回答:
素敵なパズル、ありがとう!答えは1つです。
キーペアp2を指定して、新しい一時的なEBSブートt1.microインスタンスAを開始します。別のインスタンスBが既に実行されており、アクセスできるアベイラビリティーゾーンを指定します。(必要に応じて一時的なものを開始します)。
インスタンスAが数分間実行状態になった後、インスタンスAを停止します(終了しません)。そのため、authorized_keysファイルに公開鍵を保存する機会があります。
停止したインスタンスAからルートEBSボリュームを切断します。実行中のインスタンスBに接続してマウントします。
マウントされたファイルシステムから公開キーをコピーします。
EBSボリュームを切り離して削除します。一時インスタンスAを終了します。
ただし、正しいssh-keygenコマンドは次のとおりです。
ssh-keygen -y -f /path/to/privatekey > /path/to/publickey
chmod 400 your_private_key.pem「アクセス許可がオープンすぎます」エラーが表示された場合に実行します
EBSボリュームを使用してssh公開キーを取得する1つの回答を既に提供しましたが、公開キーをコンソール出力に送信するユーザーデータスクリプトを使用して一時的なEC2インスタンスを開始することで取得できる別の方法があります。手順は次のとおりです。
次のコードをoutput-ssh-key.userdataローカルコンピューター上の名前のファイルに保存します。これらのコマンドをローカルで実行しないでください!
#!/bin/bash -ex
exec> >(tee /var/log/user-data.log|logger -t user -s 2>/dev/console) 2>&1
adminkey=$(GET instance-data/latest/meta-data/public-keys/ |
perl -ne 'print $1 if /^0=[^a-z0-9]*([-.@\w]*)/i')
cat <<EOF
SSHKEY:========================================================================
SSHKEY:HERE IS YOUR PUBLIC SSH KEY FOR KEYPAIR "$adminkey":
SSHKEY:$(cat /home/ubuntu/.ssh/authorized_keys)
SSHKEY:========================================================================
SSHKEY:Halting in 50min ($(date --date='+50 minutes' +"%Y-%m-%d %H:%M UTC"))
EOF
sleep 3000
halt
上記のファイルをユーザーデータスクリプトとして、ストックのUbuntu 10.04 LTSインスタンスを実行します。ssh公開鍵を取得する鍵ペアを指定します。
ec2-run-instances \
--key YOURKEYPAIRHERE \
--instance-type t1.micro \
--instance-initiated-shutdown-behavior terminate \
--user-data-file output-ssh-key.userdata \
ami-ab36fbc2
ssh公開キーが表示されるまで、インスタンスからコンソール出力をリクエストし続けます。run-instancesコマンドから返されたインスタンスIDを指定します。
ec2-get-console-output YOURINSTANCEID | grep SSHKEY: | cut -f3- -d:
2〜10分以内に、次のような出力が得られます。
========================================================================
HERE IS YOUR PUBLIC SSH KEY FOR KEYPAIR "erich":
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA6rn8cl41CkzaH4ZBhczOJZaR4xBBDI1Kelc2ivzVvCB
THcdJRWpDd5I5hY5W9qke9Tm4fH3KaUVndlcP0ORGvS3PAL4lTpkS4D4goMEFrwMO8BG0NoE8sf2U/7g
aUkdcrDC7jzKYdwleRCI3uibNXiSdeG6RotClAAp7pMflDVp5WjjECDZ+8Jzs2wasdTwQYPhiWSiNcfb
fS97QdtROf0AcoPWElZAgmabaDFBlvvzcqxQRjNp/zbpkFHZBSKp+Sm4+WsRuLu6TDe9lb2Ps0xvBp1F
THlJRUVKP2yeZbVioKnOsXcjLfoJ9TEL7EMnPYinBMIE3kAYw3FzZZFeX3Q== erich
========================================================================
Halting in 50min (2011-12-20 05:58 UTC)
一時インスタンスは1時間以内に自動的に終了しますが、実行にかかる2セントを超えて請求されないようにする場合は、自分で終了できます。
秘密のSSHキーがある場合は、次のssh-keygenコマンドを実行するだけで、公開キーコンポーネントを再生成できます。
ssh-keygen -i -f /path/to/private-key > /path/to/public-key
これだけが簡単な部分です... AWSコンソールとAPIは、EC2インスタンスの起動時に2つのキーペアのプッシュをサポートしていません。これは、システム管理者が他の手段で行うために残された演習です。
すでに許可されているIDキーにアクセスできる場合は、次のssh-copy-idコマンドを実行するだけで済みます。
ssh-copy-id -i /path/to/public-key user@EC2-instance
これにより、指定された公開鍵がサーバーにコピーされ、 ~user/.ssh/authorized_keysファイルに自動的にファイルに対する適切な権限が確保されます。
よりエレガントな方法は、構成管理プロセスに追加のIDキーを含めることです。私の場合、これにはノードのPuppet構成に追加のキーを追加する必要があります。
補足として、個人的な好みですが、職場と自宅の場所に別々のキーを含めるだけでなく、より良いSSHキー管理方法を利用します。前の質問で述べたように、キーは、使用するコンピューターではなく、USBドライブに保持します。
別のオプションは、rootに別のsshキーを追加するだけの短いスクリプトをuser_dataに追加することです。
#!/bin/bash
touch ~/.ssh/authorized_keys
chmod 400 ~/.ssh/authorized_keys
echo "<KEY>" >> ~/.ssh/authorized_keys
次に、rootとしてマシンにログインし、ssh -l root -i <KEYFILE> URLユーザーec2_user、ubuntu、またはそれが呼び出されているユーザーのauthorized_keysからキーを読み取ることができます。
唯一のもの-マシンをパブリックに到達可能にし、外部からポート22へのアクセスが可能であることを確認する必要があります。