SSH キーペアの概要 - Elastic Compute Service - Alibaba Cloud ドキュメントセンター

Alibaba Cloudは、Elastic Compute Service (ECS) インスタンスへのログオンに、安全で便利なSSHキーペアベースの認証方法を提供します。キーペアは、SSHプロトコルを介した認証および暗号化通信に使用されます。 SSHキーペアは公開キーと秘密キーで構成され、Linuxインスタンスでのみ使用できます。これは、より高いセキュリティ、利便性、および自動化機能に関するビジネス要件を満たしています。 SSHキーペアを使用すると、パスワード不要のリモートログオンを実装し、サーバー構成やアプリケーションのデプロイなどの安全な自動操作を実行できます。

概要

SSHキーペアは、暗号化アルゴリズムに基づいて生成された公開キーと秘密キーで構成されます。デフォルトでは、キーはRivest-Shamir-Adleman (RSA) 2048アルゴリズムを使用して暗号化されます。 LinuxインスタンスにSSH接続する場合は、SSHキーペアを作成する必要があります。次に、Linuxインスタンスの作成時にSSHキーペアを指定するか、インスタンスの作成後にSSHキーペアをインスタンスにバインドできます。これにより、キーペアの秘密鍵を使用してインスタンスに接続できます。

SSHキーペアを作成したら、次の項目に注意してください。

Alibaba Cloudは、各キーペアの公開キーを保存します。 SSHキーペアがLinuxインスタンスにバインドされると、キーペアの公開キーは ~/.ssh/authorized_keysファイルに保存されます。
秘密鍵を安全な場所にダウンロードして保存します。秘密鍵は暗号化されない。これは、公開鍵暗号化規格 (PKCS) #8形式であり、プライバシー強化メール (PEM) でエンコードされています。

利点

SSHキーペアベースの認証には、ユーザー名 /パスワードベースの認証に対して次の利点があります。

セキュリティの向上: SSHキーペアは、認証のセキュリティと信頼性を高めます。
- SSHキーペアは、ブルートフォース攻撃に対して通常のパスワードよりも安全です。
- 公開鍵が悪意を持って取得されるかどうかにかかわらず、公開鍵から秘密鍵を推定することはできない。
使いやすさ:
- Linuxインスタンスで公開鍵を設定する場合は、SSHコマンドを実行するか、接続ツールを使用して、パスワードの代わりに対応する秘密鍵を使用してインスタンスにログインできます。
- SSHキーペアを使用して、複数のLinuxインスタンスに同時にログインできます。これにより、より便利な方法でインスタンスを管理できます。複数のLinuxインスタンスを一括管理する場合は、SSHキーペアベースの認証方法を使用することを推奨します。

制限事項

SSHキーペアには次の制限があります。

SSHキーペアはLinuxインスタンスでのみサポートされます。
- SSHキーペアベースの認証を使用して、Linuxインスタンスにrootまたはecs-userとしてログインできます。このユーザーは、インスタンスの作成時にログインユーザー名として指定します。特定の画像はecs-userをサポートしていません。 ecs-userをサポートしていないイメージについては、インスタンス購入ページを参照してください。詳細については、「パスワードまたはキーを使用したLinuxインスタンスへの接続」または「SSHキーペアを使用したLinuxインスタンスへの接続」をご参照ください。
- インスタンスで作成したユーザーとしてSSHキーペアを使用してLinuxインスタンスにログインする場合は、~/.ssh/authorized_keysファイルをユーザーのsshディレクトリ。詳細については、「SSHキーペアを使用したユーザー作成ユーザーとしてのLinuxインスタンスへのログイン」をご参照ください。
SSHキーペアを使用してLinuxインスタンスにログインすると、セキュリティを強化するためにユーザー名 /パスワードベースの認証方法が無効になります。
ECSコンソールで作成できるのは、2048ビットRSAキーペアのみです。
Alibaba Cloudアカウントは、リージョン内に最大500個のキーペアを持つことができます。
ECSコンソールでSSHキーペアをLinuxインスタンスにバインドする場合、1つのSSHキーペアのみをLinuxインスタンスにバインドできます。
- キーペアがすでにインスタンスにバインドされている場合、新しいキーペアはインスタンス上の元のキーペアを置き換えます。
- Linuxインスタンスで複数のキーペアを使用する場合は、インスタンスの ~/.ssh/authorized_keysファイルを変更して、キーペアを追加できます。詳細については、「SSHキーペアの追加または置換」をご参照ください。
廃止されたインスタンスタイプのインスタンスは、SSHキーペアをサポートしていません。詳細は、「廃止されたインスタンスタイプ」をご参照ください。
データセキュリティのため、[実行中] ([実行中]) 状態のインスタンスのキーペアをバインドまたはバインド解除した後、操作を有効にするにはインスタンスを再起動する必要があります。

SSHキーペアの作成方法

次のいずれかの方法を使用して、SSHキーペアを作成できます。

デフォルトでは、鍵はRSA 2048アルゴリズムを使用して暗号化されます。詳細については、｢SSH キーペアの作成｣をご参照ください。
重要
ECSコンソールでキーペアを作成する場合は、秘密鍵をダウンロードして安全な場所に保存します。キーペアをインスタンスにバインドした後、秘密キーがない場合はインスタンスにログインできません。
キーペアジェネレーターを使用してSSHキーペアを作成し、そのキーペアをECSコンソールにインポートします。インポートしたキーペアは、次のいずれかの暗号化方法をサポートする必要があります。
- rsa
- dsa
- ssh-rsa
- ssh-dss
- ecdsa
- ssh-rsa-cert-v00@openssh.com
- ssh-dss-cert-v00@openssh.com
- ssh-rsa-cert-v01@openssh.com
- ssh-dss-cert-v01@openssh.com
- ecdsa-sha2-nistp256-cert-v01@openssh.com
- ecdsa-sha2-nistp384-cert-v01@openssh.com
- ecdsa-sha2-nistp521-cert-v01@openssh.com