Où la paire de clés AWS EC2 doit-elle être stockée?

9

Pouvez-vous suggérer des emplacements sûrs pour stocker les paires de clés associées aux instances EC2?

Est-il sûr de stocker ce genre de choses dans le stockage S3 d'Amazon si elles sont limitées à votre compte?

Je l'ai actuellement sur mon PC ... à la maison. Est-ce mauvais?

amazon-ec2 amazon-web-services Luc
la source
3
Ça dépend. Si vous êtes une banque, c'est probablement horriblement mauvais. Si c'est pour votre blog, c'est très bien. S3 peut être une bonne idée, peut-être une mauvaise idée si vous avez mélangé les autorisations.
ceejayoz

Réponses:

11

La meilleure façon de protéger vos paires de clés EC2, qui ne sont que des clés SSH, est de les chiffrer avec une phrase de passe (et de suivre votre processus de gestion de mot de passe normal pour cette phrase de passe). En supposant que vous utilisez linux, vous pouvez utiliser ssh-keygen -p -f $filepour crypter la clé. Vous devriez garder une sauvegarde, de préférence physiquement sécurisée (c'est-à-dire une clé USB dans un coffre-fort ou quelque chose). Je suppose que vous parlez de la moitié privée de la clé, car la clé publique est évidemment publique.

Théoriquement, il serait préférable de stocker la clé sur un module de plateforme sécurisée sur votre poste de travail ou sur une carte à puce, mais il existe généralement des problèmes pratiques avec cette solution lors de l'utilisation des clés SSH.

Qu'il soit mauvais de stocker la clé sur votre ordinateur personnel dépend de s'il s'agit d'une violation de la politique. Si ce n'est pas le cas, honnêtement, il n'y a aucune raison de considérer cela comme pire que de le stocker sur un ordinateur portable que vous utilisez pour le travail.

Vous pouvez certainement conserver une sauvegarde de la clé dans S3 (au lieu d'une sauvegarde physique). Le modèle de menace est tel que vous avez déjà une très mauvaise journée (en termes de fuites de données et d'interruption de service, entre autres) si quelqu'un est en mesure d'accéder à votre compte AWS. Mais, à moins qu'il n'y ait un principal de sécurité qui pourrait avoir accès au compartiment S3 avec votre clé mais ne pas être autorisé à se connecter aux machines, vous devrez trouver un autre moyen. Si vous stockez une copie dans S3, assurez-vous au moins qu'elle est chiffrée avec une phrase secrète.

Falcon Momot
la source
6

Eh bien, la clé publique peut être stockée où vous le souhaitez. Tatouez-le sur votre front, par exemple. :)

La clé privée est ce que vous devez protéger, car c'est vraiment votre identité. Quiconque met la main sur votre clé (non chiffrée) peut accéder à vos serveurs. Alors, protégez-le et sauvegardez-le comme vous le feriez pour tout autre fichier important mais confidentiel. Chiffrez-le et enregistrez-le sur un lecteur flash, imprimez-le sur papier et stockez-le dans un coffre-fort en dernier recours, etc. Si vous voulez le stocker dans S3, c'est probablement bien, mais je ne le ferais que dans son forme cryptée.

EEAA
la source
4
C'est un long tatouage.
Bob
4
L'idée de @Coulton EEAA n'est pas si mauvaise. Tatouez-le comme un code QR sur votre front, puis ayez quelque chose qui vous authentifie auprès de vos instances lorsque vous faites face à votre webcam.
PNDA
4
Bummer quand vous devez faire pivoter votre clé, cependant.
EEAA