SSH キーペアの概要

SSH キーペア (以下、キーペア) は、セキュリティ保護された認証方法で、Alibaba Cloud により提供され、お使いの Linux インスタンスへのリモートログインに利用されます。 ユーザー名とパスワードを使用した認証方法に代わるものです。

キーペアは、公開鍵と秘密鍵で構成されます。 非対称の暗号化機能により、公開鍵がデータの暗号化に使われれ、ローカルクライアントは秘密鍵を使ってデータを解読します。

Linux ECS インスタンスは公開鍵を保存します。 SSH コマンドの入力または、他のツールから、秘密鍵を使用してインスタンスに接続します。 セキュリティを保証するため一度 SSH キーペアが有効化されると、ECS によりユーザー名とパスワードによる認証は無効化されます。

メリット

典型的なユーザー名とパスワードによる認証に比べて、SSH キーペアは以下のようなメリットがあります。

高いセキュリティ

SSH キーペアを使った Linux インスタンスへのログインは、セキュリティおよび信頼性がより高くなります。

  • キーペアは、パスワードクラッキングを標的とした総当たり攻撃(ブルートフォースアタック)を防ぎます。

  • たとえ公開鍵が悪意を持って取得されたとしても、複雑な RSA 暗号化により秘密鍵は推測されることはありません。

使いやすさ

  • ECS コンソールおよびローカルクラインアントで、設定したキーペアによりインスタンスにリモートでログインできます。つまり、ログインの度にパスワードを入力する必要はありません。

  • 複数の ECS インスタンスを管理する場合は、この方法を推奨します。

制限

SSH キーペアの利用には、以下のような制限があります。

  • Linux インスタンスのみへ適用
  • Alibaba Cloud による 2048-bit RSA キーペアの作成のみのサポート
    • Alibaba Cloud がキーペアの公開鍵を保持します。
    • キーペアの作成後、秘密鍵をダウンロードし、セキュリティ保護された状態で保存する必要があります。
    • 秘密鍵は、非暗号化の PEM でエンコードされた PKCS#8 形式です。
  • それぞれの Alibaba Cloud アカウントでリージョンごとに最大 500 のキーペアを保有可能
  • 一度に Linux インスタンスに対して 1 つの SSH キーペアのみ追加可能。 キーペアがすでにお使いのインスタンスに追加されている場合、新しいキーペアが、これまで使用していたキーペアに置き換えられます。
  • Linux インスタンスのライフサイクルの間、いつでも SSH キーペアを追加、または削除が可能。 キーペアを追加または削除した後、変更が適用されるように「インスタンスの再起動」を行う必要があります。
  • Generation I の I/O 最適化インスタンスを除く、任意の「インスタンスタイプファミリー」のすべてのインスタンスが、SSH キーペアをサポート

SSH キーペアの作成

SSH キーペアの作成には、以下のどちらかの方法を利用できます。

  • ECS コンソールでの SSH キーペアの作成
    ECS コンソールでキーペアを作成したら、後で使用するために秘密鍵をすぐにダウンロードし、セキュリティ保護された状態で保存します。 ECS インスタンスに対して SSH キーペア認証が有効化された場合、キーペアの秘密鍵以外で ECS インスタンスにログインできません。
  • 他のキーペアビルダーでSSHキーペアを作成し、ECSへ「キーペアをインポート」する

    以下ようなのキータイプがサポートされます。

    • rsa
    • dsa
    • ssh-rsa
    • ssh-dss
    • ecdsa
    • ssh-rsa-cert-v00@openssh.com
    • ssh-dss-cert-v00@openssh.com
    • ssh-rsa-cert-v01@openssh.com
    • ssh-dss-cert-v01@openssh.com
    • ecdsa-sha2-nistp256-cert-v01@openssh.com
    • ecdsa-sha2-nistp384-cert-v01@openssh.com
    • ecdsa-sha2-nistp521-cert-v01@openssh.com

関連する操作