キーペアの作成 - Simple Application Server - Alibaba Cloud ドキュメントセンター

Alibaba Cloud は、シンプルアプリケーションサーバーへのログオンに、安全で便利な SSH キーペアベースの認証方法を提供しています。キーペアは、SSH プロトコルを介した認証と暗号化された通信に使用されます。SSH キーペアは、公開キーと秘密キーで構成されています。SSH キーペアは、Linux を実行するシンプルアプリケーションサーバーのみでサポートされています。SSH キーペアを使用して、シンプルアプリケーションサーバーに安全かつ便利にログオンできます。このトピックでは、シンプルアプリケーションサーバーコンソールで SSH キーペアを作成、インポート、バインド、バインド解除、および削除する方法について説明します。

メリット

SSH キーペアベースの認証には、ユーザー名/パスワードベースの認証に比べて以下のメリットがあります。

セキュリティの向上: SSH キーペアは、認証のセキュリティと信頼性を向上させます。
- SSH キーペアは、ブルートフォース攻撃に対して通常のパスワードよりも安全です。
- 公開キーが不正に取得されたかどうかに関係なく、秘密キーを公開キーから推測することはできません。
使いやすさ:
- Linux インスタンスに公開キーを設定すると、対応する秘密キーを使用して、パスワードではなく SSH コマンドを実行したり、接続ツールを使用してインスタンスにログオンしたりできます。
- SSH キーペアを使用して、複数の Linux インスタンスに同時にログオンできます。これにより、インスタンスをより便利に管理できます。複数の Linux インスタンスを一括で保守する場合は、SSH キーペアベースの認証方法を使用することをお勧めします。

使用上の注意

SSH キーペアは、Linux を実行するシンプルアプリケーションサーバーのみでサポートされています。
Alibaba Cloud アカウントのリージョンごとに最大 10 個のキーペアを作成できます。
シンプルアプリケーションサーバーコンソールでは、2048 ビットの RSA キーペアのみを作成できます。

キーペアの作成またはインポート

シンプルアプリケーションサーバーコンソールでキーペアを作成するか、既存のキーペアをインポートできます。その後、キーペアをシンプルアプリケーションサーバーにバインドし、キーペアを使用してサーバーにログオンできます。

シンプルアプリケーションサーバーコンソールにログオンします。
左側のナビゲーションペインで、キーペアをクリックします。
キーペアページで、キーペアの作成をクリックします。

キーペアの作成ダイアログボックスで、画面の指示に従ってパラメータを設定し、確認をクリックします。

キーペアの自動作成

次の表に、設定する必要のあるパラメータを示します。

パラメータ	説明
キーペア名	キーペアの名前を入力します。名前は 2～64 文字で、文字、数字、コロン（:）、アンダースコア（_）、ハイフン（-）を含めることができます。名前は文字で始める必要があります。
作成モード	キーペアの自動生成を選択します。

重要

キーペア情報は、.pem ファイルとしてオンプレミスのコンピュータに自動的にダウンロードされます。キーペアは一度だけダウンロードできます。後で取得することはできません。キーペアは機密にしてください。
ダウンロードページが表示されない場合は、ブラウザにブロックメッセージが表示されているかどうかを確認してください。

既存のキーペアのインポート

既存のキーペアをシンプルアプリケーションサーバーコンソールにインポートできます。その後、キーペアをシンプルアプリケーションサーバーにバインドし、キーペアを使用してサーバーにログオンできます。インポートするキーペアは、サポートされている暗号化方式を使用している必要があります。詳細については、Q2: シンプルアプリケーションサーバーコンソールにインポートするキーペアは、どの暗号化方式を使用する必要がありますか？を参照してください。

次の表に、設定する必要のあるパラメータを示します。

パラメータ	説明
キーペア名	キーペアの名前を入力します。名前は 2～64 文字で、文字、数字、コロン（:）、アンダースコア（_）、ハイフン（-）を含めることができます。名前は文字で始める必要があります。
作成モード	キーペアのインポートを選択します。
公開キーの内容	インポートするキーペアの公開キーをコードエディタにコピーします。Base64 プレビューにポインタを合わせると、公開キーの形式を確認できます。インポートするキーペアの公開キー情報を取得する方法については、Q3: キーペアの公開キー情報を表示するにはどうすればよいですか？を参照してください。

キーペアの作成ダイアログボックスで、キーペアをシンプルアプリケーションサーバーに今すぐバインドするかどうかを選択できます。
キーペアを作成した後に、キーペアをバインドすることもできます。詳細については、シンプルアプリケーションサーバーへのキーペアのバインドを参照してください。

シンプルアプリケーションサーバーへのキーペアのバインド

バインドするシンプルアプリケーションサーバーは、実行中または停止状態である必要があります。

重要

シンプルアプリケーションサーバーコンソールでは、シンプルアプリケーションサーバーにバインドできるキーペアは 1 つだけです。シンプルアプリケーションサーバーにキーペアがバインドされている場合、新しくバインドされたキーペアは、以前にバインドされたキーペアを上書きします。
シンプルアプリケーションサーバーにキーペアをバインドした後、サーバー上の root アカウントのパスワードベースのログオンは自動的に無効になります。パスワードベースのログオンを再度有効にするには、サーバーの設定ファイルを変更する必要があります。詳細については、パスワードベースのログオンの再有効化を参照してください。
複数のキーペアを使用してシンプルアプリケーションサーバーにログオンする場合は、サーバー内の ~/.ssh/authorized_keys ファイルを変更して、複数のキーペアを追加できます。詳細については、Q1: 複数のキーペアを使用してシンプルアプリケーションサーバーにログオンするにはどうすればよいですか？を参照してください。

シンプルアプリケーションサーバーコンソールにログオンします。
左側のナビゲーションペインで、キーペアをクリックします。
キーペアページで、バインドするキーペアを見つけ、アクション列のサーバーの接続をクリックします。
サーバーの接続ダイアログボックスで、1 つ以上の Linux シンプルアプリケーションサーバーを選択し、アイコンをクリックします。
確認をクリックします。
サーバーの接続ダイアログボックスで、ビジネス要件に基づいてサーバーを今すぐ再起動するかどうかを選択します。
- サーバーを今すぐ再起動する: 今すぐ再起動をクリックします。キーペアは、サーバーの再起動後に有効になります。
  警告
  再起動操作により、インスタンスが短時間停止し、インスタンス上で実行されているサービスが中断される可能性があります。オフピーク時にインスタンスを再起動することをお勧めします。
- サーバーを後で再起動する: 再起動の延期をクリックします。その後、オフピーク時にサーバーを再起動して、キーペアを有効にすることができます。

キーペアが有効になったら、キーペアを使用してシンプルアプリケーションサーバーにログオンできます。詳細については、キーペアを使用した Linux サーバーへの接続を参照してください。

キーペアのバインド解除

シンプルアプリケーションサーバーにバインドされている SSH キーペアを変更する場合、またはエンドユーザーの 1 人が特定のシンプルアプリケーションサーバーにアクセスする必要がなくなった場合は、シンプルアプリケーションサーバーから SSH キーペアのバインドを解除して、シンプルアプリケーションサーバーのセキュリティを向上させたり、特定のシンプルアプリケーションサーバーへのアクセスを制限したりできます。

重要

シンプルアプリケーションサーバーのキーペアを作成し、キーペアを有効にするためにサーバーを再起動した後、サーバー上の root アカウントのパスワードベースのログオンは自動的に無効になります。パスワードベースのログオンを再度有効にするには、サーバーの設定ファイルを変更する必要があります。詳細については、パスワードベースのログオンの再有効化を参照してください。

シンプルアプリケーションサーバーコンソールにログオンします。
左側のナビゲーションペインで、キーペアをクリックします。
キーペアページで、バインドを解除するキーペアを見つけ、アクション列のサーバーの接続解除をクリックします。
サーバーの接続解除ダイアログボックスで、1 つ以上の Linux シンプルアプリケーションサーバーを選択し、アイコンをクリックします。
確認をクリックします。
サーバーの接続解除ダイアログボックスで、ビジネス要件に基づいてサーバーを今すぐ再起動するかどうかを選択します。
- サーバーを今すぐ再起動する: サーバーの再起動をクリックします。キーペアのバインド解除操作は、サーバーの再起動後に有効になります。
  警告
  再起動操作により、インスタンスが短時間停止し、インスタンス上で実行されているサービスが中断される可能性があります。オフピーク時にインスタンスを再起動することをお勧めします。
- サーバーを後で再起動する: 再起動の延期をクリックします。その後、オフピーク時にサーバーを再起動して、キーペアのバインド解除操作を有効にすることができます。

キーペアの削除

不要になったキーペアを削除するには、シンプルアプリケーションサーバーからキーペアのバインドを解除する必要があります。

シンプルアプリケーションサーバーコンソールにログオンします。
左側のナビゲーションペインで、キーペアをクリックします。
キーペアページで、削除するキーペアを見つけ、アクション列の削除をクリックします。
キーペアの削除メッセージで、OKをクリックします。

FAQ

Q1: 複数のキーペアを使用してシンプルアプリケーションサーバーにログオンするにはどうすればよいですか？

A1: 複数のキーペアを使用してシンプルアプリケーションサーバーにログオンする場合は、シンプルアプリケーションサーバー内の ~/.ssh/authorized_keys ファイルを手動で変更して、複数のキーペアを追加できます。手順:

既存の SSH キーペアを使用して、Linux シンプルアプリケーションサーバーにログオンします。詳細については、キーペアを使用した Linux サーバーへの接続を参照してください。
次のコマンドを実行して、.ssh/authorized_keys ファイルを開きます。
```
sudo vim .ssh/authorized_keys
```

i キーを押して編集モードに入り、公開キー情報を追加または置換します。

既存の公開キー情報の下に新しい公開キー情報を追加して保存できます。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCys3aOkFm1Xh8iN0lijeQF5mz9Iw/FV/bUUduZjauiJa1KQJSF4+czKtqMAv38QEspiWStkSfpTn1g9qeUhfxxxxxxxxxx+XjPsf22fRem+v7MHMa7KnZWiHJxO62D4Ihvv2hKfskz8K44xxxxxxxxxx+u17IaL2l2ri8q9YdvVHt0Mw5TpCkERWGoBPE1Y8vxFb97TaE5+zc+2+eff6xxxxxxxxxx/feMeCxpx6Lhc2NEpHIPxMpjOv1IytKiDfWcezA2xxxxxxxxxx/YudCmJ8HTCnLId5LpirbNE4X08Bk7tXZAxxxxxxxxxx/FKB1Cxw1TbGMTfWxxxxxxxxxx imported-openssh-key
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdlrdZwV3+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIPxxxxxxxxxxx/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcxxxxxxxxxx/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjxxxxxxxxxx+lHtTGiAIRG1riyNRVC47ZEVCg9iTWWGrWFvxxxxxxxxxx/9H9mPCO1Xt2fxxxxxxxxBtmR imported-openssh-key

説明

公開キーファイルに複数の公開キーに関する情報が含まれている場合は、ペアになっている秘密キーを使用して Linux インスタンスにログオンできます。

既存の公開キー情報を削除してから、新しい公開キー情報を追加して保存できます。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdlrdZwV3+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIP6t0Mk5aPkK/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcV14uAy0yV6/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjGACGcXclex+lHtTGiAIRG1riyNRVC47ZEVCg9iTWWGrWFvVlnI0E3Deb/9H9mPCO1Xt2fxxxxxxxxBtmR imported-openssh-key

公開キー情報を追加または置換した後、Esc キーを押して編集モードを終了し、:wq と入力して変更を保存します。
新しい SSH キーペアを使用して Linux インスタンスにログオンします。詳細については、SSH キーペアを使用した Linux インスタンスへの接続を参照してください。
新しい秘密キーを使用して Linux インスタンスにログオンできる場合は、新しい SSH キーペアが追加されたか、古い SSH キーペアが置換されています。

Q2: シンプルアプリケーションサーバーコンソールにインポートするキーペアは、どの暗号化方式を使用する必要がありますか？

A2: 次のいずれかの暗号化方式を使用するキーペアのみをシンプルアプリケーションサーバーコンソールにインポートできます。

rsa
dsa
ssh-rsa
ssh-dss
ecdsa
ssh-rsa-cert-v00@openssh.com
ssh-dss-cert-v00@openssh.com
ssh-rsa-cert-v01@openssh.com
ssh-dss-cert-v01@openssh.com
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521-cert-v01@openssh.com

Q3: キーペアの公開キー情報を表示するにはどうすればよいですか？

A3: キーペアの公開キー情報を表示するには、次の操作を実行します。

オンプレミスの Windows デバイス

公開キー情報を表示するには、次の操作を実行します。

PuTTYgen を起動します。
読み込みをクリックします。
.ppk または .pem ファイルを選択します。
PuTTYgen に公開キー情報が表示されます。

オンプレミスの Linux または macOS デバイス

.pem ファイルのパスを指定した ssh-keygen コマンドを実行します。

ssh-keygen -y -f /path_to_key_pair/my-key-pair.pem

次の例は、返された公開キー情報を示しています。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABA****+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIPxxxxxxxxxx/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcxxxxxxxxxxx/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjxxxxxxxxxx+lHtTGiAIRG1riyNRVC47ZEVCxxxxxx

シンプルアプリケーションサーバー内

Linux シンプルアプリケーションサーバーに接続します。詳細については、キーペアを使用した Linux サーバーへの接続を参照してください。
次のコマンドを実行して、SSH キーペアの公開キー情報を表示します。
```
sudo cat ~/.ssh/authorized_keys
```
説明
公開キー情報は ~/.ssh/authorized_keys ファイルに保存されています。インスタンス上のファイルを開いて、公開キー情報を表示します。

Simple Application Server:Linux シンプルアプリケーションサーバー上のキーペアの管理