すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:概要

最終更新日:Jan 19, 2024

Alibaba Cloudは、Elastic Compute Service (ECS) インスタンスへのログオンに、安全で便利なキーペアベースの認証方法を提供します。 SSHキーペアは、インスタンスに接続するときにECSインスタンスへの認証に使用できるセキュリティ認証情報のセットです。 SSHキーペアを使用して、Linuxインスタンスにのみログインできます。

概要

SSHキーペアは、暗号化アルゴリズムに基づいて生成された公開キーと秘密キーで構成されます。 デフォルトでは、キーはRSA-2048アルゴリズムを使用して暗号化されます。 LinuxインスタンスにSSH接続する場合は、SSHキーペアを作成する必要があります。 次に、Linuxインスタンスの作成時にSSHキーペアを指定するか、インスタンスの作成後にSSHキーペアをインスタンスにバインドできます。 これにより、キーペアの秘密鍵を使用してインスタンスに接続できます。

SSHキーペアを作成したら、次の項目に注意してください。

  • Alibaba Cloudは、キーペアの公開キーを保存します。 キーペアがLinuxインスタンスにバインドされた後、キーペアの公開キーは ~/.ssh/authorized_keysファイルに格納されます。

  • 秘密鍵を安全な場所にダウンロードして保存します。 秘密鍵は暗号化されない。 これは、公開鍵暗号化規格 (PKCS) #8形式であり、プライバシー強化メール (PEM) でエンコードされています。

利点

SSHキーペアベースの認証には、ユーザー名 /パスワードベースの認証に対して次の利点があります。

  • セキュリティの向上: SSHキーペアは、認証のセキュリティと信頼性を高めます。

    • SSHキーペアは、ブルートフォース攻撃に対して通常のパスワードよりも安全です。

    • 公開鍵が不正に取得されたとしても、公開鍵から秘密鍵を推定することはできない。

  • 使いやすさ:

    • Linuxインスタンスで公開鍵を設定する場合は、SSHコマンドを実行するか、接続ツールを使用して、パスワードではなく対応する秘密鍵を使用してインスタンスにログインできます。

    • SSHキーペアを使用して、多数のLinuxインスタンスに同時にログインできます。 これにより、より便利な方法でインスタンスを管理できます。 複数のLinuxインスタンスを一括管理する場合は、この認証方法を使用することを推奨します。

制限事項

SSHキーペアには次の制限があります。

  • SSHキーペアはLinuxインスタンスでのみサポートされます。

  • SSHキーペアを使用してLinuxインスタンスにログインすると、セキュリティを強化するためにユーザー名 /パスワードベースの認証方法が無効になります。

  • ECSコンソールで作成できるのは、2048ビットRSAキーペアのみです。

  • Alibaba Cloudアカウントでは、リージョンごとに最大500のSSHキーペアを保持できます。

  • ECSコンソールでSSHキーペアをLinuxインスタンスにバインドする場合、1つのSSHキーペアのみをLinuxインスタンスにバインドできます。

    • キーペアがすでにインスタンスにバインドされている場合、新しいキーペアはインスタンス上の元のキーペアを置き換えます。

    • Linuxインスタンスで複数のキーペアを使用する場合は、インスタンスの ~/.ssh/authorized_keysファイルを変更して、キーペアを追加できます。 詳細については、「SSHキーペアの追加または置換」をご参照ください。

  • 廃止されたインスタンスタイプのインスタンスは、SSHキーペアをサポートしていません。 詳細は、「廃止されたインスタンスタイプ」をご参照ください。

  • データセキュリティのため、実行中 (実行中) 状態のインスタンスにSSHキーペアをバインドまたはバインド解除した後、インスタンスを再起動して操作を有効にします。

SSHキーペアの作成方法

次のいずれかの方法を使用して、SSHキーペアを作成できます。

  • ECSコンソールでSSHキーペアを作成します。 デフォルトでは、キーはRSA-2048アルゴリズムを使用して暗号化されます。 詳細については、「SSH キーペアの作成」をご参照ください。

    重要

    ECSコンソールでキーペアを作成する場合は、秘密鍵をダウンロードして安全な場所に保存します。 キーペアをインスタンスにバインドした後、秘密キーがない場合はインスタンスにログインできません。

  • キーペアジェネレーターを使用してSSHキーペアを作成し、そのキーペアをECSコンソールにインポートします。 インポートしたキーペアは、次のいずれかの暗号化方法をサポートする必要があります。

    • rsa

    • dsa

    • ssh-rsa

    • ssh-dss

    • ecdsa

    • ssh-rsa-cert-v00@openssh.com

    • ssh-dss-cert-v00@openssh.com

    • ssh-rsa-cert-v01@openssh.com

    • ssh-dss-cert-v01@openssh.com

    • ecdsa-sha2-nistp256-cert-v01@openssh.com

    • ecdsa-sha2-nistp384-cert-v01@openssh.com

    • ecdsa-sha2-nistp521-cert-v01@openssh.com