Proteger instâncias do Amazon EC2 iniciadas de snapshots do Lightsail - Amazon Lightsail
Criar uma chave privada usando o Amazon EC2Criar a chave pública usando o PuTTYgenConectar-se à instância do Linux ou Unix no Amazon EC2Adicionar a chave pública à instância e testar a conexãoRemover a chave padrão do LightsailRemover a chave do sistema do Lightsail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteger instâncias do Amazon EC2 iniciadas de snapshots do Lightsail

O Amazon Lightsail e o Amazon Elastic Compute Cloud (Amazon EC2) utilizam criptografia de chave pública para criptografar e descriptografar informações de login. A criptografia de chave pública usa uma chave pública para criptografar uma parte dos dados, como uma senha, e o destinatário usa a chave privada para descriptografar os dados. As chaves pública e privada são conhecidas como par de chaves.

Ao exportar uma instância do Lightsail de Linux ou Unix para o EC2, a nova instância do EC2 conterá chaves residuais do serviço do Lightsail. Como uma das melhores práticas de segurança, você deve remover as chaves não utilizadas de sua instância.

Para aumentar a segurança de uma instância de Linux ou Unix no EC2 criada a partir de um snapshot do Lightsail, recomendamos executar as seguintes ações depois de criar a instância:

  • Remova e substitua a chave padrão do Lightsail se tiver usado ela para se conectar à instância de origem no Lightsail. A chave padrão do Lightsail não estará presenta em sua instância do Amazon EC2 caso tenha usado sua própria chave para se conectar à instância, ou caso tenha criado uma chave para a instância no console do Lightsail.

  • Remova a chave do sistema do Lightsail, também conhecida como chave lightsail_instance_ca.pub. Essa chave em instâncias do Linux e Unix permite que o cliente SSH baseado em navegador do Lightsail se conecte. A chave lightsail_instance_ca.pub é automaticamente removida quando uma instância do EC2 é criada usando o método na página Criar uma instância do Amazon EC2 no console do Lightsail ou na API Lightsail.

Conteúdo

Criar uma chave privada usando o Amazon EC2

Use o console do Amazon EC2 para criar um novo par de chaves que pode ser usado para substituir o par de chaves padrão do Lightsail.

Para criar uma chave privada usando o Amazon EC2

  1. Faça login no console do Amazon EC2.

  2. No painel de navegação à esquerda, escolha Key Pairs (Pares de chaves).

  3. Escolha Create key pair (Criar par de chaves).

    Pares de chaves no console do Amazon EC2.

  4. Insira um nome para a chave na caixa de texto Nome do par de chaves e, em seguida, selecione Criar um par de chaves. Para obter mais informações sobre como criar pares de chaves no Amazon EC2, consulte Criar um par de chaves para sua instância do Amazon EC2 no Guia do usuário do Amazon Elastic Compute Cloud.

    O download da nova chave privada será realizado automaticamente. Anote o local onde a chave privada será salva. Ela será necessária na próxima seção Criar a chave pública usando o PuTTYgen deste guia para criar uma chave pública.

    Crie pares de chaves no console do Amazon EC2.

Criar a chave pública usando o PuTTYgen

O PuTTYgen é uma ferramenta inclusa com o PuTTY. Use o PuTTYgen para gerar o texto de chave pública que será adicionado à instância posteriormente neste guia.

nota

Para obter mais informações sobre como configurar o PuTTY para se conectar à instância do Linux ou Unix, consulte Conexão a uma instância do Linux ou Unix no Amazon EC2 criada a partir de um snapshot do Lightsail.

Para criar a chave pública usando o PuTTYgen

  1. Inicie o PuTTYgen.

    Por exemplo, escolha o menu Iniciar do Windows, selecione Todos os Programas, escolha PuTTY e selecione PuTTYgen.

    Gerador de chaves PuTTY.

  2. Escolha Carregar.

    Por padrão, o PuTTYgen exibe somente arquivos com a extensão .PPK. Para localizar o arquivo .PEM, selecione a opção para exibir arquivos de todos os tipos.

    Carregue a chave privada do Lightsail no gerador de chaves PuTTY.

  3. Navegue até o local de sua chave privada criada anteriormente neste guia. Escolha a chave privada e, em seguida, escolha Open (Abrir).

  4. Depois que o PuTTYgen confirmar a importação da chave, escolha OK.

  5. Destaque o conteúdo da caixa de texto Public key (Chave pública) e copie-o para a área de transferência pressionando Ctrl+C se estiver usando o Windows ou Cmd+C se estiver usando macOS.

    Abra um editor de texto, como o Bloco de Notas ou o TextEdit, e cole o texto da chave pública nele pressionando Ctrl+V se estiver usando o Windows ou Cmd+V se estiver usando macOS. Salve o arquivo com o texto da chave pública, ele será necessário mais adiante neste guia.

    Gerador de chaves PuTTY.

  6. Prossiga para a seção Connect to your Linux or Unix instance in Amazon EC2 deste guia para se conectar à instância do EC2 e adicionar a chave pública.

Conectar-se à instância do Linux ou Unix no Amazon EC2

Conecte-se à sua instância do Linux ou Unix no Amazon EC2 usando SSH para remover a chave padrão do Lightsail e a chave do sistema. Para obter mais informações, consulte Conectar-se a uma instância do Linux ou Unix no Amazon EC2 criada com base em um snapshot do Amazon Lightsail.

Prossiga para a seção Adicionar a chave pública à instância e testar a conexão deste guia após ter se conectado à instância no Amazon EC2.

Adicionar a chave pública à instância e testar a conexão

O conteúdo da chave pública é salvo no arquivo ~/.ssh/authorized_keys em instâncias do Linux e Unix. Edite o arquivo para remover e substituir a chave padrão do Lightsail de sua instância do Linux ou Unix no Amazon EC2.

Para adicionar a chave pública à instância e testar a conexão

  1. Depois de estabelecer uma conexão SSH com sua instância, insira o comando a seguir para editar o arquivo authorized_keys usando o editor de texto Vim. 

    sudo vim ~/.ssh/authorized_keys
    nota

    Essas etapas utilizam o Vim para fins de demonstração. No entanto, você pode usar qualquer editor de texto para essas etapas.

    LightsailChave padrão do .

  2. Pressione a tecla I para entrar no modo de inserção no editor Vim.

  3. Insira uma linha extra após a chave padrão do Lightsail.

  4. Copie e cole o texto de chave pública que foi salvo anteriormente neste guia.

    O resultado deve ser algo semelhante a:

    LightsailChave padrão do .

  5. Pressione a tecla ESC e, em seguida, insira :wq! para salvar as edições e sair do Vim.

  6. Insira o seguinte comando para reiniciar o servidor Open SSH:

    sudo /etc/init.d/sshd restart

    Será exibido um resultado semelhante ao seguinte:

    LightsailChave padrão do .

    Sua nova chave pública agora está adicionada à instância. Para testar o novo par de chaves, desconecte-se de sua instância. Configure o PuTTY para usar a nova chave privada em vez da chave padrão do Lightsail. Se conseguir se conectar com êxito à instância usando o novo par de chaves, prossiga para a seção Remover a chave padrão do Lightsail deste guia para remover a chave padrão do Lightsail.

Remover a chave padrão do Lightsail

Remova a chave padrão do Lightsail depois de adicionar uma nova chave pública à instância e após se conectar à ela usando o novo par de chaves.

Para remover a chave padrão do Lightsail

  1. Depois de estabelecer uma conexão SSH com sua instância, insira o comando a seguir para editar o authorized_keys file usando o editor de texto Vim.

    sudo vim ~/.ssh/authorized_keys

  2. Pressione a tecla I para entrar no modo de inserção no editor Vim.

  3. Exclua a linha que termina com LightsailDefaultKeyPair. Essa é a chave padrão do Lightsail.

    LightsailChave padrão do .

  4. Pressione a tecla ESC e, em seguida, insira :wq! para salvar as edições e sair do Vim.

  5. Insira o seguinte comando para reiniciar o servidor Open SSH:

    sudo /etc/init.d/sshd restart

    Será exibido um resultado semelhante ao seguinte:

    LightsailChave padrão do .

    A chave padrão do Lightsail será removida de sua instância. A partir de agora, sua instância recusará conexões que usam a chave padrão do Lightsail. Prossiga para a seção Remover a chave do sistema do Lightsail deste guia para remover a chave do sistema do Lightsail.

Remover a chave do sistema do Lightsail

A chave do sistema do Lightsail, também conhecida como a chave lightsail_instance_ca.pub, em instâncias do Linux e Unix permite que o cliente SSH baseado em navegador do Lightsail se conecte. Execute as etapas a seguir para remover a chave lightsail_instance_ca.pub de sua instância do Linux ou Unix no Amazon EC2 e editar o arquivo /etc/ssh/sshd_config. O arquivo /etc/ssh/sshd_config define parâmetros para conexões SSH à sua instância.

Para remover a chave do sistema do Lightsail

  1. Em uma janela de terminal SSH conectado à instância, insira o seguinte comando para remover a chave lightsail_instance_ca.pub:

    sudo rm –r /etc/ssh/lightsail_instance_ca.pub

  2. Insira o seguinte comando para editar o arquivo sshd_config usando o editor de texto Vim.

    sudo vim /etc/ssh/sshd_config

  3. Pressione a tecla I para entrar no modo de inserção no editor Vim.

  4. Exclua o texto a seguir do arquivo, se estiver presente:

    TrustedUserCAKeys /etc/ssh/lightsail_instance_ca.pub

  5. Pressione a tecla ESC e, em seguida, insira :wq! para salvar as edições e sair do Vim.

  6. Insira o seguinte comando para reiniciar o servidor Open SSH:

    sudo /etc/init.d/sshd restart

    Será exibido um resultado semelhante ao seguinte:

    LightsailChave padrão do .

    A chave lightsail_instance_ca.pub será removida de sua instância. O arquivo sshd_config associado será atualizado para excluir essa chave.