Di mana AWS EC2 Key Pair disimpan?

9

Bisakah Anda menyarankan tempat aman untuk menyimpan pasangan kunci yang terkait dengan instance EC2?

Apakah aman untuk menyimpan hal-hal semacam ini di dalam penyimpanan S3 Amazon jika terbatas pada akun Anda?

Saat ini saya memilikinya di PC saya ... di rumah. Apakah itu buruk?

amazon-ec2 amazon-web-services Luke
sumber
3
Itu tergantung. Jika Anda seorang bank, itu mungkin sangat buruk. Jika itu untuk blog Anda, mungkin baik-baik saja. S3 mungkin ide yang bagus, mungkin ide yang buruk jika izin Anda tercampur.
ceejayoz

Jawaban:

11

Cara terbaik untuk melindungi keypairs EC2 Anda, yang hanya kunci SSH, adalah mengenkripsi mereka dengan frasa sandi (dan ikuti proses manajemen kata sandi normal Anda untuk frasa sandi itu). Dengan asumsi Anda menggunakan linux, Anda dapat menggunakannya ssh-keygen -p -f $fileuntuk mengenkripsi kunci. Anda harus menyimpan cadangan, terutama yang diamankan secara fisik (yaitu thumb drive di brankas atau sesuatu). Saya berasumsi Anda berbicara tentang setengah dari kunci, karena kunci publik jelas milik publik.

Secara teoritis, akan lebih baik untuk menyimpan kunci pada TPM di workstation Anda, atau di smartcard, tetapi biasanya ada masalah praktis dengan solusi ini ketika berhadapan dengan kunci SSH.

Apakah buruk menyimpan kunci pada PC di rumah Anda tergantung pada apakah ini merupakan pelanggaran kebijakan. Jika tidak, jujur, ada sedikit alasan untuk menganggap ini lebih buruk daripada menyimpannya di laptop yang Anda gunakan untuk bekerja.

Anda tentu dapat menyimpan cadangan kunci di S3 (bukan cadangan fisik). Model ancaman sedemikian rupa sehingga Anda sudah mengalami hari yang sangat buruk (dalam hal kebocoran data dan gangguan layanan, antara lain) jika seseorang dapat mengakses akun AWS Anda. Tetapi, kecuali ada beberapa prinsip keamanan yang mungkin memiliki akses ke bucket S3 dengan kunci Anda tetapi tidak diizinkan masuk ke mesin, Anda perlu mencari cara lain. Jika Anda menyimpan salinan di S3, setidaknya pastikan itu dienkripsi dengan frasa sandi.

Falcon Momot
sumber
6

Nah, kunci publik dapat disimpan di mana pun Anda suka. Tato di dahi Anda, misalnya. :)

Kunci pribadi adalah apa yang perlu Anda lindungi, karena itu benar-benar identitas Anda. Siapa pun yang mendapatkan kunci Anda (tidak terenkripsi) dapat menggunakan server Anda. Jadi, lindungi dan cadangkan seperti yang Anda lakukan pada file penting namun rahasia lainnya. Enkripsi dan simpan di flash drive, cetak di atas kertas dan simpan di tempat aman sebagai pilihan terakhir, dll. Jika Anda ingin menyimpannya di S3, itu mungkin baik, tapi saya hanya akan melakukannya di dalamnya formulir terenkripsi.

EEAA
sumber
4
Itu satu tato panjang.
Bob
4
Gagasan @Coulton EEAA tidak seburuk itu. Tato itu sebagai kode QR di dahi Anda kemudian miliki sesuatu yang mengotentikasi Anda ke instance Anda ketika Anda menghadapi webcam Anda.
PNDA
4
Nyebelin ketika Anda perlu memutar kunci Anda.
EEAA