Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Fehlersuche bei Verbindungsproblemen mit Ihrer Amazon-EC2-Linux-Instance
Die folgenden Informationen und häufigen Fehler können Ihnen bei der Fehlersuche für die Verbindung zu Ihrer Linux-Instance helfen.
**Topics**
+ [Häufige Ursachen für Verbindungsprobleme](#TroubleshootingInstancesCommonCauses)
+ [Fehler beim Herstellen der Verbindung mit Ihrer Instance: „Connection timed out“](#TroubleshootingInstancesConnectionTimeout)
+ [Fehler: Schlüssel kann nicht geladen werden ... Erwartend: JEDER PRIVATE SCHLÜSSEL](#troubleshoot-instance-connect-key-file)
+ [Fehler: Benutzerschlüssel wird vom Server nicht erkannt](#TroubleshootingInstancesServerError)
+ [Fehler: Berechtigung verweigert oder Verbindung durch [instance] Port 22 geschlossen](#TroubleshootingInstancesConnectingSSH)
+ [Fehler: Ungeschützte private Schlüsseldatei](#troubleshoot-unprotected-key)
+ [Fehler: Der private Schlüssel muss mit „-----BEGIN RSA PRIVATE KEY-----“ und mit „-----END RSA PRIVATE KEY-----“ enden](#troubleshoot-private-key-file-format)
+ [Fehler: Hostschlüssel-Validierung fehlgeschlagen](#troubleshoot-host-key-verification-failed)
+ [Fehler: Der Server lehnte unseren Schlüssel ab *oder* es sind keine unterstützten Authentifizierungsmethoden verfügbar.](#TroubleshootingInstancesConnectingPuTTY)
+ [Die Instance ist nicht per Ping erreichbar.](#troubleshoot-instance-ping)
+ [Fehler: Der Server hat die Netzwerkverbindung unerwartet geschlossen](#troubleshoot-ssh)
+ [Fehler: Hostschlüssel-Validierung fehlgeschlagen für EC2 Instance Connect](#troubleshoot-host-key-validation)
+ [Mit EC2 Instance Connect kann keine Verbindung zur Ubuntu-Instance hergestellt werden](#troubleshoot-eic-ubuntu)
+ [Ich habe meinen privaten Schlüssel verloren. Wie kann ich eine Verbindung zu meiner Instance herstellen?](#replacing-lost-key-pair)
## Häufige Ursachen für Verbindungsprobleme
Wir empfehlen, dass Sie mit der Behebung von Instance-Verbindungsproblemen beginnen, indem Sie sicherstellen, dass Sie die folgenden Aufgaben korrekt ausgeführt haben.
**Überprüfen des Benutzernamens für Ihre Instance**
Sie können mit dem Benutzernamen für Ihr Benutzerkonto oder dem Standardbenutzernamen für das AMI, das Sie zum Starten Ihrer Instance verwendet haben, eine Verbindung zu Ihrer Instance herstellen.
+ **Abrufen des Benutzernamens für Ihr Benutzerkonto ab.**
Weitere Informationen zum Erstellen eines Benutzerkontos finden Sie unter [Systembenutzer auf Ihrer Amazon EC2 Linux-Instance verwalten](managing-users.md).
+ **Abrufen des Standardbenutzernamens für das AMI, das Sie zum Starten der Instance verwendet haben.**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html)
**Überprüfen Sie, ob Ihre Sicherheitsgruppenregeln Datenverkehr zulassen.**
Stellen Sie sicher, dass die mit Ihrer Instance verknüpfte Sicherheitsgruppe eingehenden SSH-Datenverkehr von Ihrer IP-Adresse zulässt. Die standardmäßige Sicherheitsgruppe für die VPC lässt keinen eingehenden SSH-Datenverkehr zu. Die über den Launch Instance Wizard erstellte Sicherheitsgruppe lässt eingehenden SSH-Datenverkehr standardmäßig zu. Schritte zum Hinzufügen einer Regel für eingehenden SSH-Datenverkehr zu Ihrer Linux-Instance finden Sie unter [Regeln für die Verbindung mit Instances von Ihrem Computer aus](security-group-rules-reference.md#sg-rules-local-access). Schritte zur Überprüfung finden Sie unter [Fehler beim Herstellen der Verbindung mit Ihrer Instance: „Connection timed out“](#TroubleshootingInstancesConnectionTimeout).
**Stellen Sie sicher, dass Ihre Instance bereit ist.**
Wenn Sie die Instance starten, kann es einige Minuten dauern, bis die Instance bereit ist, Verbindungen zu akzeptieren. Überprüfen Sie Ihre Instance, um sicherzustellen, dass sie ausgeführt wird und ihre Statusüberprüfungen bestanden hat.
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Klicken Sie im Navigationsbereich auf **Instances** und wählen Sie anschließend Ihre Instance aus.
1. Überprüfen Sie Folgendes:
1. Stellen Sie in der Spalte **Instance state (Instance-Status)** sicher, dass sich Ihre Instance im `running`-Status befindet.
1. Überprüfen Sie in der Spalte **Statusprüfung**, ob Ihre Instance die beiden Statusprüfungen bestanden hat.
**Sicherstellen, dass alle Voraussetzungen zum Herstellen einer Verbindung erfüllt sind**
Stellen Sie sicher, dass Sie über alle Informationen verfügen, die Sie für die Verbindung benötigen. Weitere Informationen finden Sie unter [Herstellen einer Verbindung zu Ihrer Linux-Instance mit SSH](connect-to-linux-instance.md).
**Herstellen einer Verbindung von Linux oder macOS X**
Wenn es sich bei Ihrem lokalen Computer-Betriebssystem um Linux oder macOS X handelt, lesen Sie das Folgende für die spezifischen Voraussetzungen, um eine Verbindung zu einer Linux-Instance herzustellen:
+ [SSH-Client](connect-linux-inst-ssh.md)
+ [EC2 Instance Connect](connect-linux-inst-eic.md)
+ [AWS Systems Manager Sitzungsmanager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)
**Herstellen einer Verbindung über Windows**
Wenn es sich bei Ihrem lokalen Computer-Betriebssystem um Windows handelt, lesen Sie das Folgende für die spezifischen Voraussetzungen, um eine Verbindung zu einer Linux-Instance herzustellen:
+ [OpenSSH](connect-linux-inst-ssh.md)
+ [PuTTY](connect-linux-inst-from-windows.md)
+ [AWS Systems Manager Sitzungsmanager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html)
+ [Windows-Subsystem für Linux](connect-linux-inst-ssh.md)
**Prüfen Sie, ob es sich bei der Instance um eine verwaltete Instance handelt**
Benutzerinitiierte Verbindungen zu verwalteten Instances sind nicht erlaubt. Um festzustellen, ob die Instance verwaltet wird, suchen Sie das Feld **Verwaltet** für die Instance. Wenn der Wert **wahr** ist, handelt es sich um eine verwaltete Instance. Weitere Informationen finden Sie unter [Verwaltete Amazon-EC2-Instances](amazon-ec2-managed-instances.md).
## Fehler beim Herstellen der Verbindung mit Ihrer Instance: „Connection timed out“
Wenn Sie versuchen, eine Verbindung zu Ihrer Instance herzustellen, und die Fehlermeldung `Network error: Connection timed out` oder `Error connecting to [instance], reason: -> Connection timed out: connect` erhalten, versuchen Sie Folgendes:
**Prüfen Sie Ihre Sicherheitsgruppenregeln.**
Sie benötigen eine Sicherheitsgruppenregel, die eingehenden Datenverkehr von der öffentlichen IPv4 Adresse Ihres lokalen Computers über den richtigen Port zulässt.
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Klicken Sie im Navigationsbereich auf **Instances** und wählen Sie anschließend Ihre Instance aus.
1. Überprüfen Sie auf der Registerkarte **Security (Sicherheit)** am unteren Rand der Konsolenseite unter **Inbound rules (Eingangsregeln)**, die Liste der Regeln, die für die ausgewählte Instance gültig sind. Überprüfen Sie, ob eine Regel vorhanden ist, die den Datenverkehr von Ihrem Computer auf Port 22 (SSH) zulässt.
Wenn Ihre Sicherheitsgruppe keine Regel enthält, die eingehenden Datenverkehr von Ihrem lokalen Computer zulässt, fügen Sie eine Regel zu Ihrer Sicherheitsgruppe hinzu. Weitere Informationen finden Sie unter [Regeln für die Verbindung mit Instances von Ihrem Computer aus](security-group-rules-reference.md#sg-rules-local-access).
1. Die Regel, die eingehenden Datenverkehr zulässt, finden Sie im Feld **Quelle**. Wenn der Wert eine einzelne IP-Adresse ist und die IP-Adresse nicht statisch ist, wird bei jedem Neustart des Computers eine neue IP-Adresse zugewiesen. Dies führt dazu, dass die Regel den IP-Adressverkehr Ihres Computers nicht berücksichtigt. Die IP-Adresse darf nicht statisch sein, wenn sich Ihr Computer in einem Unternehmensnetzwerk befindet oder Sie eine Verbindung über einen Internetdienstanbieter (ISP) herstellen oder Ihre Computer-IP-Adresse dynamisch ist und sich bei jedem Neustart des Computers ändert. Um sicherzustellen, dass Ihre Sicherheitsgruppenregel eingehenden Datenverkehr von Ihrem lokalen Computer zulässt, geben Sie den IP-Adressbereich an, der von Client-Computern verwendet wird, anstatt eine einzelne IP-Adresse für **Quelle** anzugeben.
Weitere Informationen zu den Regeln der Sicherheitsgruppe finden Sie unter [Sicherheitsgruppenregeln](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html) im *Amazon VPC-Benutzerhandbuch*.
**Überprüfen Sie die Routing-Tabelle für das Subnetz.**
Sie benötigen eine Route, die den gesamten Datenverkehr außerhalb der VPC an das Internet-Gateway für die VPC sendet.
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Klicken Sie im Navigationsbereich auf **Instances** und wählen Sie anschließend Ihre Instance aus.
1. Notieren Sie sich auf der Registerkarte **Networking (Netzwerk)** die Werte für **VPC ID (VPC-ID)** und **Subnet ID (Subnetz-ID)**.
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Internet Gateways** aus. Überprüfen Sie, ob Ihrer VPC ein Internet-Gateway angefügt ist. Andernfalls wählen Sie **Create internet gateway (Internet-Gateway erstellen)**, geben Sie einen Namen für das Internet-Gateway ein und wählen Sie **Create internet gateway (Internet-Gateway erstellen)**. Wählen Sie dann für das von Ihnen erstellte Internet-Gateway **Actions (Aktionen)**, **Attach to VPC (An VPC anhängen)**, wählen Sie Ihre VPC aus und wählen Sie dann **Attach internet gateway (Internet-Gateway anhängen)**, um es an Ihre VPC anzuhängen.
1. Wählen Sie im Navigationsbereich die Option **Subnets** und dann Ihr Subnetz aus.
1. Überprüfen Sie, ob auf der Registerkarte **Route Table (Routing-Tabelle)** eine Route mit `0.0.0.0/0` unter "Destination" und das Internet-Gateway für Ihre VPC unter "Target" vorhanden ist. Wenn Sie über deren IPv6 Adresse eine Verbindung zu Ihrer Instance herstellen, stellen Sie sicher, dass für den gesamten IPv6 Datenverkehr eine Route (`::/0`) vorhanden ist, die auf das Internet-Gateway verweist. Andernfalls gehen Sie wie folgt vor:
1. Wählen Sie die ID der Routing-Tabelle (rtb-*xxxxxxxx*) aus, um zur Routing-Tabelle zu gelangen.
1. Klicken Sie auf der Registerkarte **Routes (Routen)** auf **Edit routes (Routen bearbeiten)**. Wählen Sie **Add route (Route hinzufügen)** aus, verwenden Sie `0.0.0.0/0` als Ziel und das Internet-Gateway als Ziel. Wählen Sie für IPv6 **Route hinzufügen**, `::/0` als Ziel verwenden und das Internet-Gateway als Ziel aus.
1. Wählen Sie **Save Rules (Routen speichern)** aus.
**Überprüfen Sie die Access Control List (ACL) für das Subnetz.**
Das Netzwerk ACLs muss eingehenden SSH-Verkehr von Ihrer lokalen IP-Adresse an Port 22 zulassen. Sie müssen auch ausgehenden Datenverkehr zu den kurzlebigen Ports (1024-65535) zulassen.
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Subnetze** aus.
1. Subnetz auswählen
1. Stellen Sie auf der Registerkarte **Netzwerk-ACL** für **Eingehende Regeln** sicher, dass die Regeln eingehenden Datenverkehr von Ihrem Computer auf dem erforderlichen Port zulassen. Andernfalls löschen oder ändern Sie die Regel, die den Datenverkehr blockiert.
1. Überprüfen Sie für **ausgehende Regeln**, ob die Regeln ausgehenden Datenverkehr zu Ihrem Computer über die kurzlebigen Ports zulassen. Andernfalls löschen oder ändern Sie die Regel, die den Datenverkehr blockiert.
**Wenn sich Ihr Computer in einem Unternehmensnetzwerk befindet**
Fragen Sie Ihren Netzwerkadministrator, ob die interne Firewall ein- und ausgehenden Datenverkehr von Ihrem Computer auf Port 22 zulässt.
Wenn auf Ihrem Computer eine Firewall aktiviert ist, überprüfen Sie, dass diese den ein- und ausgehenden Datenverkehr von Ihrem Computer auf Port 22 zulässt.
**Vergewissern Sie sich, dass Ihre Instance eine öffentliche IPv4 Adresse hat.**
Falls nicht, verknüpfen Sie eine Elastic IP-Adresse mit der Instance. Weitere Informationen finden Sie unter [Elastic-IP-Adressen](elastic-ip-addresses-eip.md).
**Überprüfen Sie die CPU-Auslastung auf Ihrer Instance. Möglicherweise ist der Server überlastet.**
AWS stellt automatisch Daten wie CloudWatch Amazon-Metriken und Instance-Status bereit, anhand derer Sie sehen können, wie hoch die CPU-Last auf Ihrer Instance ist, und gegebenenfalls anpassen können, wie Ihre Lasten verarbeitet werden. Weitere Informationen finden Sie unter [Überwachen Sie Ihre Instances mit CloudWatch](using-cloudwatch.md).
+ Wenn Ihre Last variabel ist, können Sie Ihre Instances automatisch mit [Auto Scaling](https://aws.amazon.com/autoscaling/) und [Elastic Load Balancing](https://aws.amazon.com/elasticloadbalancing/) nach oben und unten skalieren.
+ Wenn Ihre Last kontinuierlich zunimmt, können Sie auf einen größeren Instance-Typ umsteigen. Weitere Informationen finden Sie unter [Amazon-EC2-Instance-Typ-Veränderungen](ec2-instance-resize.md).
**Um über eine IPv6 Adresse eine Verbindung zu Ihrer Instance herzustellen, überprüfen Sie Folgendes:**
+ Ihr Subnetz muss mit einer Routing-Tabelle verknüpft sein, die eine Route für den IPv6 Verkehr (`::/0`) zu einem Internet-Gateway enthält.
+ Ihre Sicherheitsgruppenregeln müssen eingehenden Datenverkehr von Ihrer lokalen IPv6 Adresse an Port 22 zulassen.
+ Ihre Netzwerk-ACL-Regeln müssen eingehenden und IPv6 ausgehenden Datenverkehr zulassen.
+ Wenn Sie Ihre Instance von einem älteren AMI aus gestartet haben, ist sie möglicherweise nicht dafür konfiguriert DHCPv6 (IPv6 Adressen werden auf der Netzwerkschnittstelle nicht automatisch erkannt). Weitere Informationen finden [Sie unter Konfiguration IPv6 auf Ihren Instances](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html#vpc-migrate-ipv6-dhcpv6) im *Amazon VPC-Benutzerhandbuch*.
+ Ihr lokaler Computer muss über eine IPv6 Adresse verfügen und für die Verwendung IPv6 konfiguriert sein.
## Fehler: Schlüssel kann nicht geladen werden ... Erwartend: JEDER PRIVATE SCHLÜSSEL
Wenn Sie versuchen, eine Verbindung mit Ihrer Instance herzustellen und die Fehlermeldung `unable to load key ... Expecting: ANY PRIVATE KEY` erhalten, ist die Datei, in der der private Schlüssel gespeichert ist, nicht korrekt konfiguriert. Auch wenn die Datei mit dem privaten Schlüssel auf `.pem` endet, ist sie möglicherweise dennoch falsch konfiguriert. Eine mögliche Ursache für eine falsch konfigurierte Datei für den privaten Schlüssel ist ein fehlendes Zertifikat.
**Wenn die Datei für den privaten Schlüssel falsch konfiguriert ist, führen Sie die folgenden Schritte aus, um den Fehler zu beheben.**
1. Erstellen Sie ein neues Schlüsselpaar. Weitere Informationen finden Sie unter [Erstellen eines Schlüsselpaars mit Amazon EC2](create-key-pairs.md#having-ec2-create-your-key-pair).
**Anmerkung**
Alternativ können Sie auch mit einem Drittanbietertool ein neues Schlüsselpaar erstellen. Weitere Informationen finden Sie unter [Erstellen Sie ein Schlüsselpaar mit einem Drittanbieter-Tool und importieren Sie den öffentlichen Schlüssel in Amazon EC2](create-key-pairs.md#how-to-generate-your-own-key-and-import-it-to-aws).
1. Fügen Sie das neue Schlüsselpaar Ihrer Instance hinzu. Weitere Informationen finden Sie unter [Ich habe meinen privaten Schlüssel verloren. Wie kann ich eine Verbindung zu meiner Instance herstellen?](#replacing-lost-key-pair).
1. Stellen Sie mittels des neuen Schlüsselpaars eine Verbindung mit Ihrer Instance her.
## Fehler: Benutzerschlüssel wird vom Server nicht erkannt
**Bei Verwendung von SSH zum Verbinden mit Ihrer Instance**
+ Verwenden Sie `ssh -vvv`, um beim Herstellen der Verbindung ausführliche Debugging-Informationen zu erhalten:
```
ssh -vvv -i path/key-pair-name.pem instance-user-name@ec2-203-0-113-25.compute-1.amazonaws.com
```
Die folgende Beispielausgabe veranschaulicht, was Sie sehen, wenn Sie versuchen, eine Verbindung mit Ihrer Instance mithilfe eines Schlüssels herzustellen, der vom Server nicht erkannt wird:
```
open/ANT/myusername/.ssh/known_hosts).
debug2: bits set: 504/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: boguspem.pem ((nil))
debug1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: boguspem.pem
debug1: read PEM private key done: type RSA
debug3: sign_and_send_pubkey: RSA 9c:4c:bc:0c:d0:5c:c7:92:6c:8e:9b:16:e4:43:d8:b2
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (publickey).
```
**Bei Verwendung von PuTTY zum Verbinden mit Ihrer Instance**
+ Überprüfen Sie, dass Ihre private Schlüsseldatei (PEM) in das Format konvertiert wurde, das von PuTTY (PPK) erkannt wird. Weitere Informationen zum Konvertieren Ihres privaten Schlüssels finden Sie unter [Verbindung mit Ihrer Linux-Instance mithilfe von PuTTY](connect-linux-inst-from-windows.md).
**Anmerkung**
Laden Sie in Pu TTYgen Ihre private Schlüsseldatei und wählen Sie **Private Schlüssel speichern** statt **Generieren**.
+ Überprüfen Sie, dass Sie eine Verbindung mit dem richtigen Benutzernamen für Ihr AMI herstellen. Geben Sie den Benutzernamen im Feld **Host-Name** des Fensters **PuTTY-Konfiguration** ein.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html)
+ Überprüfen Sie, dass eine eingehende Sicherheitsgruppenregel vorhanden ist, um den eingehenden Datenverkehr am entsprechenden Port zuzulassen. Weitere Informationen finden Sie unter [Regeln für die Verbindung mit Instances von Ihrem Computer aus](security-group-rules-reference.md#sg-rules-local-access).
## Fehler: Berechtigung verweigert oder Verbindung durch [instance] Port 22 geschlossen
Wenn Sie beim Herstellen einer Verbindung mit Ihrer Instance über SSH den Fehler `Host key not found in [directory]`, `Permission denied (publickey)`, `Authentication failed, permission denied` oder `Connection closed by [instance] port 22` erhalten, stellen Sie sicher, dass Sie die Verbindung mit dem entsprechenden Benutzernamen für Ihr AMI herstellen *und* dass Sie den richtigen privaten Schlüssel (`.pem)`-Datei) für Ihre Instance angegeben haben.
Die entsprechenden Benutzernamen lauten wie folgt:
| Zum Starten der Instance verwendetes AMI | Standardbenutzername |
| --- | --- |
| Amazon Linux | ec2-user |
| CentOS | centos oder ec2-user |
| Debian | admin |
| Fedora | fedora oder ec2-user |
| FreeBSD | ec2-user |
| RHEL | ec2-user oder root |
| SUSE | ec2-user oder root |
| Ubuntu | ubuntu |
| Oracle | ec2-user |
| Bitnami | bitnami |
| Rocky Linux | rocky |
| Sonstige | Wenden Sie sich an den AMI-Anbieter |
Um beispielsweise einen SSH-Client für die Verbindung mit einer Amazon Linux-Instance zu verwenden, verwenden Sie den folgenden Befehl:
```
ssh -i /path/key-pair-name.pem instance-user-name@ec2-203-0-113-25.compute-1.amazonaws.com
```
Vergewissern Sie sich, dass Sie den privaten Schlüssel verwenden, der dem Schlüsselpaar entspricht, das Sie beim Starten der Instance angegeben haben.
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Klicken Sie im Navigationsbereich auf **Instances** und wählen Sie anschließend Ihre Instance aus.
1. Überprüfen Sie auf der Registerkarte **Details** unter **Instance details (Instance-Details)** den Wert des **Key pair name (Schlüsselpaarnamens)**.
1. Wenn Sie beim Starten der Instance kein Schlüsselpaar angegeben haben, können Sie die Instance beenden und eine neue unter Angabe eines Schlüsselpaars starten. Wenn Sie diese Instance zwar verwendet haben, aber die `.pem`-Datei für Ihr Schlüsselpaar nicht mehr vorliegt, können Sie das Schlüsselpaar durch ein neues ersetzen. Weitere Informationen finden Sie unter [Ich habe meinen privaten Schlüssel verloren. Wie kann ich eine Verbindung zu meiner Instance herstellen?](#replacing-lost-key-pair).
Wenn Sie ein eigenes Schlüsselpaar generiert haben, stellen Sie sicher, dass Ihr Schlüsselgenerator für das Erstellen von RSA-Schlüssel eingerichtet ist. DSA-Schlüssel werden nicht akzeptiert.
Wenn Sie einen `Permission denied (publickey)`-Fehler erhalten und keiner der oben angegebenen Fälle zutrifft (z. B. wenn Sie zuvor eine Verbindung herstellen konnten), wurden die Berechtigungen für das Stammverzeichnis Ihrer Instance möglicherweise geändert. Berechtigungen für `/home/instance-user-name/.ssh/authorized_keys` müssen auf den Eigentümer beschränkt sein.
**So überprüfen Sie die Berechtigungen für Ihre Instance**
1. Beenden Sie Ihre Instance und trennen Sie das Stamm-Volume von der Instance. Weitere Informationen finden Sie unter [Starten und Anhalten einer Amazon-EC2-Instance](Stop_Start.md).
1. Starten Sie eine temporäre Instance in derselben Availability Zone wie Ihre aktuelle Instance (verwenden Sie ein ähnliches oder dasselbe AMI wie für die aktuelle Instance) und fügen Sie der temporären Instance das Stamm-Volume an.
1. Stellen Sie eine Verbindung mit der temporären Instance her, erstellen Sie einen Mountingpunkt und mounten Sie das angefügte Volume.
1. Überprüfen Sie über die temporäre Instance die Berechtigungen des Verzeichnisses `/home/instance-user-name/` des angefügten Volumes. Passen Sie die Berechtigungen bei Bedarf wie folgt an:
```
[ec2-user ~]$ chmod 600 mount_point/home/instance-user-name/.ssh/authorized_keys
```
```
[ec2-user ~]$ chmod 700 mount_point/home/instance-user-name/.ssh
```
```
[ec2-user ~]$ chmod 700 mount_point/home/instance-user-name
```
1. Heben Sie die Bereitstellung des Volumes auf, trennen Sie es von der temporären Instance und fügen Sie es der ursprünglichen Instance wieder an. Stellen Sie sicher, dass Sie den richtigen Gerätenamen für das Stamm-Volume verwenden; z. B, `/dev/xvda`.
1. Starten Sie Ihre Instance. Sie können die temporäre Instance beenden, wenn Sie sie nicht mehr benötigen.
## Fehler: Ungeschützte private Schlüsseldatei
Ihre private Schlüsseldatei muss vor Lese- und Schreibvorgängen anderer Benutzer geschützt sein. Wenn Ihr privater Schlüssel nur von anderen, aber nicht von Ihnen gelesen oder geschrieben werden kann, ignoriert SSH Ihren Schlüssel und Sie erhalten die folgende Warnmeldung.
```
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0777 for '.ssh/my_private_key.pem' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
bad permissions: ignore key: .ssh/my_private_key.pem
Permission denied (publickey).
```
Wenn Sie beim Anmelden bei Ihrer Instance eine ähnliche Meldung erhalten, sehen Sie sich die erste Zeile der Fehlermeldung an, um zu überprüfen, ob Sie den richtigen öffentlichen Schlüssel für Ihre Instance verwenden. Das obige Beispiel verwendet den privaten Schlüssel `.ssh/my_private_key.pem` mit Dateiberechtigungen `0777`, die zulassen, das jeder Benutzer diese Datei lesen oder beschreiben kann. Da diese Berechtigungsebene sehr unsicher ist, wird dieser Schlüssel von SSH ignoriert.
Wenn Sie eine Verbindung über macOS oder Linux herstellen, führen Sie den folgenden Befehl aus, um diesen Fehler zu beheben, und ersetzen Sie dabei den Pfad durch Ihre private Schlüsseldatei.
```
[ec2-user ~]$ chmod 0400 .ssh/my_private_key.pem
```
Wenn Sie die Verbindung zu einer Linux-Instance von Windows aus herstellen möchten, führen Sie die folgenden Schritte auf dem lokalen Computer aus.
1. Navigieren Sie zu Ihrer PEM-Datei.
1. Klicken Sie mit der rechten Maustaste auf die PEM-Datei und wählen Sie **Eigenschaften** aus.
1. Wählen Sie die Registerkarte **Sicherheit** aus.
1. Klicken Sie auf **Erweitert**.
1. Stellen Sie sicher, dass Sie der Besitzer der Datei sind. Wenn nicht, ändern Sie den Besitzer in Ihren Benutzernamen.
1. Wählen Sie **Vererbung deaktivieren** und **Alle vererbten Berechtigungen aus diesem Objekt entfernen** aus.
1. Wählen Sie **Hinzufügen** und **Prinzipal auswählen** aus, geben Sie Ihren Benutzernamen ein und klicken Sie auf **OK**.
1. Erteilen Sie im Fenster **Berechtigungseintrag** die Berechtigungen zum **Lesen** und klicken Sie auf **OK**.
1. Klicken auf **Apply** (Anwenden), damit alle Einstellungen gespeichert werden.
1. Klicken Sie auf **OK**, um das Fenster **Erweiterte Sicherheitseinstellungen** zu schließen.
1. Klicken Sie auf **OK**, um das Fenster **Eigenschaften** zu schließen.
1. Sie sollten in der Lage sein, per SSH eine Verbindung von Windows zu Ihrer Linux-Instance herzustellen.
Führen Sie in einer Windows-Eingabeaufforderung die folgenden Befehle aus:
1. Navigieren Sie von der Eingabeaufforderung zum Dateipfad Ihrer PEM-Datei.
1. Führen Sie den folgenden Befehl aus, um explizite Berechtigungen zurückzusetzen und zu entfernen:
```
icacls.exe $path /reset
```
1. Führen Sie den folgenden Befehl aus, um dem aktuellen Benutzer Leseberechtigungen zu erteilen:
```
icacls.exe $path /GRANT:R "$($env:USERNAME):(R)"
```
1. Führen Sie den folgenden Befehl aus, um die Vererbung zu deaktivieren und geerbte Berechtigungen zu entfernen.
```
icacls.exe $path /inheritance:r
```
1. Sie sollten in der Lage sein, per SSH eine Verbindung von Windows zu Ihrer Linux-Instance herzustellen.
## Fehler: Der private Schlüssel muss mit „-----BEGIN RSA PRIVATE KEY-----“ und mit „-----END RSA PRIVATE KEY-----“ enden
Wenn Sie ein Tools von Drittanbietern, wie **ssh-keygen**, zum Erstellen eines RSA-Schlüsselpaars verwenden, generiert es den privaten Schlüssel im Format für OpenSSH-Schlüssel. Wenn Sie eine Verbindung zu Ihrer Instance herstellen und den privaten Schlüssel im OpenSSH-Format verwenden, um das Passwort zu entschlüsseln, erhalten Sie folgenden Fehler: `Private key must begin with "-----BEGIN RSA PRIVATE KEY-----" and end with "-----END RSA PRIVATE KEY-----"`.
Der private Schlüssel muss im PEM-Format vorliegen, damit dieser Fehler nicht auftritt. Verwenden Sie folgenden Befehl, um den privaten Schlüssel im PEM-Format zu erstellen:
```
ssh-keygen -m PEM
```
## Fehler: Hostschlüssel-Validierung fehlgeschlagen
Dieser Fehler tritt auf, wenn der Hostschlüssel, der auf der Instance in der `known_hosts`-Datei gespeichert ist, nicht mit dem auf dem Client gespeicherten Hostschlüssel übereinstimmt. Eine Nichtübereinstimmung kann beispielsweise auftreten, wenn Sie über eine öffentliche IP-Adresse eine Verbindung zu einer Instance herstellen und dann erneut versuchen, eine Verbindung mit einer anderen öffentlichen IP-Adresse herzustellen. Dies kann passieren, nachdem Sie eine Elastic IP-Adresse hinzugefügt oder entfernt haben, da sich dadurch die öffentliche IP-Adresse einer Instance ändert.
Um diesen Fehler zu beheben, überprüfen Sie zunächst, ob eine erwartete Änderung des Hostschlüssels oder der Netzwerkkonfiguration der Instance eingetreten ist. Bevor Sie eine Verbindung mit der Instance herstellen, sollten Sie möglicherweise auch [den Host-Fingerabdruck überprüfen](connection-prereqs-general.md#connection-prereqs-fingerprint). Nachdem Sie eine Verbindung mit der Instance hergestellt haben, können Sie den alten Hostschlüssel aus der `known_hosts`-Datei entfernen. Anweisungen finden Sie in der Dokumentation der Linux-Distribution, die auf Ihrer Instance verwendet wird.
## Fehler: Der Server lehnte unseren Schlüssel ab *oder* es sind keine unterstützten Authentifizierungsmethoden verfügbar.
Wenn Sie PuTTY verwenden, um sich mit Ihrer Instance zu verbinden, und eine der folgenden Fehlermeldungen erhalten, Fehler: Server hat unseren Schlüssel abgelehnt oder Fehler: Keine unterstützten Authentifizierungsmethoden verfügbar, überprüfen Sie, ob Sie sich mit dem richtigen Benutzernamen für Ihr AMI verbinden. Geben Sie den Benutzernamen im Feld **Benutzername** des Fensters **PuTTY-Konfiguration** ein.
Die entsprechenden Benutzernamen lauten wie folgt:
| Zum Starten der Instance verwendetes AMI | Standardbenutzername |
| --- | --- |
| Amazon Linux | ec2-user |
| CentOS | centos oder ec2-user |
| Debian | admin |
| Fedora | fedora oder ec2-user |
| FreeBSD | ec2-user |
| RHEL | ec2-user oder root |
| SUSE | ec2-user oder root |
| Ubuntu | ubuntu |
| Oracle | ec2-user |
| Bitnami | bitnami |
| Rocky Linux | rocky |
| Sonstige | Wenden Sie sich an den AMI-Anbieter |
Sie sollten auch Folgendes überprüfen:
+ Verwenden Sie die neueste Version von PuTTY? Weitere Informationen finden Sie auf der [PuTTY-Webseite](https://www.chiark.greenend.org.uk/~sgtatham/putty/).
+ Ihre private Schlüsseldatei (PEM) wurde korrekt in das Format konvertiert, das von PuTTY (.ppk) erkannt wird. Weitere Informationen zum Konvertieren Ihres privaten Schlüssels finden Sie unter [Verbindung mit Ihrer Linux-Instance mithilfe von PuTTY](connect-linux-inst-from-windows.md).
## Die Instance ist nicht per Ping erreichbar.
Der `ping`-Befehl ist eine Art ICMP—Datenverkehr. Wenn Sie Ihre Instance per Ping nicht erreichen können, stellen Sie sicher, dass Ihre eingehenden Sicherheitsgruppenregeln ICMP-Datenverkehr für die `Echo Request`-Meldung von allen Quellen oder vom Computer bzw. von der Instance zulassen, auf dem bzw. der Sie den Befehl ausgeben.
Wenn Sie keinen `ping`-Befehl auf Ihrer Instance ausgeben können, stellen Sie sicher, dass Ihre ausgehenden Sicherheitsgruppenregeln ICMP-Datenverkehr für die `Echo Request`-Meldung an alle Ziele oder an den Host, den Sie per Ping zu erreichen versuchen, zulassen.
`Ping`-Befehle können aufgrund von Netzwerklatenz oder Hardwareproblemen auch von einer Firewall blockiert werden oder es kann zu einer Zeitüberschreitung kommen. Wenden Sie sich an Ihren lokalen Netzwerk- oder Systemadministrator, um Hilfe bei der weiteren Fehlerbehebung zu erhalten.
## Fehler: Der Server hat die Netzwerkverbindung unerwartet geschlossen
Wenn Sie mit Ihrer Instance mit PuTTY verbunden sind und den Fehler "Server unexpectedly closed network connection (Der Server hat die Netzwerkverbindung unerwartet geschlossen)" erhalten, vergewissern Sie sich, dass Sie Keepalives auf der Verbindungsseite der PuTTY-Konfiguration aktiviert haben, um eine Trennung der Verbindung zu vermeiden. Einige Server trennen die Verbindung von Clients, wenn sie innerhalb des angegebenen Zeitraums keine Daten empfangen. Legen Sie als Anzahl der Sekunden zwischen Keepalives 59 Sekunden fest.
Wenn nach dem Aktivieren von Keepalives weiterhin Probleme auftreten, versuchen Sie, den Nagle-Algorithmus auf der Verbindungsseite der PuTTY-Konfiguration zu deaktivieren.
## Fehler: Hostschlüssel-Validierung fehlgeschlagen für EC2 Instance Connect
Wenn Sie Ihre Instance-Hostschlüssel rotieren, werden die neuen Hostschlüssel nicht automatisch in die Datenbank mit AWS vertrauenswürdigen Hostschlüsseln hochgeladen. Dies führt dazu, dass die Hostschlüssel-Validierung fehlschlägt, wenn Sie versuchen, eine Verbindung zu Ihrer Instance über den browserbasierten Client EC2 Instance Connect herzustellen, und Sie keine Verbindung mit Ihrer Instance herstellen können.
Um den Fehler zu beheben, müssen Sie das `eic_harvest_hostkeys`-Skript auf Ihrer Instance ausführen, das Ihren neuen Hostschlüssel in EC2 Instance Connect hochlädt. Das Skript befindet sich bei `/opt/aws/bin/` auf Amazon Linux 2-Instances und bei `/usr/share/ec2-instance-connect/` auf Ubuntu-Instances.
------
#### [ Amazon Linux 2 ]
**Beheben des Fehlers der Hostschlüssel-Validierung auf einer Amazon Linux 2-Instance**
1. Stellen Sie per SSH eine Verbindung zu Ihrer -Instance her.
Sie können eine Verbindung herstellen, indem Sie die EC2-Instance-Connect-CLI verwenden oder das SSH-Schlüsselpaar verwenden, das beim Start Ihrer Instance dieser zugewiesen wurde, und den Standardbenutzernamen des AMI, mit dem Sie Ihre Instance gestartet haben. Bei Amazon Linux 2 ist der Standardbenutzername `ec2-user`.
Beispiel: Wenn Ihre Instance mit Amazon Linux 2 gestartet wurde und der öffentliche DNS-Name Ihrer Instance ist `ec2-a-b-c-d.us-west-2.compute.amazonaws.com` und das Schlüsselpaar `my_ec2_private_key.pem`, nutzen Sie den folgenden Befehl, um eine SSH-Sitzung auf Ihrer Instance zu starten:
```
$ ssh -i my_ec2_private_key.pem ec2-user@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Weitere Informationen zum Herstellen einer Verbindung mit Ihrer Instance finden Sie unter [Verbinden mit der Linux-Instance über einen SSH-Client](connect-linux-inst-ssh.md).
1. Navigieren Sie zum folgenden Ordner.
```
[ec2-user ~]$ cd /opt/aws/bin/
```
1. Führen Sie den folgenden Befehl auf Ihrer Instance aus.
```
[ec2-user ~]$ ./eic_harvest_hostkeys
```
Beachten Sie, dass ein erfolgreicher Anruf zu keiner Ausgabe führt.
Sie können jetzt den browserbasierten Clienten EC2 Instance Connect benutzen, um mit Ihrer Instance eine Verbindung herzustellen
------
#### [ Ubuntu ]
**Beheben des Fehlers der Hostschlüssel-Validierung auf einer Ubuntu-Instance**
1. Stellen Sie per SSH eine Verbindung zu Ihrer -Instance her.
Sie können eine Verbindung herstellen, indem Sie die EC2-Instance-Connect-CLI verwenden oder das SSH-Schlüsselpaar verwenden, das beim Start Ihrer Instance dieser zugewiesen wurde, und den Standardbenutzernamen des AMI, mit dem Sie Ihre Instance gestartet haben. Für Ubuntu lautet der Standardbenutzername `ubuntu`.
Beispiel: Wenn Ihre Instance mit Ubuntu gestartet wurde und der öffentliche DNS-Name Ihrer Instance ist `ec2-a-b-c-d.us-west-2.compute.amazonaws.com` und das Schlüsselpaar `my_ec2_private_key.pem`, nutzen Sie den folgenden Befehl, um eine SSH-Sitzung auf Ihrer Instance zu starten:
```
$ ssh -i my_ec2_private_key.pem ubuntu@ec2-a-b-c-d.us-west-2.compute.amazonaws.com
```
Weitere Informationen zum Herstellen einer Verbindung mit Ihrer Instance finden Sie unter [Verbinden mit der Linux-Instance über einen SSH-Client](connect-linux-inst-ssh.md).
1. Navigieren Sie zum folgenden Ordner.
```
[ec2-user ~]$ cd /usr/share/ec2-instance-connect/
```
1. Führen Sie den folgenden Befehl auf Ihrer Instance aus.
```
[ec2-user ~]$ ./eic_harvest_hostkeys
```
Beachten Sie, dass ein erfolgreicher Anruf zu keiner Ausgabe führt.
Sie können jetzt den browserbasierten Clienten EC2 Instance Connect benutzen, um mit Ihrer Instance eine Verbindung herzustellen
------
## Mit EC2 Instance Connect kann keine Verbindung zur Ubuntu-Instance hergestellt werden
Wenn Sie EC2 Instance Connect verwenden, um eine Verbindung zu Ihrer Ubuntu-Instance herzustellen und beim Verbindungsversuch eine Fehlermeldung angezeigt wird, können Sie die folgenden Informationen verwenden, um das Problem zu beheben.
**Mögliche Ursache**
Das `ec2-instance-connect`-Paket auf der Instance ist nicht die neueste Version.
**Lösung**
Aktualisieren Sie das `ec2-instance-connect`-Paket auf der Instance wie folgt auf die neueste Version:
1. [Stellen Sie eine Verbindung](connect-to-linux-instance.md) mit einer anderen Methode als EC2 Instance Connect mit Ihrer Instance her.
1. Führen Sie den folgenden Befehl auf Ihrer Instance aus, um das `ec2-instance-connect`-Paket auf die neueste Version zu aktualisieren.
```
apt update && apt upgrade
```
## Ich habe meinen privaten Schlüssel verloren. Wie kann ich eine Verbindung zu meiner Instance herstellen?
Falls Sie den privaten Schlüssel für eine per EBS abgesicherte Instance verlieren, können Sie den Zugriff auf Ihre Instance zurückerlangen. Sie müssen die Instance anhalten, das Stamm-Volume trennen, es einer anderen Instance als Daten-Volume anfügen, die Datei `authorized_keys` mit einem neuen öffentlichen Schlüssel modifizieren, das Volume zurück zur ursprünglichen Instance verschieben und die Instance neu starten. Weitere Informationen zum Starten, Herstellen von Verbindungen und Anhalten von Instances finden Sie im Abschnitt [Änderungen des EC2 Amazon-Instanzstatus](ec2-instance-lifecycle.md).
Dieses Verfahren wird nur für Instance mit EBS-Stamm-Volumes unterstützt. Wenn die Instance ein Instance-Speicher-Root-Volume hat, können Sie dieses Verfahren nicht verwenden, um den Zugriff auf Ihre Instance wiederherzustellen. Sie benötigen den privaten Schlüssel, um eine Verbindung mit der Instance herzustellen. Um den Root-Volume-Typ Ihrer Instance zu ermitteln, öffnen Sie die Amazon-EC2-Konsole, wählen Sie **Instances**, wählen Sie die Instance aus, wählen Sie die Registerkarte **Speicher** und überprüfen Sie im Abschnitt **Root-Gerätedetails** den Wert des **Root-Gerätetyps**.
Der Wert ist entweder `EBS` oder `INSTANCE-STORE`.
Wenn Sie Ihren privaten Schlüssel verlieren, gibt es weitere Möglichkeiten, eine Verbindung mit Ihrer Linux-Instance herzustellen. Weitere Informationen finden Sie unter [Wie kann ich eine Verbindung zu meiner Amazon EC2 Instance herstellen, wenn ich mein SSH-Schlüsselpaar nach dem ersten Start verloren habe?](https://repost.aws/knowledge-center/user-data-replace-key-pair-ec2)
**Topics**
+ [Schritt 1: Erstellen eines neuen Schlüsselpaars](#step-1-create-new-key-pair)
+ [Schritt 2: Abrufen von Informationen über die ursprüngliche Instance und ihr Stamm-Volume](#step-2-get-info-about-original-instance)
+ [Schritt 3: Anhalten der ursprünglichen Instance](#step-3-stop-original-instance)
+ [Schritt 4: Starten einer temporären Instance](#step-4-launch-temp-instance)
+ [Schritt 5: Trennen des Stamm-Volumes von der ursprünglichen Instance und Anfügen an die temporäre Instance](#step-5-detach-root-volume-and-attach-to-temp-instance)
+ [Schritt 6: Hinzufügen des neuen öffentlichen Schlüssels zu `authorized_keys` auf dem ursprünglichen Volume, das auf der temporären Instance gemountet wird](#step-6-add-new-public-key-to-authorized_keys)
+ [Schritt 7: Aufheben der Bereitstellung und Trennen des ursprünglichen Volumes von der temporären Instance und erneutes Anfügen an die ursprüngliche Instance](#step-7-unmount-detach-volume-and-reattach-to-original-instance)
+ [Schritt 8: Verbinden Sie sich mit der ursprünglichen Instance mit dem neuen Schlüsselpaar](#step-8-connect-to-original-instance)
+ [Schritt 9: Bereinigen](#step-9-clean-up)
### Schritt 1: Erstellen eines neuen Schlüsselpaars
Erstellen Sie ein neues Schlüsselpaar mit der Amazon EC2-Konsole oder einem Tool eines Drittanbieters. Falls der Name des neuen Schlüsselpaares dem des verlorenen privaten Schlüssels genau entsprechen soll, müssen Sie das vorhandene Schlüsselpaar erst löschen. Weitere Informationen zum Erstellen eines neuen Schlüsselpaars finden Sie unter [Erstellen eines Schlüsselpaars mit Amazon EC2](create-key-pairs.md#having-ec2-create-your-key-pair) oder [Erstellen Sie ein Schlüsselpaar mit einem Drittanbieter-Tool und importieren Sie den öffentlichen Schlüssel in Amazon EC2](create-key-pairs.md#how-to-generate-your-own-key-and-import-it-to-aws).
### Schritt 2: Abrufen von Informationen über die ursprüngliche Instance und ihr Stamm-Volume
Notieren Sie sich die folgenden Informationen, da Sie sie benötigen werden, um dieses Verfahren abzuschließen.
**So erhalten Sie Informationen zu Ihrer ursprünglichen Instance**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Instances** und dann die Instance aus, zu der Sie eine Verbindung herstellen möchten. (Wir bezeichnen diese als *ursprüngliche* Instance.)
1. Notieren Sie sich auf der Registerkarte **Details** die Instance-ID und die AMI-ID.
1. Notieren Sie sich auf der Registerkarte **Network (Netzwerk)** die Availability Zone.
1. Notieren Sie sich auf der Registerkarte **Storage (Speicher)** den Gerätenamen für das Root-Volume unter **Root device name (Root-Gerätename)** (z. B. `/dev/xvda`). Suchen Sie diesen Gerätenamen unter **Block devices (Geräte blockieren)** und notieren Sie sich die Volume-ID (z. B. vol-0a1234b5678c910de).
### Schritt 3: Anhalten der ursprünglichen Instance
Wählen Sie **Instance state (Instance-Status)**, **Stop instance (Instance anhalten)**. Wenn diese Option deaktiviert ist, wurde die Instance entweder bereits angehalten oder das Root-Volume ist ein Instance-Speicher-Volume.
**Warnung**
Wenn Sie eine Instance beenden, gehen die Daten auf den Instance-Speicher-Volumes verloren. Um diese Daten beizubehalten, sichern Sie sie auf einem persistenten Speicher.
### Schritt 4: Starten einer temporären Instance
**So starten Sie eine temporäre Instance**
1. Wählen Sie im Navigationsbereich **Instances** und **Launch instances** (Instances starten) aus.
1. Im Abschnitt **Name and tags** (Name und Tags) geben Sie bei**Name** **Temporary** (Temporär) ein.
1. Im Abschnitt **Application and OS Images** (Anwendungs- und Betriebssystem-Images) wählen Sie dasselbe AMI aus, das Sie beim Start der ursprünglichen Instance verwendet haben. Falls diese AMI nicht verfügbar ist, können Sie eine AMI erstellen, die Sie von der angehaltenen Instance verwenden können. Weitere Informationen finden Sie unter [Ein Amazon-EBS-gestütztes AMI erstellen](creating-an-ami-ebs.md).
1. Behalten Sie im Abschnitt **Instance type** (Instance-Typ) den standardmäßigen Instance-Typ bei.
1. Im Abschnitt **Key pair** (Schlüsselpaar) unter **Key pair name** (Schlüsselpaarname) wählen Sie das vorhandene Schlüsselpaar aus, das Sie verwenden oder erstellen Sie ein neues.
1. Im Abschnitt **Network settings** (Netzwerkeinstellungen) wählen Sie **Edit** (Bearbeiten), aus. Wählen Sie dann unter **Subnet** (Subnetz) ein Subnetz in derselben Availability Zone wie die ursprüngliche Instance aus.
1. Wählen Sie im Bereich **Summary** (Übersicht) **Launch** (Starten) aus.
### Schritt 5: Trennen des Stamm-Volumes von der ursprünglichen Instance und Anfügen an die temporäre Instance
1. Wählen Sie im Navigationsbereich **Volumes** und wählen Sie das Root-Volume für die ursprüngliche Instance aus (Sie haben die Volume-ID in einem früheren Schritt notiert). Wählen Sie **Actions** (Aktionen) und danach **Detach volume** (Volume trennen) aus, gefolgt von **Detach** (Trennen). Warten Sie, bis der Status des Volumes `available` wird. (Sie müssen möglicherweise das Symbol **Refresh** (Aktualisieren) wählen.)
1. Wählen Sie bei ausgewähltem Volume **Actions** (Aktionen) und wählen Sie dann **Attach Volume** (Volume anfügen) aus. Wählen Sie die Instance-ID der vorübergehenden Instance aus, notieren Sie den Gerätenamen unter **Device name** (Gerätenamen) (zum Beispiel `/dev/sdf`) und wählen Sie dann **Attach volume** (Volume anhängen) aus.
**Anmerkung**
Wenn Sie Ihre ursprüngliche Instance von einem AWS Marketplace AMI aus gestartet haben und Ihr Volume AWS Marketplace Codes enthält, müssen Sie zuerst die temporäre Instance beenden, bevor Sie das Volume anhängen können.
### Schritt 6: Hinzufügen des neuen öffentlichen Schlüssels zu `authorized_keys` auf dem ursprünglichen Volume, das auf der temporären Instance gemountet wird
1. Stellen Sie eine Verbindung mit der temporären Instance her.
1. Mounten Sie in der temporären Instance das Volume, das Sie an die Instance angefügt haben, damit Sie auf ihr Dateisystem zugreifen können. Beispiel: Falls der Gerätename `/dev/sdf` lautet, verwenden Sie die folgenden Befehle zum Mounten des Volume als `/mnt/tempvol`.
**Anmerkung**
Der Gerätename wird auf Ihrer Instance möglicherweise anders angezeigt. Beispiel: Geräte, die als `/dev/sdf` gemountet wurden, werden auf der Instance möglicherweise als `/dev/xvdf` angezeigt. Einige Versionen von Red Hat (oder Varianten wie CentOS) können den letzten Buchstaben möglicherweise noch um 4 Zeichen erhöhen, wobei `/dev/sdf` zu `/dev/xvdk` wird.
1. Verwenden Sie den Befehl **lsblk**, um zu ermitteln, ob das Volume partitioniert ist.
```
[ec2-user ~]$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda 202:0 0 8G 0 disk
└─xvda1 202:1 0 8G 0 part /
xvdf 202:80 0 101G 0 disk
└─xvdf1 202:81 0 101G 0 part
xvdg 202:96 0 30G 0 disk
```
Im Beispiel oben sind `/dev/xvda` und `/dev/xvdf` partitionierte Volumes und `/dev/xvdg` nicht. Falls Ihr Volume partitioniert ist, mounten Sie die Partition (`/dev/xvdf1)` anstelle des Rohdatenträgers (`/dev/xvdf`) in den nächsten Schritten.
1. Erstellen Sie ein temporäres Verzeichnis zum Mounten des Volumes.
```
[ec2-user ~]$ sudo mkdir /mnt/tempvol
```
1. Mounten Sie das Volume (oder die Partitionierung) am temporären Mount-Punkt mithilfe des Volume-Namens oder des Gerätenamens, den Sie vorher in Erfahrung gebracht haben. Der erforderliche Befehl hängt vom Dateisystem Ihres Betriebssystems ab. Beachten Sie, dass der Gerätename auf Ihrer Instance möglicherweise anders angezeigt wird. Weitere Informationen finden Sie in [note](#device-name) in Schritt 6.
+ Amazon Linux, Ubuntu und Debian
```
[ec2-user ~]$ sudo mount /dev/xvdf1 /mnt/tempvol
```
+ Amazon Linux 2, CentOS, SUSE Linux 12 und RHEL 7.x
```
[ec2-user ~]$ sudo mount -o nouuid /dev/xvdf1 /mnt/tempvol
```
**Anmerkung**
Wenn Sie einen Fehler erhalten, der besagt, dass das Dateisystem beschädigt ist, führen Sie den folgenden Befehl aus, um mit dem Dienstprogramm **fsck** das Dateisystem zu prüfen und mögliche Probleme zu beheben:
```
[ec2-user ~]$ sudo fsck /dev/xvdf1
```
1. Verwenden Sie in der temporären Instance den folgenden Befehl, um `authorized_keys` mit dem neuen öffentlichen Schlüssel über `authorized_keys` für die temporäre Instance am gemounteten Volume zu aktualisieren.
**Wichtig**
Die folgenden Beispiele verwenden den Amazon-Linux-Benutzernamen `ec2-user`. Sie können ihn durch einen anderen Benutzernamen ersetzen, wie etwa `ubuntu` für Ubuntu-Instances.
```
[ec2-user ~]$ cp .ssh/authorized_keys /mnt/tempvol/home/ec2-user/.ssh/authorized_keys
```
Falls diese Kopie erfolgreich verlief, können Sie mit dem nächsten Schritt fortfahren.
(Optional) Falls Sie keine Berechtigung zum Bearbeiten von Dateien in `/mnt/tempvol` besitzen, müssen Sie die Datei mithilfe von **sudo** aktualisieren und dann die Berechtigungen für die Datei überprüfen, um zu gewährleisten, dass Sie sich an der ursprünglichen Instance anmelden können. Führen Sie den folgenden Befehl aus, um die Berechtigungen für die Datei zu prüfen.
```
[ec2-user ~]$ sudo ls -l /mnt/tempvol/home/ec2-user/.ssh
total 4
-rw------- 1 222 500 398 Sep 13 22:54 authorized_keys
```
In dieser Beispielausgabe *222* ist dies die Benutzer-ID und *500* die Gruppen-ID. Verwenden Sie als Nächstes **sudo**, um den fehlgeschlagenen Kopierbefehl erneut auszuführen.
```
[ec2-user ~]$ sudo cp .ssh/authorized_keys /mnt/tempvol/home/ec2-user/.ssh/authorized_keys
```
Führen Sie den folgenden Befehl noch einmal aus, um zu ermitteln, ob sich die Berechtigungen geändert haben.
```
[ec2-user ~]$ sudo ls -l /mnt/tempvol/home/ec2-user/.ssh
```
Falls sich die Benutzer-ID und die Gruppen-ID geändert haben, verwenden Sie den folgenden Befehl, um sie wiederherzustellen.
```
[ec2-user ~]$ sudo chown 222:500 /mnt/tempvol/home/ec2-user/.ssh/authorized_keys
```
### Schritt 7: Aufheben der Bereitstellung und Trennen des ursprünglichen Volumes von der temporären Instance und erneutes Anfügen an die ursprüngliche Instance
1. Entfernen Sie in der temporären Instance das Volume, das Sie angefügt haben, damit Sie es wieder an der ursprünglichen Instance anhängen können. Verwenden Sie beispielsweise den folgenden Befehl, um die Bereitstellung des Volumes unter aufzuhebe `/mnt/tempvol`.
```
[ec2-user ~]$ sudo umount /mnt/tempvol
```
1. Trennen Sie das Volume von der temporären Instance (Sie haben das Mounting der Bereitstellung im vorherigen Schritt aufgehoben): Wählen Sie in der Amazon-EC2-Konsole im Navigationsbereich **Volumes**, wählen sie das Root-Volume für die ursprüngliche Instance (Sie haben die Volume-ID in einem vorherigen Schritt notiert) wählen Sie **Aktionen**, **Volume trennen** und dann **Trennen** aus. Warten Sie, bis der Status des Volumes `available` wird. (Sie müssen möglicherweise das Symbol **Refresh** (Aktualisieren) wählen.)
1. Erneutes Anfügen des Volume an die ursprüngliche Instance: Wählen Sie bei weiter ausgewähltem Volume **Actions** (Aktionen) die Option **Attach Volume** (Volume anfügen) aus. Wählen Sie die Instance-ID der ursprünglichen Instance aus, geben Sie den Gerätenamen an, den Sie zuvor in [Schritt 2](#step-2-get-info-about-original-instance) für den ursprünglichen Root-Volume-Anhang (`/dev/sda1` oder `/dev/xvda`) notiert haben, und wählen Sie dann **Volume anhängen** aus.
**Wichtig**
Falls Sie nicht denselben Gerätenamen als ursprünglichen Anhang angeben, können Sie die ursprüngliche Instance nicht starten. Amazon EC2 erwartet das Root-Volume unter `sda1` oder `/dev/xvda`.
### Schritt 8: Verbinden Sie sich mit der ursprünglichen Instance mit dem neuen Schlüsselpaar
Wählen Sie die ursprüngliche Instance und dann **Instance state (Instance-Status)**, **Start instance (Instance starten)**. Wenn die Instance den Status `running` erhält, können Sie mit der Datei mit dem privaten Schlüssel für Ihr neues Schlüsselpaar eine Verbindung zu ihr herstellen.
**Anmerkung**
Falls sich der Name Ihres neuen Schlüsselpaars und der entsprechenden Datei mit dem privaten Schlüssel vom Namen des ursprünglichen Schlüsselpaars unterscheidet, müssen Sie den Namen der Datei mit dem neuen privaten Schlüssel angeben, wenn Sie eine Verbindung mit Ihrer Instance herstellen.
### Schritt 9: Bereinigen
(Optional) Sie können die temporäre Instance beenden, falls Sie keine weitere Verwendung mehr dafür haben. Wählen Sie die temporäre Instance und dann **Instance-Status**, **Instance beenden (löschen)** aus.