Доступ к экземпляру Amazon EC2

Как я уже упомянул, вы не сможете получить доступ к вновь запущенному экземпляру EC2 до тех пор, пока не создадите на нем учетную запись для себя. Поэтому остановите экземпляр и запустите другой экземпляр, к которому у вас будет доступ:

$ ec2-terminate-instances i-b1a21bd8

Поскольку вы используете предварительно подготовленный экземпляр машины, то у вас, очевидно, не будет никаких пользовательских учетных записей на этой машине на тот момент, когда запускается ее образ. Более того, для Amazon (да и для кого угодно другого) это была бы страшнейшая брешь в системе безопасности, если бы в образах машин имелись стандартные учетные записи с легко угадываемыми паролями наподобие "scott"/"tiger".

Фокус с получением доступа заключается в генерации пары ключей (keypair)1 SSH2. Секретный ключ (private key) будет находиться на вашем локальном жестком диске, в то время как открытый ключ (public key) передается экземпляру при его запуске. EC2 сконфигурирует экземпляр таким образом, чтобы к учетной записи root можно было получить доступ с помощью вашего секретного ключа.

Прежде чем запускать новый экземпляр, вам необходимо сгенерировать пару ключей:

ec2-add-keypair KEYPAIR_NAME

Например:

$ ec2-add-keypair mykeypair

KEYPAIR mykeypair 1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f

—–BEGIN RSA PRIVATE KEY—-MIIEoQIBAAKCAQBuLFg5ujHrtm1jnutSuoO8Xe56LlT+

HM8v/xkaa39EstM3/aFxTHgElQiJLChp HungXQ29VTc8rc1bW0lkdi23OH5eqkMHGhvEwqa0HWASUMll4o3o/IX+0f2UcPoKCOVUR+jx71Sg 5AU52EQfanIn3ZQ8lFW7Edp5a3q4DhjGlUKToHVbicL5E+g45zfB95wIyywWZfeW/UUF3LpGZyq/ ebIUlq1qTbHkLbCC2r7RTn8vpQWp47BGVYGtGSBMpTRP5hnbzzuqj3itkiLHjU39S2sJCJ0TrJx5

1 Подробнее о криптографических системах с открытым ключом, подобных применяемой здесь, можно прочитать по следующим адресам: http://tinyurl.com/dbhe3b, http://en.wikipedia.org/wiki/Public- key_cryptography. — Прим. перев.

2  SSH (Secure SHell) — "безопасная оболочка", сетевой протокол сеансового уровня, позволяющий осуществлять удаленное управление операционной системой и туннелирование TCP-соединений. SSH позволяет безопасно передавать в незащищенной среде практически любой другой сетевой протокол. Подробнее см. http://en.wikipedia.org/wiki/Secure_Shell, http://www.opennet.ru/base/sec/ssh_intro.txt.html. — Прим. перев.

i8BygR4s3mHKBj8l+ePQxG1kGbF6R4yg6sECmXn17MRQVXODNHZbAgMBAAECggEAY1tsiUsIwDl5 91CXirkYGuVfLyLflXenxfI50mDFms/mumTqloHO7tr0oriHDR5K7wMcY/YY5YkcXNo7mvUVD1pM ZNUJs7rw9gZRTrf7LylaJ58kOcyajw8TsC4e4LPbFaHwS1d6K8rXh64o6WgW4SrsB6ICmr1kGQI7 3wcfgt5ecIu4TZf0OE9IHjn+2eRlsrjBdeORi7KiUNC/pAG23I6MdDOFEQRcCSigCj+4/mciFUSA SWS4dMbrpb9FNSIcf9dcLxVM7/6KxgJNfZc9XWzUw77Jg8x92Zd0fVhHOux5IZC+UvSKWB4dyfcI tE8C3p9bbU9VGyY5vLCAiIb4qQKBgQDLiO24GXrIkswF32YtBBMuVgLGCwU9h9HlO9mKAc2m8Cm1 jUE5IpzRjTedc9I2qiIMUTwtgnw42auSCzbUeYMURPtDqyQ7p6AjMujp9EPemcSVOK9vXYL0Ptco xW9MC0dtV6iPkCN7gOqiZXPRKaFbWADp16p8UAIvS/a5XXk5jwKBgQCKkpHi2EISh1uRkhxljyWC iDCiK6JBRsMvpLbc0v5dKwP5alo1fmdR5PJaV2qvZSj5CYNpMAy1/EDNTY5OSIJU+0KFmQbyhsbm rdLNLDL4+TcnT7c62/aH01ohYaf/VCbRhtLlBfqGoQc7+sAc8vmKkesnF7CqCEKDyF/dhrxYdQKB gC0iZzzNAapayz1+JcVTwwEid6j9JqNXbBc+Z2YwMi+T0Fv/P/hwkX/ypeOXnIUcw0Ih/YtGBVAC DQbsz7LcY1HqXiHKYNWNvXgwwO+oiChjxvEkSdsTTIfnK4VSCvU9BxDbQHjdiNDJbL6oar92UN7V rBYvChJZF7LvUH4YmVpHAoGAbZ2X7XvoeEO+uZ58/BGKOIGHByHBDiXtzMhdJr15HTYjxK7OgTZm gK+8zp4L9IbvLGDMJO8vft32XPEWuvI8twCzFH+CsWLQADZMZKSsBasOZ/h1FwhdMgCMcY+Qlzd4 JZKjTSu3i7vhvx6RzdSedXEMNTZWN4qlIx3kR5aHcukCgYA9T+Zrvm1F0seQPbLknn7EqhXIjBaT P8TTvW/6bdPi23ExzxZn7KOdrfclYRph1LHMpAONv/x2xALIf91UB+v5ohy1oDoasL0gij1houRe 2ERKKdwz0ZL9SWq6VTdhr/5G994CK72fy5WhyERbDjUIdHaK3M849JJuf8cSrvSb4g==

—–END RSA PRIVATE KEY—-

Выполнив эту команду, вы получите только ваш секретный ключ. Открытого ключа, который будет добавлен к вашей учетной записи Amazon Web Services, чтобы использоваться всякий раз, когда вы запускаете экземпляры с применением этой пары ключей, вы никогда не увидите.

Скопируйте секретный ключ и сохраните все, что начинается со строки —– BEGIN RSA PRIVATE KEY—– и заканчивается строкой —–END RSA PRIVATE KEY—-, в отдельный файл. Как вы назовете этот файл и куда вы его поместите, существенной роли не играет, но часто бывает очень полезно включать имя пары ключей в имя файла, например: id-rsa_mykeypair. Кроме того, вам потребуется указать права доступа к этому файлу таким образом, чтобы прочесть его могли только вы. В UNIX-подобных системах, например, таких как Linux и Mac OS X, это можно сделать так:

$ chmod 400 id_rsa-mykeypair

Теперь вы можете запустить новый экземпляр, который ссылается на только что созданную пару ключей:

$ ec2-run-instances -k mykeypair ami-1fd73376 RESERVATION r-8a01de64 1234567890123 default

INSTANCE i-a7d32cc3 ami-1fd73376 pending mykeypair m1.small 2008-10-22T16:40:38+0000 us-east-1a aki-a72cf9ce ari-a52cf9cc

Обратите внимание, что опция командной строки -k ссылается на имя вашей пары ключей, а не на имя файла, в котором вы сохранили свой секретный ключ.

Вывод этой команды выглядит практически так же, как и в предыдущем случае, за исключением того, что теперь вы получаете новый идентификатор резервации (reservation ID) и новый идентификатор экземпляра (instance ID), а 0 из вывода предыдущей команды замещен строкой mykeypair, что указывает на то, что экзем-

пляр был запущен с открытым ключом, входящим в состав созданной вами пары ключей.

Открытый ключ присваивается учетной записи root нового экземпляра. Иными словами, вы теоретически можете воспользоваться SSH, чтобы зарегистрироваться в системе как root, не вводя никакой регистрационной информации. Это безопасно, потому что ваш секретный ключ хранится на вашем локальном компьютере, который соответствует открытому ключу. Однако на практике вы пока все равно не сможете получить доступ к экземпляру, потому что правила, установленные по умолчанию для любой из групп безопасности EC2, запрещают доступ через сеть к экземплярам, запущенным в этой группе безопасности.

ПРИМЕЧАНИЕ

На данном этапе те, кто привык к проверенной временем практике защиты операционной системы путем блокировки учетной записи root, могут быть готовы просто выпрыгнуть из окна от негодования. Не беспокойтесь, механизмы устранения необходимости хранения каких-либо учетных записей в вашем AMI, которые позволят вам блокировать регистрацию от имени root, будут описаны в главе 5.

Источник: Риз Дж., Облачные вычисления: Пер. с англ. — СПб.: БХВ-Петербург, 2011. — 288 с.: ил.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете промотать до конца и оставить ответ. Pinging в настоящее время не допускается.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100