Faire pivoter les clés SSH - AWS Transfer Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Faire pivoter les clés SSH

Pour des raisons de sécurité, nous recommandons la meilleure pratique qui consiste à faire pivoter vos clés SSH. Généralement, cette rotation est spécifiée dans le cadre d'une politique de sécurité et est mise en œuvre de manière automatisée. Selon le niveau de sécurité, pour une communication très sensible, une paire de clés SSH peut être utilisée une seule fois. Cela élimine les risques liés au stockage des clés. Cependant, il est beaucoup plus courant de stocker les informations d'identification SSH pendant un certain temps et de définir un intervalle qui n'impose pas une charge excessive aux utilisateurs. Cette période est souvent de trois mois.

Note

Pour une rotation automatique des clés SSH utilisant l'infrastructure comme code, voirModules Transfer Family Terraform.

Il existe deux méthodes de rotation de clés SSH :

  • Sur la console, vous pouvez télécharger une nouvelle clé publique SSH et supprimer une clé publique SSH existante.

  • À l'aide de l'API, vous pouvez mettre à jour les utilisateurs existants en utilisant l'DeleteSshPublicKeyAPI pour supprimer la clé publique Secure Shell (SSH) d'un utilisateur et l'ImportSshPublicKeyAPI pour ajouter une nouvelle clé publique Secure Shell (SSH) au compte de l'utilisateur.

Console
Pour effectuer une rotation des touches dans la console

  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Accédez à la page Serveurs.

  3. Choisissez l'identifiant dans la colonne ID du serveur pour afficher la page de détails du serveur.

  4. Sous Utilisateurs, cochez la case de l'utilisateur dont vous souhaitez faire pivoter la clé publique SSH, puis choisissez Actions, puis choisissez Ajouter une clé pour afficher la page Ajouter une clé.

    or

    Choisissez le nom d'utilisateur pour voir la page des détails de l'utilisateur, puis choisissez Ajouter une clé publique SSH pour afficher la page Ajouter une clé.

  5. Entrez la nouvelle clé publique SSH et choisissez Ajouter une clé.

    Important

    Le format de la clé publique SSH dépend du type de clé que vous avez générée.

    • Pour les clés RSA, le format estssh-rsa string.

    • Pour ED25519 les clés, le format estssh-ed25519 string.

    • Pour les clés ECDSA, la clé commence parecdsa-sha2-nistp256, ou ecdsa-sha2-nistp384ecdsa-sha2-nistp521, selon la taille de la clé que vous avez générée. La chaîne de début est ensuite suivie destring, comme pour les autres types de clés.

    Vous êtes renvoyé à la page des détails de l'utilisateur, et la nouvelle clé publique SSH que vous venez de saisir apparaît dans la section Clés publiques SSH.

  6. Cochez la case correspondant à l'ancienne touche YOU que vous souhaitez supprimer, puis choisissez Supprimer.

  7. Confirmez l'opération de suppression en saisissant le motdelete, puis choisissez Supprimer.

API
Pour effectuer une rotation des clés à l'aide de l'API

  1. Sur les systèmes d'exploitation macOS, Linux ou Unix, ouvrez un terminal de commande.

  2. Récupérez la clé SSH que vous souhaitez supprimer en saisissant la commande suivante. Pour utiliser cette commande, remplacez-la serverID par l'ID de serveur de votre serveur Transfer Family, puis par username votre nom d'utilisateur.

    aws transfer describe-user --server-id='serverID' --user-name='username'

    La commande renvoie des informations sur l'utilisateur. Copiez le contenu du "SshPublicKeyId": champ. Vous devrez saisir cette valeur ultérieurement au cours de cette procédure. 

    "SshPublicKeys": [ { "SshPublicKeyBody": "public-key", "SshPublicKeyId": "keyID",
   "DateImported": 1621969331.072 } ],

  3. Importez ensuite une nouvelle clé SSH pour votre utilisateur. À l'invite , entrez la commande suivante. Pour utiliser cette commande, serverID remplacez-la par l'ID du serveur de votre serveur Transfer Family, username par votre nom d'utilisateur et public-key par l'empreinte digitale de votre nouvelle clé publique. 

    aws transfer import-ssh-public-key --server-id='serverID' --user-name='username'
   --ssh-public-key-body='public-key'

    Si la commande aboutit, aucune sortie n'est renvoyée.

  4. Enfin, supprimez l'ancienne clé en exécutant la commande suivante. Pour utiliser cette commande, remplacez serverID par l'ID de serveur de votre serveur Transfer Family, remplacez par username votre nom d'utilisateur et remplacez par la valeur keyID-from-step-2 d'ID clé que vous avez copiée à l'étape 2 de cette procédure 

    aws transfer delete-ssh-public-key --server-id='serverID' --user-name='username'
   --ssh-public-key-id='keyID-from-step-2'

  5. (Facultatif) Pour confirmer que l'ancienne clé n'existe plus, répétez l'étape 2.