AWSでダウンロードするキーペアは何に使う？紛失した時の対処方法を紹介

AWS(Amazon Web Service)とは？

AWS（Amazon Web Service）とは、Amazonが提供しているクラウドコンピューティングサービスです。クラウドコンピューティングサービスとは、インターネット経由でITインフラを提供するサービスです。

AWSでは、仮想サーバーやストレージ、データベース、さらに機械学習、人工知能など、200種類以上もの豊富な機能が使えます。汎用性が高く、初期費用なしで利用できるサービスです。

また、AWSは、世界各地にITインフラを備えているため、可用性も高く、停電や地震などの災害時にも対応できる環境を提供してくれています。

AWSは、クラウドサービス市場で高いシェア率を持つため、AWSを扱うインフラエンジニアの需要も高まっています。日本はIT化が遅れていると言われていますが、これからIT化が進むとともに、AWSを導入する企業がより増えていくでしょう。

AWSのキーペアとは？

AWSのキーペアとは、Amazon EC2インスタンスを起動する際に使用するセキュリティ認証情報です。Amazon EC2とは、Amazon Elastic Compute Cloudの略で、Amazonが提供している仮想サーバーを構築するサービスのことです。

Amazon EC2では、仮想サーバーであるインスタンスのセキュリティを高めるためにキーペアを使います。そのキーペアは、パブリックキーとプライベートキーの二つで構成されます。

パブリックキーは、Amazon EC2内で保存されるセキュリティ認証情報です。それに対し、プライベートキーは、利用者がダウンロードして保存する必要があるセキュリティ認証情報です。

インスタンスを初めて起動する場合には、キーペア名の作成とダウンロードを行い、自分で管理します。もし、プライベートキーを削除したり、失くした場合は復元できないため、大切に保管する必要があります。

キーペアの作成方法は？

キーペアの作成方法は、Amazon EC2コンソールから作成する方法と、AWS CLIを使う方法があります。AWS CLIとは、AWS Command Line Interfaceの略で、AWSのサービスをCUIで管理できるツールです。

AWS CLIを使うキーペア作成方法は、IAMのアクセス設定や、AWS CLIをインストールする必要もあるため、今回はAmazon EC2コンソールから作成する方法をご紹介します。

先にご紹介した通り、Amazon EC2インスタンスを起動時にキーペアを新しく作成することもできますが、事前に作成することもできます。

まず、Amazon EC2コンソール左項目の「キーペア」から「キーペアを作成」を押下します。「名前」入力と、ファイル形式「pem」または「ppk」、「タグ」はオプションで追加し「キーペアを作成」を押下すると、自動的にブラウザからダウンロードされ、作成完了です。

キーペアを紛失した時の対処方法は？

キーペアを紛失した時の対処方法は、大まかに3つあります。今から紹介する方法は、OSがLinuxとmacOSの場合です。

3つの方法とは、Amazon EC2インスタンスのユーザーデータを編集する方法と、AWS Systems Managerを利用する方法、Amazon EC2 Instance Connectを利用する方法です。

AWS Systems Manageとは、AWS上でオンプレミスやクラウドの両方のインフラを管理できるサービスで、Amazon EC2 Instance Connectとは、IAMポリシーでインスタンスへのアクセス管理できるサービスです。

ここから、3つの方法の中では、前提条件不要なユーザーデータを編集する方法をご紹介します。キーペアをダウンロード後に故障で消失することもあります。迅速な対応ができるように、流れを事前に知っておくと良いでしょう。

①作業前の注意点は？

今回、紹介するキーペア紛失時の対処法では、手順の中でAmazon EC2インスタンスを停止する必要があります。

つまり、起動中のAmazon EC2インスタンスストアボリュームのデータが消えます。インスタンスストアボリュームとは、Amazon EC2の揮発性ストレージのことです。Amazo EC2インスタンス停止後でも、ストアボリュームを保持したい場合は、先にバックアップしておきましょう。

また、Amazon EC2インスタンスを再起動すると、パブリックIPアドレスは変更されます。外部通信させる場合は、パブリックIPアドレスではなく、Elastic IPアドレスの使用が推奨されます。Elastic IPアドレスとは、AWSアカウントに割り当てられ、IPアドレスを解放するまで固定で利用できる静的IPv4アドレスです。

②新しいキーペアを作成する

Amazon EC2インスタンスを停止する前に、Amazon EC2コンソールから新しいキーペアを作成します。先に上記で、キーペアの作成方法を紹介していますので、参考にしながら作成しましょう。

キーペアのダウンロード後に再度、大切に保管することになります。キーペアにはわかりやすい名前を入力し、ファイル型式を選択します。

キーペアファイルのダウンロード場所を事前に決め、紛失しないようにしましょう。ダウンロードして保存するタイミングはこの時が唯一なので再度ダウンロードすることはできません。

次に、Amazon EC2コンソールで、プライベートキーを作成する場合は、キーペアのパブリックキーが必要です。パブリックキーの取得方法が不明な場合は、AWS公式サイトから詳細を確認しましょう。

③ユーザーデータを編集する

Amazon EC2インスタンスを停止して、Amazon EC2コンソールからユーザーデータを編集します。Amazon EC2インスタンスの停止は、Amazon EC2コンソールから該当するインスタンス名を選択して、「インスタンスの状態」の「インスタンスの停止」を押下します。

Amazon EC2インスタンスが停止されたことが確認できたら、「アクション」の「インスタンスの設定」にある「ユーザーデータを編集」を選択します。

そして、下記のスクリプトのname:の「username」を自分のユーザー名へ書き換え、ssh-authorized-keys: の”PublicKeypair”を手順2で取得したパブリックキーへ書き換え、保存します。

注意点は、”ssh-rsa”で始まるパブリックキー全て入力して、新しいユーザーデータへ配置し保存する必要があることです。

スクリプト

Content-Type: multipart/mixed; boundary="//"
MIME-Version: 1.0

--//
Content-Type: text/cloud-config; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="cloud-config.txt"

#cloud-config
cloud_final_modules:
- [users-groups, once]
users:
  - name: username
    ssh-authorized-keys: 
    - PublicKeypair

④Amazon EC2インスタンスを起動する

パブリックキーが書き換えられたことを確認後、ユーザーデータを変更、削除し、Amazon EC2インスタンスを起動します。

まずは、Amazon EC2インスタンスを起動します。「ステータスチェック」の表示が「初期化しています」から変わった後、キーペアのパブリックキーを取得し、正常に書き換えられていることを確かめておきます。

次に、ユーザーデータのフィールドからスクリプトを削除して、再度インスタンスを停止します。停止後に、「アクション」から「インスタンスの設定」「ユーザーデータを変更」と順に選択し、ダイアログボックスにあるテキストを全て削除し保存します。

最後に、Amazon EC2インスタンスを起動しアクセスできれば、キーペア紛失時の一連の対処が完了です。

セキュリティは最重要！キーペアの扱い方を事前に知っておこう！

セキュリティを高めるためにキーペアを作成し、ダウンロードしたキーペアは、大切に保管しましょう。

第三者が悪意を持って、不正アクセスしてくる可能性は常にあります。不正アクセスを許すと、情報を操作され、完全にアクセスできなくなり悪用されてしまいます。

また、ダウンロードしたキーペアを紛失した場合は、対処に手間がかかり、すぐAmazon EC2インスタンスにアクセスができない状態になるので、保管場所にも注意しましょう。