Onde o AWS EC2 Key Pair deve ser armazenado?

9

Você pode sugerir locais seguros para armazenar os pares de chaves associados às instâncias do EC2?

É seguro armazenar esses tipos de coisas no armazenamento S3 da Amazon se eles estiverem restritos à sua conta?

Atualmente, tenho no meu PC ... em casa. Isso é ruim?

amazon-ec2 amazon-web-services Lucas
fonte
3
Depende. Se você é um banco, isso provavelmente é terrivelmente ruim. Se for para o seu blog, provavelmente está bem. S3 pode ser uma boa ideia, pode ser uma má ideia se você tiver as permissões misturadas.
ceejayoz

Respostas:

11

A melhor maneira de proteger seus pares de chaves do EC2, que são apenas chaves SSH, é criptografá-los com uma senha (e siga o processo normal de gerenciamento de senha dessa senha). Supondo que você esteja usando o Linux, você pode ssh-keygen -p -f $filecriptografar a chave. Você deve manter um backup, de preferência fisicamente protegido (por exemplo, um pen drive em um cofre ou algo assim). Suponho que você esteja falando da metade privada da chave, pois a chave pública é obviamente pública.

Teoricamente, seria melhor armazenar a chave em um TPM em sua estação de trabalho ou em um cartão inteligente, mas geralmente há problemas práticos com essa solução ao lidar com chaves SSH.

Se é ruim armazenar a chave no seu PC em casa depende se isso é uma violação da política. Se não for, honestamente, há poucas razões para considerar isso pior do que armazená-lo em um laptop usado para o trabalho.

Você certamente pode manter um backup da chave no S3 (em vez de um backup físico). O modelo de ameaça é tal que você já está tendo um dia muito ruim (em termos de vazamento de dados e interrupção do serviço, entre outras coisas) se alguém puder acessar sua conta da AWS. Mas, a menos que haja algum responsável pela segurança que possa ter acesso ao bucket S3 com sua chave, mas não tenha permissão para efetuar login nas máquinas, você precisaria encontrar outra maneira. Se você armazenar uma cópia no S3, verifique se ela está criptografada com uma senha.

Falcon Momot
fonte
6

Bem, a chave pública pode ser armazenada onde você quiser. Tatuá-lo na testa, por exemplo. :)

A chave privada é o que você precisa proteger, pois é realmente sua identidade. Qualquer pessoa que coloque a mão na sua chave (não criptografada) pode fazer o que quer com seus servidores. Portanto, proteja-o e faça o backup como faria com qualquer outro arquivo importante, mas confidencial. Criptografe-o e salve-o em uma unidade flash, imprima-o em papel e guarde-o em um cofre como último recurso, etc. formulário criptografado.

EEAA
fonte
4
Essa é uma tatuagem longa.
Bob
4
A ideia da @Coulton EEAA não é tão ruim assim. Tatuá-lo como um código QR na testa e ter algo que o autentique nas suas instâncias quando você estiver de frente para a webcam.
PNDA
4
Que chatice quando você precisa girar sua chave, no entanto.
EEAA