊執行個體的 SSH 存取權。
AWS OpsWorks Stacks 會自動為每個授權使用者在堆疊的執行個體上建立系統使用者,並安裝其公有金鑰。使用者即可使用對應的私有金鑰登入,如使用 SSH 登入中所述。
使用個人 SSH 金鑰有下列優勢。
-
不需要手動設定執行個體上的金鑰; AWS OpsWorks Stacks 會自動在每個執行個體上安裝適當的公有金鑰。
-
AWS OpsWorks Stacks 只會安裝授權使用者的個人公有金鑰。
未經授權的使用者不能使用其個人私有金鑰來存取執行個體。使用 Amazon EC2 金鑰對,任何具有對應私有金鑰的使用者都可以登入,無論是否具有授權的 SSH 存取。
-
如果使用者不再需要 SSH 存取權,您可以使用 Permissions (許可) 頁面,撤銷使用者的 SSH/RDP 許可。
AWS OpsWorks Stacks 會立即從堆疊的執行個體解除安裝公有金鑰。
-
您可以為任何 AWS 區域使用相同的金鑰。
使用者只需要管理一個私有金鑰。
-
您不需要共享私有金鑰。
每位使用者都有自己的私有金鑰。
-
輪換金鑰非常簡單。
您或使用者可以在 My Settings (我的設定) 中更新公有金鑰,而 AWS OpsWorks Stacks 即會自動更新執行個體。
