本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理 SSH 存取
<a name="security-ssh-access"></a>

**重要**  
 AWS OpsWorks Stacks 此服務已於 2024 年 5 月 26 日終止，並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載遷移至其他解決方案。如果您對遷移有任何疑問，請透過 [AWS re：Post](https://repost.aws/) 或透過 [AWS Premium Support](https://aws.amazon.com/support) 聯絡 AWS 支援 團隊。

OpsWorks Stacks 支援 Linux 和 Windows 堆疊的 SSH 金鑰。
+ 若是 Linux 執行個體，您可以使用 SSH 登入執行個體以執行[代理程式 CLI](agent.md) 命令。

  如需詳細資訊，請參閱[使用 SSH 登入](workinginstances-ssh.md)。
+ 若是 Windows 執行個體，您可以使用 SSH 金鑰取得該執行個體的管理員密碼，以用來登入 RDP。

  如需詳細資訊，請參閱[使用 RDP 登入](workinginstances-rdp.md)。



身分驗證是根據 SSH 金鑰對來進行；金鑰對中包含公有金鑰和私有金鑰：
+ 您會在執行個體上安裝公有金鑰。

  位置取決於特定的作業系統，但 OpsWorks Stacks 會為您處理詳細資訊。
+ 您可將私有金鑰存放在本機，並將其提供給 SSH 用戶端 (例如 `ssh.exe`)，以存取執行個體。

  SSH 用戶端會使用私有金鑰連線到該執行個體。

若要將 SSH 存取權提供給堆疊的使用者，您需要一種可以建立 SSH 金鑰對、在堆疊的執行個體上安裝公有金鑰，以及安全地管理私有金鑰的方式。

Amazon EC2 提供在執行個體上安裝公有 SSH 金鑰的簡單方法。您可以使用 Amazon EC2 主控台或 API，為您計劃使用的每個 AWS 區域建立一或多個金鑰對。Amazon EC2 會將公有金鑰存放在 AWS 上，而您將私有金鑰存放在本機。當您啟動執行個體時，您可以指定其中一個區域的金鑰對，Amazon EC2 會自動將其安裝在執行個體上。然後，您即可使用對應的私有金鑰登入執行個體。如需詳細資訊，請參閱 [Amazon EC2 金鑰對](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html)。

使用 OpsWorks Stacks，您可以在建立堆疊時指定其中一個區域的 Amazon EC2 金鑰對，並在建立每個執行個體時選擇性地使用不同的金鑰對覆寫它。當 OpsWorks Stacks 啟動對應的 Amazon EC2 執行個體時，它會指定金鑰對，Amazon EC2 會在執行個體上安裝公有金鑰。然後，您可以使用私有金鑰登入或擷取管理員密碼，就像使用標準 Amazon EC2 執行個體一樣。如需詳細資訊，請參閱[安裝 Amazon EC2 金鑰](security-settingec2key.md)。

使用 Amazon EC2 金鑰對很方便，但有兩個重大限制：
+ Amazon EC2 金鑰對與特定 AWS 區域繫結。

  如果您在多個區域中工作，就必須管理多組金鑰對。
+ 您只能在執行個體上安裝一個 Amazon EC2 金鑰對。

  如果您想要允許多位使用者登入，則所有使用者都必須具備私有金鑰的複本；這不是建議的安全做法。

對於 Linux 堆疊， OpsWorks Stacks 提供更簡單且更靈活的方法來管理 SSH 金鑰對。
+ 每位使用者可註冊個人金鑰對。

  它們會在本機存放私有金鑰，並向 Stacks OpsWorks 註冊公有金鑰，如中所述[註冊使用者的公有 SSH 金鑰](security-settingsshkey.md)。
+ 在設定堆疊的許可時，您可以指定哪些使用者應具備堆疊執行個體的 SSH 存取權。

  OpsWorks Stacks 會自動為每個授權使用者在堆疊的執行個體上建立系統使用者，並安裝其公有金鑰。使用者即可使用對應的私有金鑰登入，如[使用 SSH 登入](workinginstances-ssh.md)中所述。

使用個人 SSH 金鑰有下列優勢。
+ 您不需要手動設定執行個體上的金鑰； OpsWorks Stacks 會自動在每個執行個體上安裝適當的公有金鑰。
+ OpsWorks Stacks 只會安裝授權使用者的個人公有金鑰。

  未經授權的使用者不能使用其個人私有金鑰來存取執行個體。使用 Amazon EC2 金鑰對，任何具有對應私有金鑰的使用者都可以登入，無論是否具有授權的 SSH 存取。
+ 如果使用者不再需要 SSH 存取權，您可以使用 [**Permissions (許可)** 頁面](opsworks-security-users-manage-edit.md)，撤銷使用者的 SSH/RDP 許可。

  OpsWorks Stacks 會立即從堆疊的執行個體解除安裝公有金鑰。
+ 您可以為任何 AWS 區域使用相同的金鑰。

  使用者只需要管理一個私有金鑰。
+ 您不需要共享私有金鑰。

  每位使用者都有自己的私有金鑰。
+ 輪換金鑰非常簡單。

  您或使用者可以在 **My Settings (我的設定)** 中更新公有金鑰，而 OpsWorks Stacks 即會自動更新執行個體。

# 安裝 Amazon EC2 金鑰
<a name="security-settingec2key"></a>

**重要**  
 AWS OpsWorks Stacks 此服務已於 2024 年 5 月 26 日終止，並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載遷移至其他解決方案。如果您對遷移有任何疑問，請透過 [AWS re：Post](https://repost.aws/) 或透過 [AWS Premium Support](https://aws.amazon.com/support) 聯絡 AWS 支援 團隊。

當您建立堆疊時，您可以指定預設安裝在堆疊中每個執行個體上的 Amazon EC2 SSH 金鑰。

![\[新增堆疊頁面上的預設 SSH 金鑰清單\]](http://docs.aws.amazon.com/zh_tw/opsworks/latest/userguide/images/ec2_keys.png)


**預設 SSH 金鑰**清單會顯示您 AWS 帳戶的 Amazon EC2keys。您可以執行下列任一作業：
+ 從清單中選取適當的金鑰。
+ 若不指定任何金鑰，請選取 **Do not use a default SSH key (不使用預設 SSH 金鑰)**。

如果您已選取 **Do not use a default SSH key (不使用預設 SSH 金鑰)**，或是您希望覆寫堆疊的預設金鑰，則可以在您建立執行個體時指定金鑰。

![\[指定 SSH 金鑰\]](http://docs.aws.amazon.com/zh_tw/opsworks/latest/userguide/images/instance_keys.png)


當您啟動執行個體時， Stacks OpsWorks 會在 `authorized_keys` 檔案中安裝公有金鑰。

# 註冊使用者的公有 SSH 金鑰
<a name="security-settingsshkey"></a>

**重要**  
 AWS OpsWorks Stacks 此服務已於 2024 年 5 月 26 日終止，並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載遷移至其他解決方案。如果您對遷移有任何疑問，請透過 [AWS re：Post](https://repost.aws/) 或透過 [AWS Premium Support](https://aws.amazon.com/support) 聯絡 AWS 支援 團隊。

您有兩種方式可以註冊使用者的公有 SSH 金鑰：
+ 管理使用者可以將公有 SSH 金鑰指派給一或多位使用者，並提供對應的私有金鑰給他們。
+ 管理使用者可以啟用一或多位使用者的自我管理。

  這些使用者可以指定自己的公有 SSH 金鑰。

如需了解管理使用者如何啟用自行管理或將公有金鑰指派給使用者的詳細資訊，請參閱 [編輯使用者設定](opsworks-security-users-manage-edit.md)。

若要在 PuTTY 終端機中使用 SSH 連線至 Linux 式執行個體，會需要額外的步驟。如需詳細資訊，請參閱 AWS 文件中的[使用 PuTTY 從 Windows 連線至您的 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html)和[對您的執行個體連線進行故障診斷](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html)。

以下說明啟用自我管理的使用者如何指定其公有金鑰。

**指定您的 SSH 公有金鑰**

1. 建立 SSH 金鑰對。

   最簡單的方法是本機產生金鑰對。如需詳細資訊，請參閱[如何產生自己的金鑰並將它匯入 Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/generating-a-keypair.html#how-to-generate-your-own-key-and-import-it-to-aws)。
**注意**  
如果您使用 PuTTYgen 產生金鑰對，請從公有金鑰複製**公有金鑰，以貼入 OpenSSH authorized\$1keys 檔案**方塊中。按一下 **Save Public Key (儲存公有金鑰)** 時，會將公有金鑰儲存為 MindTerm 不支援的格式。

1. 以啟用自我管理的 IAM 使用者身分登入 OpsWorks Stacks 主控台。
**重要**  
如果您以帳戶擁有者或未啟用自我管理的 IAM 使用者身分登入， OpsWorks Stacks 不會顯示**我的設定**。如果您是管理使用者或帳戶擁有者，則可以前往 **Users (使用者)** 頁面，並[編輯使用者設定](opsworks-security-users-manage-edit.md)，來改為指定 SSH 金鑰。

1. 選取**我的設定**，顯示登入使用者的設定。  
![\[OpsWorks 儀表板中的 My Settings (我的設定) 連結。\]](http://docs.aws.amazon.com/zh_tw/opsworks/latest/userguide/images/permissions-mysettings-link.png)

1. 在 **My Settings (我的設定)** 頁面中，按一下 **Edit (編輯)**。  
![\[My Settings (我的設定) 頁面中的 Edit (編輯) 按鈕。\]](http://docs.aws.amazon.com/zh_tw/opsworks/latest/userguide/images/mysettings-editbutton.png)

1.  在 **Public SSH Key (公有 SSH 金鑰)** 方塊中，輸入您的 SSH 公有金鑰，然後按一下 **Save (儲存)**。  
![\[My Settings (我的設定) 頁面中的 Public SSH Key (公有 SSH 金鑰) 方塊。\]](http://docs.aws.amazon.com/zh_tw/opsworks/latest/userguide/images/mysettings-setsshkey.png)

**重要**  
若要使用內建的 MindTerm SSH 用戶端連線至 Amazon EC2 執行個體，使用者必須以 IAM 使用者身分登入，並擁有向 Stacks 註冊的公有 SSH OpsWorks 金鑰。如需詳細資訊，請參閱[使用內建的 MindTerm SSH 用戶端](workinginstances-ssh-mindterm.md)。