Drehen Sie die SSH-Schlüssel - AWS Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Drehen Sie die SSH-Schlüssel

Aus Sicherheitsgründen empfehlen wir die bewährte Methode, Ihre SSH-Schlüssel zu rotieren. In der Regel wird diese Rotation als Teil einer Sicherheitsrichtlinie festgelegt und automatisiert implementiert. Je nach Sicherheitsstufe kann ein SSH-Schlüsselpaar für eine hochsensible Kommunikation nur einmal verwendet werden. Dadurch werden Risiken vermieden, die aus dem Speichern von Schlüsseln erwachsen. Es ist jedoch viel üblicher, SSH-Anmeldeinformationen für einen bestimmten Zeitraum zu speichern und ein Intervall festzulegen, das die Benutzer nicht übermäßig belastet. Dieser Zeitraum hat typischerweise eine Länge von drei Monaten.

Anmerkung

Informationen zur automatisierten SSH-Schlüsselrotation unter Verwendung von Infrastruktur als Code finden Sie unter. Terraform-Module der Transfer Family

Es gibt zwei Methoden zum Durchführen der SSH-Schlüsselrotation:

  • Auf der Konsole können Sie einen neuen öffentlichen SSH-Schlüssel hochladen und einen vorhandenen öffentlichen SSH-Schlüssel löschen.

  • Mithilfe der API können Sie bestehende Benutzer aktualisieren, indem Sie die DeleteSshPublicKeyAPI verwenden, um den öffentlichen Secure Shell (SSH) -Schlüssel eines Benutzers zu löschen, und die ImportSshPublicKeyAPI, um dem Konto des Benutzers einen neuen öffentlichen Secure Shell (SSH) -Schlüssel hinzuzufügen.

Console
Um eine Schlüsselrotation in der Konsole durchzuführen

  1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/.

  2. Navigieren Sie zur Seite Server.

  3. Wählen Sie den Bezeichner in der Spalte Server-ID aus, um die Seite mit den Serverdetails aufzurufen.

  4. Wählen Sie unter Benutzer das Kontrollkästchen des Benutzers aus, dessen öffentlichen SSH-Schlüssel Sie rotieren möchten. Wählen Sie dann Aktionen und anschließend Schlüssel hinzufügen aus, um die Seite Schlüssel hinzufügen aufzurufen.

    oder

    Wählen Sie den Benutzernamen aus, um die Seite mit den Benutzerdetails aufzurufen, und wählen Sie dann Öffentlichen SSH-Schlüssel hinzufügen aus, um die Seite Schlüssel hinzufügen aufzurufen.

  5. Geben Sie den neuen öffentlichen SSH-Schlüssel ein und wählen Sie Schlüssel hinzufügen.

    Wichtig

    Das Format des öffentlichen SSH-Schlüssels hängt von der Art des von Ihnen generierten Schlüssels ab.

    • Für RSA-Schlüssel lautet das Format. ssh-rsa string

    • Für ED25519 Schlüssel ist ssh-ed25519 string das Format.

    • Bei ECSA-Schlüsseln beginnt der Schlüssel mitecdsa-sha2-nistp256, oder ecdsa-sha2-nistp384ecdsa-sha2-nistp521, abhängig von der Größe des von Ihnen generierten Schlüssels. Auf die Anfangszeichenfolge folgt dannstring, ähnlich wie bei den anderen Schlüsseltypen.

    Sie kehren zur Seite mit den Benutzerdetails zurück, und der neue öffentliche SSH-Schlüssel, den Sie gerade eingegeben haben, wird im Abschnitt Öffentliche SSH-Schlüssel angezeigt.

  6. Aktivieren Sie das Kontrollkästchen des alten YOU-Schlüssels, den Sie löschen möchten, und wählen Sie dann Löschen.

  7. Bestätigen Sie den Löschvorgang, indem Sie das Wort eingebendelete, und wählen Sie dann Löschen.

API
Um eine Schlüsselrotation mithilfe der API durchzuführen

  1. Öffnen Sie auf macOS-, Linux- oder Unix-Betriebssystemen ein Befehlsterminal.

  2. Rufen Sie den SSH-Schlüssel ab, den Sie löschen möchten, indem Sie den folgenden Befehl eingeben. Um diesen Befehl zu verwenden, serverID ersetzen Sie ihn durch die Server-ID für Ihren Transfer Family Family-Server und username durch Ihren Benutzernamen.

    aws transfer describe-user --server-id='serverID' --user-name='username'

    Der Befehl gibt Details über den Benutzer zurück. Kopieren Sie den Inhalt des "SshPublicKeyId": Felds. Sie müssen diesen Wert später in diesem Verfahren eingeben. 

    "SshPublicKeys": [ { "SshPublicKeyBody": "public-key", "SshPublicKeyId": "keyID",
   "DateImported": 1621969331.072 } ],

  3. Importieren Sie als Nächstes einen neuen SSH-Schlüssel für Ihren Benutzer. Geben Sie an der -Eingabeaufforderung folgenden Befehl ein. Um diesen Befehl zu verwenden, serverID ersetzen Sie ihn durch die Server-ID für Ihren Transfer Family Family-Server, username ersetzen Sie ihn durch Ihren Benutzernamen und public-key ersetzen Sie ihn durch den Fingerabdruck Ihres neuen öffentlichen Schlüssels. 

    aws transfer import-ssh-public-key --server-id='serverID' --user-name='username'
   --ssh-public-key-body='public-key'

    Wenn der Befehl erfolgreich ist, wird keine Ausgabe zurückgegeben.

  4. Löschen Sie abschließend den alten Schlüssel, indem Sie den folgenden Befehl ausführen. Um diesen Befehl zu verwenden, serverID ersetzen Sie ihn durch die Server-ID für Ihren Transfer Family Family-Server, username ersetzen Sie ihn durch Ihren Benutzernamen und keyID-from-step-2 ersetzen Sie ihn durch den Schlüssel-ID-Wert, den Sie in Schritt 2 dieses Verfahrens kopiert haben. 

    aws transfer delete-ssh-public-key --server-id='serverID' --user-name='username'
   --ssh-public-key-id='keyID-from-step-2'

  5. (Optional) Um zu bestätigen, dass der alte Schlüssel nicht mehr existiert, wiederholen Sie Schritt 2.