AWS EC2更换密钥对

原创已于 2023-12-28 12:52:20 修改 · 3.4k 阅读

7 ·

本内容遵循CC 4.0 BY-SA版权协议

标签

#aws #云计算

收录于

于 2023-12-24 15:48:52 首次发布

本文详细描述了如何在AWSEC2中安全地替换SSH密钥对，包括创建新密钥、将其添加到EC2实例的authorized_keys、以及验证更换是否成功的过程。建议操作前备份原有文件。

首先我们准备一个新的密钥对，如果你已经有新的密钥对可以跳过这个步骤

第二步，连接EC2进行修改

我们把创建好新密钥放进EC2里面并使用chmod 400给只读权限
执行ssh-keygen -y 输入密钥文件的地址获取密钥信息
将输出的密钥信息复制到 .ssh/authorized_keys 覆盖掉之前的密钥信息，保存。(建议做操作之前进行文件备份，防止失败后不可复原)

第三步，测试密钥更换是否成功

官方参考链接：

https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/replacing-key-pair.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

AWS亚马逊云服务全球代理

关注关注

9
点赞
踩
7

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

1 条评论您还未登录，请先登录后发表或查看评论

博客

AWS LightSail创建与连接

04-27

757

介绍什么是AWS Lightsail？AWS Lightsail 是亚马逊云计算服务（AWS）提供的一项简化云计算资源管理的服务。它旨在为用户提供一种简单、低成本的方式来启动和管理虚拟私有服务器（VPS）。Lightsail 主要面向需要快速部署应用程序、网站或开发环境的小型企业、开发人员和初创公司。实操创建AWS Lightsail在AWS控制台的搜索栏上搜索LightSail，并点击进入然后点击实例，然后点击创建实例创建实例的时候，主要是关注区域，镜像，套餐。首先是区域选择。

博客

AWS Wavelength入门,创建并连接

04-22

1435

由于Wavelength实例是不能分配外网ip的，只有运营商ip，而这个ip是不能通过公网ssh连接到实例的，所以我们需要创建两个ec2实例，一个普通ec2，一个Wavelength的ec2，再由普通ec2通过内网将流量转发到Wavelength的ec2。

博客

Route53注册域名

02-15

847

的托管DNS和域名注册服务，用于管理和托管域名系统（DNS）记录以及注册域名。输入个人信息：邮箱格外重要，需要填写十分钟后会让邮箱验证，点击邮箱收到的连接即可。2、搜索想要的域名，越短越贵，可以选择想要的域名进行注册。Amazon Route 53是。

博客

AWS 使用DMS进行迁移EC2自建的数据库迁移到RDS上和其他工具迁移及使用

12-04

1831

本次教程是AWS的EC2迁移到同一个VPC的RDS数据库上，EC2采用的是Ubuntu系统，mysql8.0.24版本。然后使用DMS进行全量迁移和增量迁移。

博客

创建AWS RDS数据库及参数组并连接

12-02

1643

建议在创建RDS数据库先创建参数组，特别是参数组,默认的参数组里的参数是无法修改的，所以自己创建一个参数组很有必要。

博客

AWS 如何创建EC2以及连接EC2实例

11-20

3743

本文详细介绍了在AWS云平台上创建EC2实例(Elastic Compute Cloud,弹性计算云)以及连接EC2实例的步骤。首先,通过AWS管理控制台选择所需的EC2实例类型、操作系统、存储和网络配置等参数,启动新的EC2实例。其次,根据所使用的操作系统不同,介绍了通过SSH(Linux)或EC2 Instance Connect连接EC2实例的方法。

博客

AWS RDS 日志发布到 Amazon CloudWatch Logs

11-07

1283

long_query_time：要防止在慢速查询日志中记录快速运行的查询，请指定需要记录的最短查询运行时间值，以秒为单位。log_queries_not_using_indexes：要将所有不使用索引的查询记录到慢速查询日志，请设置为 1。进入到RDS的详细页面点击配置，在已发布日志那里可以看日志点击可以看记录（注意如果数据库实例参数组出现等待重启意味着参数组要在重启后生效，因为修改了long_query_time这个参数）slow_query_log：要创建慢速查询日志，请设置为 1。

博客

AWS EC2 ubuntu 使用密码登陆

11-07

1030

第五步：进入/etc/ssh/sshd_config.d目录，目录下会有一个*-settings.conf的文件。PermitRootLogin和PasswordAuthentication 修改为yes。编辑这个文件，内容改为 PasswordAuthentication yes。第三步：为root用户或者其它用户配置密码 passwd user。第四步：修改 /etc/ssh/sshd_config。第一步：先以ubuntu用户登陆 EC2。第六步：重启ssh服务。第七步：验证密码登陆。

博客

使用STS服务通过AssumeRole方式为role生成临时密钥凭证

11-07

1156

这一步选什么并不重要，只是根据使用案例有相对应的最佳解决方案，可根据建议的替代方案进行使用。然后去其他EC2验证将以下内容替换掉，输入以下命令，然后再执行相关服务命令。选择直接附加策略，选择刚才创建sts-iam策略，点击下一步之后创建用户。role-arn填需要获取临时凭证的role角色ARN，请参数参数文档。创建完进入该用户详情页面，点击安全凭证，创建访问密钥。第一步：创建一个具有AssumeRole权限的策略。第二步创建一个IAM用户附加权限并创建长期凭证。输入一个名称，点击创建策略。

博客

AWS 使用S3备份同账户跨区域迁移 ElastiCache Redis 集群

11-07

1444

备份源选择其他备份，将刚才复制的文件路径复制进去s3://redisre25/cjbtest2s3-0001.rdb 去掉前面的s3://。2.为S3存储桶命名、启用ACL和启用存储桶版本控制，其余保持默认创建存储桶。完成后可以在新加坡的桶里看到备份文件,然后像第三步一样授予 ElastiCache 对 S3 存储桶的访问权限即可。导出完成后可以看到三个.rdb文件，因为我们的redis集群有三个节点。创建的时候，可以在控制台左侧导航中的事件，查看日志信息。创建的时候去复制.rdb文件的路径一会用的到。

博客

AWS 为 EC2 获取IPV6地址

11-07

1057

验证访问 http://[IPV6地址] 注意IPV6地址在网页访问是要带方括号[ ]在EC2控制台选择EC2在下面信息框中点击联网，点击接口ID跳到对应的网络接口网页。在VPC子网的控制台下选择想要添加IPV6的子网，点击操作→编辑IPV6CIDR。在VPC控制台中选中要开启IPV6的VPC，点击操作→编辑CIDR。第三步：将 IPv6 默认路由添加到具有 IGW 目标的子网路由表。第二步：将 IPv6 子网添加到 EC2 子网。第四步：给现有的EC2添加IPV6地址。点击添加新的IPv6 CIDR。

博客

AWS S3 同账户不同区域复制数据

11-07

944

如果复制的对象很少被访问，但需要在几毫秒内检索，则可以选择 Glacier Instant Retrieval，或者选择 Glacier Deep Archive 来归档很少需要访问的数据。需要将某一个区域的S3存储桶，转移到另一个区域的S3存储桶来实现迁移、多地备份保护数据、存储在多个地理位置为用户提供低延迟访问等需求。将弗吉尼亚北部（us-east-1）S3桶的内容复制到新加坡（ap-southeast-1）S3桶里去。这里需要将源桶内的对象全部复制目的桶里，选择在新加坡的桶，也要点击启用版本控制。

博客

使用EC2 Userdata为丢失密钥的EC2更换密钥

08-22

1689

背景描述：因为AWS密钥只允许创建好后第一时刻下载一次，之后下载完之后不再支持下载。因此保护密钥成是重中之重,更改换密钥也有多种方式其中官方介绍的五种方式：恢复方法 1：使用 EC2 用户数据（Userdata）恢复方法 2：使用 Amazon Systems Manager恢复方法 3：使用 EC2 Instance Connect恢复方法 4：使用 EC2 Serial Console恢复方法 5：使用 EBS Volume Swap。

博客

AWS Cloudfront 限制对 Application Load Balancer 的访问

08-21

2081

第一步：进到相应Cloudfront内，点击源进行编辑添加标头请使用随机生成的值。将标头名称和值视为安全凭证，如用户名和密码。第二步：添加负载均衡器侦听器规则选择一个目标组设置优先级然后修改原来规则，然后它返回403或者其它第三步：修改完成后验证访问ALB应该如图再访问对应的Cloudfront。

博客

在AWS中为 EC2 实例上的网站或应用程序启用https证书方式三：Cloudfront

08-21

7036

因为Cloudfront的流量费用在这几个当中是最便宜的了，并且依靠Cloudfront的特性：全球内容分发、DDoS 缓解、静态内容缓存等等。因为cloud front有自带证书所以访问是https，但是Cloudfront的域名无法自定义也不好记，肯定要用回自己的域名和证书。去route 53创建一条相关记录，记录名称那里要和前面Cloudfront的记录一样才能找到别名记录。因为我们想要访问的网站就显示https,其余根据实际需求来，这里暂时关闭WAF保护其余保持默认。

博客

在AWS中为 EC2 实例上的网站或应用程序启用https证书方式二：负载均衡器（ALB）

08-21

1292

这里是做了一个http重定向https的操作，当然不做也是可以直接443转发到目标组（注意：目标组端口得是80，如果填的443本身EC2服务器上并没有安装证书这个端口肯定是访问不了）只是怕有些用户会发http请求无法访问。一个域名，一台EC2服务器（OS:Amazon Linux 2023(Fedora)），使用nginx作为网页服务器，负载均衡器和自动扩展组（可选：实验里没有建议实际环境要有）。如果使用的是route53,可以在ACM申请免费的公有证书（其它域名厂商也可以，只要记录做对）

博客

在AWS中为 EC2 实例上的网站或应用程序启用https证书方式一：第三方证书（Let’s Encrypt）

08-20

1722

因为ACM上面申请的免费公有证书无法下载到服务器上使用，所以在某处的流量是要以http进行通信的。这方案的缺点是证书无法自动续签，需要自己手动续签保持证书不过期不影响使用（最下面有参考链接）。原本Amazon Linux 2023系统是Fedora，但是软件库里面并没有snapd除非自己去加，所以这里采取pip更加通用的方式去做 ,根据官网的指示去做。运行此命令以获取证书并让 Certbot 自动编辑您的 nginx 配置以提供服务，只需一步即可启用 HTTPS 访问。3.安装 Certbot。

博客

使用Transit Gateway实现同账户不同区域不同VPC对等连接

08-20

805

在一个账户中有多个地区的多个VPC需要进行通信，如果使用VPC对等连接就要建立大量的对等连接数，而Transit Gateway可以实现。去到中转网关路由表找到对应的路由表创建静态路由，建立路由项,类外一个中转网关路由表也一样创建对应路由项。最后测试，测试的EC2的安全组要开放ICMP，不然也ping不通。另外一个VPC重复以上操作，来创建中转网关挂载。修改VPC路由表，添加中转网关挂载，另一个也一样。1.创建一个中转网关，分别在两个区域都要创建。2.为每一个VPC创建中转网关挂载。

博客

AWS S3跨账户迁移复制

08-20

1477

arn:aws:iam::SourceBucket-account-ID:role/source-account-IAM-role：填写在源账户的创建的角色arn。如果后续遇到什么期限问题也可以权限临时全开（如源桶账号为⾃主可控，可先attach s3-full-access 权限，后续控制最⼩权限）ObjectDestinationBucket：是目标账户的桶 ObjectSourceBucke：源账户的桶。arn:aws:s3:::DESTINATION-BUCKET:填写目标桶的arn。

博客

为ALB配置S3存储日志

08-19

842

划到下面监控，将 S3 存储路径输入进去。建议访问日志和连接日志分开存放，保存更改。去到 S3 桶对应的文件夹查看，会发现 AWSLogs 这个文件夹被创建。:root"#标红的 elb-account-id 是新加坡。第三步，来到 EC2 控制台找到要配置的负载均衡器。如果你地区不一样请查看上面的官方文档链接查找替代。前置条件：一个负载均衡器和同一区域的 S3 桶。进到该负载均衡器的信息页面招待属性，点击编辑。到最后的路径下可以看到两个测试文件。第二步为 S3 桶配置桶策略。第四步验证是否成功。