キーペアの作成 - Simple Application Server - Alibaba Cloud ドキュメントセンター

Alibaba Cloud は、シンプルアプリケーションサーバーへのログインに、セキュアで便利な SSH キーペアベースの認証方式を提供しています。キーペアは、SSH プロトコルを介した認証と暗号化通信に使用されます。SSH キーペアは、公開鍵と秘密鍵で構成されています。 Linux を実行するシンプルアプリケーションサーバーのみが SSH キーペアをサポートしています。SSH キーペアを使用すると、シンプルアプリケーションサーバーにセキュアかつ便利にログインできます。このトピックでは、シンプルアプリケーションサーバーコンソールで SSH キーペアを作成、インポート、バインド、バインド解除、および削除する方法について説明します。

メリット

SSH キーペアベースの認証は、ユーザー名/パスワードベースの認証に比べて以下のメリットがあります。

セキュリティの向上: SSH キーペアは、認証のセキュリティと信頼性を向上させます。
- SSH キーペアは、ブルートフォース攻撃に対して通常のパスワードよりも安全です。
- 公開鍵が悪意を持って取得されたかどうかに関係なく、秘密鍵を公開鍵から推測することはできません。
使いやすさ:
- Linux インスタンスに公開鍵を構成すると、対応する秘密鍵を使用して SSH コマンドを実行するか、接続ツールを使用してインスタンスにログインできます。パスワードは不要です。
- SSH キーペアを使用して、複数の Linux インスタンスに同時にログインできます。このようにして、インスタンスをより便利に管理できます。複数の Linux インスタンスをバッチで管理する場合は、SSH キーペアベースの認証方式を使用することをお勧めします。

使用上の注意

Linux を実行するシンプルアプリケーションサーバーのみが SSH キーペアをサポートしています。
リージョンごとに Alibaba Cloud アカウントに対して最大 10 個のキーペアを作成できます。
シンプルアプリケーションサーバーコンソールでは、2048 ビット RSA キーペアのみを作成できます。

キーペアの作成またはインポート

シンプルアプリケーションサーバーコンソールでキーペアを作成するか、既存のキーペアをインポートできます。その後、キーペアをシンプルアプリケーションサーバーにバインドし、キーペアを使用してサーバーにログインできます。

シンプルアプリケーションサーバーコンソールのキーペアページに移動します。
[キーペア] ページで、[キーペアの作成] をクリックします。

[キーペアの作成] ダイアログボックスで、画面の指示に従ってパラメーターを構成し、[確認] をクリックします。

キーペアの自動作成

次の表に、構成する必要のあるパラメーターを示します。

パラメーター	説明
キーペア名	キーペアの名前を入力します。名前は 2 ～ 64 文字で、文字、数字、コロン（:）、アンダースコア（_）、ハイフン（-）を含めることができます。名前は文字で始める必要があります。
作成モード	キーペアの自動生成を選択します。

重要

キーペア情報は、.pem ファイルとしてオンプレミスのコンピューターに自動的にダウンロードされます。キーペアは一度だけダウンロードできます。後で取得することはできません。キーペアは機密にしてください。
ダウンロードページが表示されない場合は、ブラウザにブロックメッセージが表示されているかどうかを確認してください。

既存のキーペアのインポート

既存のキーペアをシンプルアプリケーションサーバーコンソールにインポートできます。その後、キーペアをシンプルアプリケーションサーバーにバインドし、キーペアを使用してサーバーにログインできます。インポートするキーペアは、サポートされている暗号化方式を使用している必要があります。詳細については、「Q2: シンプルアプリケーションサーバーコンソールにインポートするキーペアは、どの暗号化方式を使用する必要がありますか?」をご参照ください。

次の表に、構成する必要のあるパラメーターを示します。

パラメーター	説明
キーペア名	キーペアの名前を入力します。名前は 2 ～ 64 文字で、文字、数字、コロン（:）、アンダースコア（_）、ハイフン（-）を含めることができます。名前は文字で始める必要があります。
作成モード	キーペアのインポートを選択します。
公開鍵の内容	インポートするキーペアの公開鍵をコードエディターにコピーします。[Base64 プレビュー] にポインターを移動すると、公開鍵の形式を確認できます。インポートするキーペアの公開鍵情報を取得する方法については、「Q3: キーペアの公開鍵情報はどのように表示しますか?」をご参照ください。

[キーペアの作成] ダイアログボックスで、キーペアをシンプルアプリケーションサーバーに今すぐバインドするかどうかを選択できます。
キーペアを作成した後にバインドすることもできます。詳細については、「キーペアをシンプルアプリケーションサーバーにバインドする」をご参照ください。

キーペアをシンプルアプリケーションサーバーにバインドする

バインドするシンプルアプリケーションサーバーは、[実行中] または [停止] 状態である必要があります。

重要

シンプルアプリケーションサーバーコンソールでは、1 つのシンプルアプリケーションサーバーに 1 つのキーペアのみバインドできます。シンプルアプリケーションサーバーにキーペアがバインドされている場合、新しくバインドされたキーペアは、以前にバインドされたキーペアを上書きします。
シンプルアプリケーションサーバーにキーペアをバインドした後、サーバー上の root アカウントのパスワードベースのログインは自動的に無効になります。パスワードベースのログインを再度有効にするには、サーバーの構成ファイルを変更する必要があります。詳細については、「パスワードベースのログインを再度有効にする」をご参照ください。
複数のキーペアを使用してシンプルアプリケーションサーバーにログインする場合は、サーバー内の ~/.ssh/authorized_keys ファイルを変更して、複数のキーペアを追加できます。詳細については、「Q1: 複数のキーペアを使用してシンプルアプリケーションサーバーにログインするにはどうすればよいですか?」をご参照ください。

シンプルアプリケーションサーバーコンソールのキーペアページに移動します。
[キーペア] ページで、バインドするキーペアを見つけ、[アクション] 列の [サーバーのアタッチ] をクリックします。
[サーバーのアタッチ] ダイアログボックスで、1 つ以上の Linux シンプルアプリケーションサーバーを選択し、アイコンをクリックします。
[確認] をクリックします。
[サーバーのアタッチ] ダイアログボックスで、ビジネス要件に基づいてサーバーを今すぐ再起動するかどうかを選択します。
- サーバーを今すぐ再起動する: [今すぐ再起動] をクリックします。キーペアは、サーバーの再起動後に有効になります。
  警告
  再起動操作により、インスタンスは短時間停止し、インスタンスで実行されているサービスが中断される可能性があります。オフピーク時にインスタンスを再起動することをお勧めします。
- サーバーを後で再起動する: [再起動を延期] をクリックします。その後、オフピーク時にサーバーを再起動して、キーペアを有効にすることができます。

キーペアが有効になったら、キーペアを使用してシンプルアプリケーションサーバーにログインできます。詳細については、「キーペアを使用して Linux サーバーに接続する」をご参照ください。

キーペアのバインド解除

シンプルアプリケーションサーバーにバインドされている SSH キーペアを変更する場合、またはエンドユーザーの 1 人が特定のシンプルアプリケーションサーバーにアクセスする必要がなくなった場合は、シンプルアプリケーションサーバーから SSH キーペアのバインドを解除して、シンプルアプリケーションサーバーのセキュリティを向上させるか、特定のシンプルアプリケーションサーバーへのアクセスを制限できます。

重要

シンプルアプリケーションサーバーのキーペアを作成し、キーペアを有効にするためにサーバーを再起動した後、サーバー上の root アカウントのパスワードベースのログインは自動的に無効になります。パスワードベースのログインを再度有効にするには、サーバーの構成ファイルを変更する必要があります。詳細については、「パスワードベースのログインを再度有効にする」をご参照ください。

シンプルアプリケーションサーバーコンソールのキーペアページに移動します。
[キーペア] ページで、バインドを解除するキーペアを見つけ、[アクション] 列の [サーバーのデタッチ] をクリックします。
[サーバーのデタッチ] ダイアログボックスで、1 つ以上の Linux シンプルアプリケーションサーバーを選択し、アイコンをクリックします。
[確認] をクリックします。
[サーバーのデタッチ] ダイアログボックスで、ビジネス要件に基づいてサーバーを今すぐ再起動するかどうかを選択します。
- サーバーを今すぐ再起動する: [サーバーの再起動] をクリックします。キーペアのバインド解除操作は、サーバーの再起動後に有効になります。
  警告
  再起動操作により、インスタンスは短時間停止し、インスタンスで実行されているサービスが中断される可能性があります。オフピーク時にインスタンスを再起動することをお勧めします。
- サーバーを後で再起動する: [再起動を延期] をクリックします。その後、オフピーク時にサーバーを再起動して、キーペアのバインド解除操作を有効にすることができます。

キーペアの削除

不要になったキーペアを削除するには、シンプルアプリケーションサーバーからキーペアのバインドを解除する必要があります。

シンプルアプリケーションサーバーコンソールのキーペアページに移動します。
[キーペア] ページで、削除するキーペアを見つけ、[アクション] 列の [削除] をクリックします。
[キーペアの削除] メッセージで、[OK] をクリックします。

FAQ

Q1: 複数のキーペアを使用してシンプルアプリケーションサーバーにログインするにはどうすればよいですか?

A1: 複数のキーペアを使用してシンプルアプリケーションサーバーにログインする場合は、シンプルアプリケーションサーバー内の ~/.ssh/authorized_keys ファイルを手動で変更して、複数のキーペアを追加できます。手順:

既存の SSH キーペアを使用して Linux シンプルアプリケーションサーバーにログインします。詳細については、「キーペアを使用して Linux サーバーに接続する」をご参照ください。
次のコマンドを実行して、.ssh/authorized_keys ファイルを開きます。
```
sudo vim .ssh/authorized_keys
```

i キーを押して編集モードに入り、公開鍵情報を追加または置き換えます。

既存の公開鍵情報の下に新しい公開鍵情報を追加して保存できます。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCys3aOkFm1Xh8iN0lijeQF5mz9Iw/FV/bUUduZjauiJa1KQJSF4+czKtqMAv38QEspiWStkSfpTn1g9qeUhfxxxxxxxxxx+XjPsf22fRem+v7MHMa7KnZWiHJxO62D4Ihvv2hKfskz8K44xxxxxxxxxx+u17IaL2l2ri8q9YdvVHt0Mw5TpCkERWGoBPE1Y8vxFb97TaE5+zc+2+eff6xxxxxxxxxx/feMeCxpx6Lhc2NEpHIPxMpjOv1IytKiDfWcezA2xxxxxxxxxx/YudCmJ8HTCnLId5LpirbNE4X08Bk7tXZAxxxxxxxxxx/FKB1Cxw1TbGMTfWxxxxxxxxxx imported-openssh-key
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdlrdZwV3+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIPxxxxxxxxxxx/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcxxxxxxxxxx/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjxxxxxxxxxx+lHtTGiAIRG1riyNRVC47ZEVCg9iTWWGrWFvxxxxxxxxxx/9H9mPCO1Xt2fxxxxxxxxBtmR imported-openssh-key

説明

公開鍵ファイルに複数の公開鍵に関する情報が含まれている場合は、ペアになっている秘密鍵を使用して Linux インスタンスにログインできます。

既存の公開鍵情報を削除してから、新しい公開鍵情報を追加して保存できます。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdlrdZwV3+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIP6t0Mk5aPkK/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcV14uAy0yV6/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjGACGcXclex+lHtTGiAIRG1riyNRVC47ZEVCg9iTWWGrWFvVlnI0E3Deb/9H9mPCO1Xt2fxxxxxxxxBtmR imported-openssh-key

公開鍵情報を追加または置き換えたら、Esc キーを押して編集モードを終了し、:wq と入力して変更を保存します。
新しい SSH キーペアを使用して Linux インスタンスにログインします。詳細については、「SSH キーペアを使用して Linux インスタンスに接続する」をご参照ください。
新しい秘密鍵を使用して Linux インスタンスにログインできる場合は、新しい SSH キーペアが追加されたか、古い SSH キーペアが置き換えられています。

Q2: シンプルアプリケーションサーバーコンソールにインポートするキーペアは、どの暗号化方式を使用する必要がありますか?

A2: 次のいずれかの暗号化方式を使用するキーペアのみをシンプルアプリケーションサーバーコンソールにインポートできます。

rsa
dsa
ssh-rsa
ssh-dss
ecdsa
ssh-rsa-cert-v00@openssh.com
ssh-dss-cert-v00@openssh.com
ssh-rsa-cert-v01@openssh.com
ssh-dss-cert-v01@openssh.com
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521-cert-v01@openssh.com

Q3: キーペアの公開鍵情報はどのように表示しますか?

A3: キーペアの公開鍵情報を表示するには、次の操作を実行します。

オンプレミスの Windows デバイス

公開鍵情報を表示するには、次の操作を実行します。

PuTTYgen を起動します。
[読み込み] をクリックします。
.ppk または .pem ファイルを選択します。
PuTTYgen に公開鍵情報が表示されます。

オンプレミスの Linux または macOS デバイス

.pem ファイルのパスが指定された ssh-keygen コマンドを実行します。

ssh-keygen -y -f /path_to_key_pair/my-key-pair.pem

次の例は、返された公開鍵情報を示しています。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABA****+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIPxxxxxxxxxx/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcxxxxxxxxxxx/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjxxxxxxxxxx+lHtTGiAIRG1riyNRVC47ZEVCxxxxxx

シンプルアプリケーションサーバー内

Linux シンプルアプリケーションサーバーに接続します。詳細については、「キーペアを使用して Linux サーバーに接続する」をご参照ください。
次のコマンドを実行して、SSH キーペアの公開鍵情報を表示します。
```
sudo cat ~/.ssh/authorized_keys
```
説明
公開鍵情報は、~/.ssh/authorized_keys ファイルに保存されています。インスタンス上のファイルを開いて、公開鍵情報を表示します。

Simple Application Server:Linux シンプルアプリケーションサーバー上のキーペアの管理