回答:
EC2キーペア(SSHキーのみ)を保護する最良の方法は、パスフレーズを使用してそれらを暗号化することです(そのパスフレーズの通常のパスワード管理プロセスに従います)。Linuxを使用ssh-keygen -p -f $fileしている場合は、を使用してキーを暗号化できます。バックアップは、できれば物理的に安全な場所に保管する必要があります(つまり、セーフティボックスのサムドライブなど)。公開鍵は明らかに公開されているため、私はあなたが鍵の秘密の半分について話していると想定しています。
理論的には、ワークステーションのTPMまたはスマートカードにキーを保存する方が適切ですが、SSHキーを処理する場合、通常このソリューションには実際的な問題があります。
キーを自宅のPCに保存するのが悪いかどうかは、これがポリシー違反であるかどうかによって異なります。そうでない場合は、正直なところ、これを仕事用のラップトップに保管するよりも悪いと考える理由はほとんどありません。
物理的なバックアップの代わりに、S3でキーのバックアップを確実に保持できます。脅威モデルでは、誰かがあなたのAWSアカウントにアクセスできる場合、(データ漏えいやサービスの中断などに関して)すでに非常に悪い日を迎えています。ただし、キーを使用してS3バケットにアクセスできるが、マシンへのログインは許可されていないセキュリティプリンシパルがいない限り、別の方法を見つける必要があります。コピーをS3に保存する場合は、少なくともパスフレーズで暗号化されていることを確認してください。
まあ、公開鍵はどこにでも保存できます。たとえば、額に入れます。:)
秘密鍵は真のアイデンティティであるため、保護する必要があります。(暗号化されていない)キーを手にした人なら誰でもサーバーを利用できます。したがって、他の重要であるが機密のファイルと同じように、それを保護してバックアップしてください。暗号化してフラッシュドライブに保存し、紙に印刷して、最後の手段として金庫に保管します。S3に保管したい場合は、おそらく問題ありませんが、私はそれだけを使用します暗号化されたフォーム。