EC2 키 페어

Source: Dev.to

EC2 키 페어

• 공개 키 – AWS에 저장되며 EC2 인스턴스(~/.ssh/authorized_keys)에 배치됩니다.
• 개인 키 – 로컬 머신으로 다운로드됩니다; AWS는 이를 절대 저장하지 않으며 다운로드 후에는 복구할 수 없습니다.

EC2 키 페어 작동 방식

1. 인스턴스를 시작할 때 기존 키 페어를 선택하거나 AWS가 새 키 페어를 생성하도록 할 수 있습니다.
2. 생성 후 개인 키를 다운로드하고, AWS는 자체 측에서 해당 키를 삭제합니다.
3. 공개 키는 인스턴스의 ~/.ssh/authorized_keys 파일에 저장됩니다.
4. SSH 연결은 비밀번호 대신 개인 키를 사용합니다.

참고: EC2 콘솔에서 키 페어를 제거해도 해당 인스턴스 루트 볼륨에 있는 공개 키는 삭제되지 않습니다. 사전 구축된 AMI에서 이미 키가 포함된 상태로 인스턴스를 시작하면, 기존 공개 키와 새 공개 키가 모두 존재하게 되어 두 개인 키 중 어느 것이든 SSH 접속이 가능합니다.

인스턴스 연결 (Instance Connect)

1. 사용자가 EC2 Instance Connect API를 통해 연결을 시작합니다.
2. Instance Connect가 임시 키 페어를 생성합니다.
3. 임시 공개 키가 인스턴스 메타데이터를 통해 인스턴스로 전송되며, 60초 동안만 유효합니다.
4. EC2 Instance Connect는 임시 개인 키를 사용해 (AWS IP 주소 범위 내에서) 인스턴스에 SSH 접속합니다.
5. 세션은 CloudTrail에 기록됩니다.

개인 키 분실 시 접근 복구 방법

1. EC2 콘솔에서 새 키 페어를 생성합니다.
2. 영향을 받은 EC2 인스턴스를 중지합니다.
3. 해당 인스턴스의 루트 EBS 볼륨을 분리합니다.
4. 볼륨을 임시 EC2 인스턴스에 보조 볼륨으로 연결합니다.
5. 볼륨을 마운트하고(자동 마운트되지 않은 경우) ~/.ssh/authorized_keys 파일을 편집하여 새 공개 키를 추가합니다.
6. 임시 인스턴스에서 볼륨을 분리하고 원래 인스턴스에 다시 연결합니다.
7. 원래 인스턴스를 시작합니다; 이제 새로 만든 개인 키를 사용해 SSH 접속이 가능합니다.