更改 ec2 实例的密钥对

Question

如何在 AWS 管理控制台中更改我的 ec2 实例的密钥对？我可以停止实例，我可以创建新的密钥对，但我没有看到任何修改实例密钥对的链接。

Answer 1

此答案很有用如果您不再拥有对现有服务器的 SSH 访问权限（即您丢失了私钥）。

如果您仍有 SSH 访问权限，请使用以下答案之一。

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html#replacing-lost-key-pair

感谢 Eric Hammond 的博文，这就是我所做的：

1. 停止正在运行的 EC2 实例
2. 分离其/dev/xvda1 卷（我们称之为卷A）-see here
3. 使用我的新密钥对启动新的 t1.micro EC2 实例。 确保在同一子网中创建它，否则您将不得不终止实例并重新创建它。 - see here
4. 以/dev/xvdf（或/dev/sdf）将卷A附加到新的微实例
5. SSH 到新的微实例并将卷 A 挂载到 /mnt/tmp

$ sudo mkdir /mnt/tmp; sudo mount /dev/xvdf1 /mnt/tmp

6. 复制~/.ssh/authorized_keys到/mnt/tmp/home/ubuntu/.ssh/authorized_keys
7. 退出
8. 终止微实例
9. 从中分离卷 A
10. 以/dev/xvda 将卷 A 附加回主实例
11. 启动主实例
12. 像以前一样登录，使用新的.pem 文件

就是这样。

Answer 2

实例启动后，无法在元数据级别更改与实例关联的密钥对，但您可以更改用于连接实例的 ssh 密钥。

大多数 AMI 都有一个启动过程，它会下载公共 ssh 密钥并将其安装在 .ssh/authorized_keys 文件中，以便您可以使用相应的私有 ssh 密钥以该用户身份登录。

如果您想更改用于访问实例的 ssh 密钥，您需要编辑实例本身的 authorized_keys 文件并转换为新的 ssh 公钥。

authorized_keys 文件位于您登录用户的主目录下的 .ssh 子目录下。根据您运行的 AMI，它可能位于以下之一：

/home/ec2-user/.ssh/authorized_keys
/home/ubuntu/.ssh/authorized_keys
/root/.ssh/authorized_keys

编辑authorized_keys 文件后，始终使用不同的 终端来确认您能够通过ssh 访问实例，然后再断开用于编辑文件的会话。您不想犯错误并完全将自己锁定在实例之外。

当您考虑在 EC2 上使用 ssh 密钥对时，我建议您将自己的个人 ssh 公钥上传到 EC2，而不是让 Amazon 为您生成密钥对。

这是我写的一篇文章：

将个人 ssh 密钥上传到 Amazon EC2
http://alestic.com/2010/10/ec2-ssh-keys

这仅适用于您运行的新实例。

Answer 3

在您下载 AWS pem 后运行此命令。

ssh-keygen -f YOURKEY.pem -y

然后将输出转储到authorized_keys。

或将 pem 文件复制到您的 AWS 实例并执行以下命令

chmod 600 YOURKEY.pem

然后

ssh-keygen -f YOURKEY.pem -y >> ~/.ssh/authorized_keys

Answer 4

来自 AWS EC2 支持的说明：

1. 更改 pem 登录
2. 转到您的 EC2 控制台
3. 在网络和安全下，点击密钥对 点击创建密钥对
4. 为您的新密钥对命名，保存 .pem 文件。的名称 密钥对将用于连接到您的实例
5. 创建与您的实例的 SSH 连接并保持打开状态
6. 在 PuttyGen 中，单击“加载”以加载您的 .pem 文件
7. 保持选中 SSH-2 RSA 单选按钮。点击“保存私钥” 您将收到弹出窗口警告，点击“是”
8. 同样点击“保存公钥”，生成公钥。 这是我们要复制到您的公钥 当前实例
9. 使用新的密钥对名称和 扩展名.pub
10. 在记事本中打开公钥内容
11. 复制“注释：“imported-openssh-key”下方及之前的内容 "---- 结束 SSH2 公钥 ----
    注意 - 您需要复制内容 作为一行 - 删除所有新行
12. 在您连接的实例上，使用以下命令打开您的 authorized_keys 文件 工具六。运行以下命令：vi .ssh/authorized_keys 您还应该在文件中看到原始公钥
13. 将文件上的光标移动到第一个公钥的末尾 内容：输入“i”进行插入
14. 在新行上，键入“ssh-rsa”并在粘贴前添加一个空格 公钥的内容、空格和 .pem 的名称 文件（没有 .pem） 注意 - 你应该得到与前一行格式相同的一行
15. 按 Esc 键，然后键入 :wq!

这将保存更新后的 authorized_keys 文件

现在尝试使用您的新密钥 pai 为您的实例打开一个新的 SSH 会话

当您确认可以使用新密钥对通过 SSH 连接到实例后，您可以 vi .ssh/authorized_key 并删除旧密钥。

回答Shaggie的话：

如果您无法连接到实例（例如密钥已损坏），请使用 AWS 控制台分离卷 (http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-detaching-volume.html) 并将其重新附加到工作实例，然后更改卷上的密钥并将其重新附加到上一个实例。

Answer 5

我注意到，当由 Elastic Beanstalk 管理时，您可以更改您的活动 EC2 密钥对。在 Elastic Beanstalk > 配置 > 安全下，从 EC2 密钥对 下拉列表中选择新密钥。您会看到这条消息，询问您是否确定：

EC2KeyName：对选项 EC2KeyName 设置的更改将不会生效 立即地。您现有的每个 EC2 实例都将被替换并 届时您的新设置将生效。

执行此操作时，我的实例已经终止。然后它开始，终止，然后重新开始。显然“替换”意味着终止并创建一个新实例。如果您修改了启动卷，请先创建一个 AMI，然后在同一 Elastic Beanstalk > 配置 > 实例表单中指定该 AMI 作为 自定义 AMI ID。这也会警告更换 EC2 实例。

在您修改了 EC2 密钥对和自定义 AMI ID 并看到有关两者的警告后，单击保存继续。

请记住，重新创建实例时 IP 地址会发生变化，因此您需要从 EC2 控制台检索新 IP 地址，以便在通过 SSH 连接时使用。

Answer 6

我经历了这种方法，并且在一段时间后，能够使其发挥作用。缺乏实际命令使它变得困难，但我想通了。但是 - 不久之后发现并测试了更简单的方法：

1. 将您的实例保存为 AMI（是否重启，我建议重启）。这仅在 EBS 支持时才有效。
2. 然后，只需从此 AMI 启动一个实例并分配您的新密钥文件。
3. 将弹性 IP（如果适用）移至新实例，就完成了。

Answer 7

这个问题有两种情况：-

1)您无权访问 .pem 文件，这就是您想要创建一个新文件的原因。

2)您拥有 .pem 文件访问权限，但您只想更改或创建新的 .pem 文件以用于某些漏洞或安全目的。。 p>

所以如果您丢失了钥匙，您可以向上滚动查看其他答案。但是如果您只是出于安全目的更改 .pem 文件，请按照以下步骤操作：-

1) 转到 AWS 控制台登录并从密钥对创建一个新的 .pem 文件 那边的部分。它会自动下载.pem文件到 你的电脑

2) 如果您使用的是 Linux/ubuntu，请将权限更改为 400，点击以下 命令

chmod 400 yournewfile.pem

3)在本地机器上生成新下载文件的RSA

ssh-keygen -f yournewfile.pem -y

4)从这里复制 RSA 代码

5)现在通过之前的 .pem 文件 SSH 到您的实例

ssh -i oldpemfileName.pem username@ipaddress

sudo vim  ~/.ssh/authorized_keys

6) 留出一两行空间并将复制的新文件的 RSA 粘贴到此处 然后保存文件

7)现在您的新 .pem 文件已与正在运行的实例链接

8)如果你想禁用以前的 .pem 文件访问，那么只需编辑

sudo vim ~/.ssh/authorized_keys

从此处归档并删除或更改以前的 RSA。

注意：-小心删除，以免更改新创建的 RSA。

通过这种方式，您可以更改/连接新的 .pem 文件与您正在运行的实例。

出于安全考虑，您可以撤销对先前生成的 .pem 文件的访问权限。

希望对您有所帮助！

Answer 8

如果遵循以下步骤，它将节省大量时间，并且无需停止正在运行的实例。

1. 使用新的密钥对启动新的 t1.micro EC2 实例。 确保在同一子网中创建它，否则您将不得不终止实例并重新创建它。
2. SSH 到新的微实例并将 ~/.ssh/authorized_keys 的内容复制到您计算机上的某个位置。
3. 使用旧的 ssh 密钥登录到主实例。
4. 将文件内容从第2点复制并替换到~/.ssh/authorized_keys
5. 现在您只能使用新密钥再次登录。旧钥匙将不再起作用。

就是这样。享受:)

Answer 9

我相信最简单的方法是：

1. 创建现有实例的 AMI 映像。
2. 使用带有新密钥对的 AMI 映像（由第 1 步创建）启动新的 EC2 实例。
3. 使用新密钥登录新的 EC2 实例。

Answer 10

步骤：

1. 创建新密钥，例如使用 AWS 控制台、PuTTY 密钥生成器或 ssh-keygen
2. 停止实例
3. 设置实例用户数据以将公钥推送到服务器
4. 启动实例

#cloud-config
cloud_final_modules:
- [once]
bootcmd:
 - echo 'ssh-rsa AAAAB3Nz...' > /home/USERNAME/.ssh/authorized_keys

其中USERNAME 是机器的预期用户名。默认用户名列表为available from AWS。

Step-by-step instructions from AWS

Answer 11

如果您使用的是 ElasticBeanstalk 平台，您可以通过以下方式更改密钥：

• Elastic Beanstalk 面板
• 配置
• 实例（齿轮右上角）
• EC2 密钥对

这将终止当前实例并使用选定的键/设置创建新实例。

Answer 12

最简单的解决办法就是复制里面的内容

~/.ssh/id_rsa.pub

进入您的 AWS 实例的授权密钥

~/.ssh/authorized_keys

这将允许您在不为 ssh 命令指定 pem 文件的情况下通过 ssh 进入 EC2 实例。测试连接后，您可以删除所有其他密钥。

如果您需要创建一个新密钥以与其他人共享，您可以这样做：

ssh-keygen -t rsa

这将创建 private key.pem 文件，您可以通过以下方式获取该文件的公钥：

ssh-keygen -f private_key.pem -y > public_key.pub

任何拥有 private_key.pem 的人都可以连接

ssh user@host.com -i private_key.pem

Answer 13

您无需轮换 root 设备并更改 authorized_keys 中的 SSH 公钥。为此，可以利用 userdata 将 ssh 密钥添加到任何实例。为此，您首先需要使用 AWS 控制台或通过 ssh-keygen 创建一个新的 KeyPair。

ssh-keygen -f YOURKEY.pem -y

这将为您的新 SSH 密钥对生成公钥，复制此公钥并在下面的脚本中使用它。

Content-Type: multipart/mixed; boundary="//"
MIME-Version: 1.0

--//
Content-Type: text/cloud-config; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="cloud-config.txt"

#cloud-config
cloud_final_modules:
- [scripts-user, always]

--//
Content-Type: text/x-shellscript; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="userdata.txt"

#!/bin/bash
/bin/echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6xigPPA/BAjDPJFflqNuJt5QY5IBeBwkVoow/uBJ8Rorke/GT4KMHJ3Ap2HjsvjYrkQaKANFDfqrizCmb5PfAovUjojvU1M8jYcjkwPG6hIcAXrD5yXdNcZkE7hGK4qf2BRY57E3s25Ay3zKjvdMaTplbJ4yfM0UAccmhKw/SmH0osFhkvQp/wVDzo0PyLErnuLQ5UoMAIYI6TUpOjmTOX9OI/k/zUHOKjHNJ1cFBdpnLTLdsUbvIJbmJ6oxjSrOSTuc5mk7M8HHOJQ9JITGb5LvJgJ9Bcd8gayTXo58BukbkwAX7WsqCmac4OXMNoMOpZ1Cj6BVOOjhluOgYZbLr" >> /home/hardeep/.ssh/authorized_keys
--//

重启后机器将拥有指定的 SSH 公钥。 首次重启后删除用户数据。阅读有关userdata on startup 的更多信息。

Answer 14

我尝试了以下步骤，并且它在不停止实例的情况下工作。我的要求是 - 由于我更改了客户端计算机，旧的 .pem 文件不允许我登录到 ec2 实例。

1. 使用旧机器上的旧 .pem 文件登录到 ec2 实例。打开 ~/.ssh/authorized_keys

您将在该文件中看到您的旧密钥。

1. ssh-keygen -f YOUR_PEM_FILE.pem -y 它将生成一个密钥。将密钥附加到在步骤#1 中打开的 ~/.ssh/authorized_keys。无需删除旧密钥。

2. 从 AWS 控制台，创建一个新的密钥对。将其存放在您的新机器中。将其重命名为旧 pem 文件 - 原因是旧 pem 文件仍与 AWS 中的 ec2 实例相关联。

全部完成。

我可以从我的新客户端机器登录到 AWS ec2。

Answer 15

您有多种选择来替换您的 EC2 实例的密钥。

1. 您可以在 .ssh/authorized_keys 文件中手动替换密钥。但是，这需要您实际访问未加密的实例或卷。
2. 您可以使用 AWS Systems Manager。这需要安装代理。

由于第一个选项可以在您选择的答案或搜索引擎中轻松找到，因此我想重点关注 Systems Manager。

1. 打开服务Systems Manager
2. 点击左侧的Automation。
3. 点击Execute Automation
4. 选择AWSSupport-TroubleshootSSH（通常在最后一页）

您可以在Official AWS Documentation找到更多信息

Answer 16

感谢您的提示。当我需要休息密钥对时，一定会记住它们。 然而，为了效率和懒惰，我想出了别的办法：

1. 创建新的密钥对并下载凭据
2. 右键单击您的实例 > 完成后创建 AMI
3. 终止您的实例（或者在您确定可以从新的闪亮 AMI 创建另一个实例之前停止它）
4. 从您刚刚创建的 AMI 启动一个新的 EC2 实例，并指定您在上述步骤 (1) 中创建的新密钥对。

希望这对您有用，并为您节省一些时间，并最大限度地减少您从此类物品中获得的白发数量 :)

Answer 17

这适用于拥有两个不同 pem 文件并且出于任何安全目的想要丢弃两者之一的人。假设我们要丢弃 1.pem

1. 连接服务器 2 并从 ~/.ssh/authorized_keys 复制 ssh 密钥
2. 在另一个终端中连接服务器 1 并将密钥粘贴到 ~/.ssh/authorized_keys 中。您现在将在这里拥有两个公共 ssh 密钥
3. 现在，为了您的信心，尝试使用 2.pem 连接服务器 1。您将能够使用 1.pem 和 2.pem 连接服务器 1
4. 现在，注释 1.pem ssh 并使用 ssh -i 2.pem user@server1 进行连接

Answer 18

Yegor256 的回答对我有用，但我想我会添加一些 cmets 来帮助那些不太擅长安装驱动器的人（比如我！）：

Amazon 让您在附加卷时选择要命名的卷。您使用了 /dev/sda - /dev/sdp 范围内的名称 然后，较新版本的 Ubuntu 会将您放入其中的内容重命名为 /dev/xvd(x) 或类似的名称。

所以对我来说，我选择 /dev/sdp 作为 AWS 中的挂载名称，然后我登录服务器，发现 Ubuntu 已将我的卷重命名为 /dev/xvdp1)。然后我必须安装驱动器 - 对我来说，我必须这样做：

mount -t ext4 xvdp1 /mnt/tmp

跳过所有这些障碍后，我可以在 /mnt/tmp 访问我的文件

Answer 19

你能做什么...

1. 创建附加了 AmazonEC2RoleForSSM 策略的新实例配置文件/角色。

2. 将此实例配置文件附加到实例。

3. 使用 SSM 会话管理器登录实例。
4. 使用本地计算机上的 keygen 创建密钥对。
5. 使用您的 SSM 会话将该密钥的公共部分推送到实例上。
6. 利润。

Answer 20

仅当您有权访问要更改/添加密钥的实例时，这才有效。 您可以创建一个新的密钥对。或者，如果您已经拥有密钥对，则可以将新密钥对的公钥粘贴到实例上的 authorized_keys 文件中。

vim .ssh/authorized_keys

现在您可以使用该对的私钥并登录。

希望这会有所帮助。

Answer 21

我的问题是，我尝试使用IP 而不是公共DNS。然后我尝试使用public DNS 并解决了

Answer 22

如果您无法登录虚拟机并删除了 ssh 密钥，您也可以使用以下步骤更改 ec2 的密钥对。 一步一步走 1) 停止您的 ec2 实例。 2）拍摄虚拟机和存储的快照。 3）创建一个新的虚拟机，同时创建它选择你的快照并从你的快照创建虚拟机。 4) 在创建 VM 时下载您的密钥对。 5）一旦你的VM UP，你可以用一个新的密钥对ssh，你的数据也会回来。

Answer 23

替代解决方案。如果您拥有服务器上的唯一访问权限。在这种情况下，不要从 AWS 控制台中删除 pem 文件。只需从sudo nano ~/.ssh/authroized_keys 中删除 pem 访问密钥并添加您的系统公共 ssh 密钥。现在你可以访问ssh user@i.p