Lightsail スナップショットから作成した Amazon EC2 の Linux または Unix インスタンスを保護する方法について説明します。 - Amazon Lightsail
Amazon EC2 を使用してプライベートキーを作成するPuTTYgen を使用してパブリックキーを作成するAmazon EC2 の Linux または Unix インスタンスに接続するインスタンスにパブリックキーを追加して接続をテストするLightsail のデフォルトキーを削除するLightsail のシステムキーを削除する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lightsail スナップショットから作成した Amazon EC2 の Linux または Unix インスタンスを保護する方法について説明します。

Amazon Lightsail および Amazon Elastic Compute Cloud (Amazon EC2) は公開キー暗号化を使用し、ログイン情報の暗号化と復号を行います。パブリックキー暗号はパブリックキーを使用してデータを暗号化し (パスワードなど)、受信者はプライベートキーを使用してデータを復号します。パブリックキーとプライベートキーは、キーペアと呼ばれます。

Linux または Unix インスタンスを Lightsail から EC2 にエクスポートすると、新しい EC2 インスタンスには Lightsail サービスからのキーが残ります。セキュリティ上のベストプラクティスとして、未使用のキーはインスタンスから削除してください。

Lightsail スナップショットから作成した EC2 の Linux または Unix インスタンスのセキュリティを向上させるには、インスタンスの作成後に以下のアクションを実行することをお勧めします。

  • Lightsail のソースインスタンスに接続するために使用した Lightsail のデフォルトキーを削除して置き換えます。独自のキーを使用してインスタンスに接続した場合や、Lightsail コンソールでインスタンスのキーを作成した場合には、Lightsail のデフォルトキーは Amazon EC2 インスタンス内に存在しません。

  • Lightsail のシステムキー (lightsail_instance_ca.pub キーとも呼ばれます) を削除します。Linux および Unix インスタンスのこのキーにより、Lightsail のブラウザベースの SSH クライアントはインスタンスに接続できます。Lightsail コンソールまたは Lightsail API の [Amazon EC2 インスタンスを作成する] ページを使用して EC2 インスタンスが作成すると、lightsail_instance_ca.pub キーは自動的に削除されます。

目次

Amazon EC2 を使用してプライベートキーを作成する

Amazon EC2 コンソールを使用して、Lightsail のデフォルトキーを置き換えるために使用する新しいキーペアを作成します。

Amazon EC2 を使用してプライベート キーを作成するには

  1. Amazon EC2 コンソールにサインインします。

  2. 左のナビゲーションペインから、[キーペア] を選択します。

  3. [キーペアの作成] を選択します。

    Amazon EC2 コンソールのキーペア。

  4. [キーペア名] テキストボックスにキー名を入力し、[作成] を選択します。

    新しいプライベートキーが自動的にダウンロードされます。プライベートキーの保存先を書き留めておきます。次の「PuTTYgen を使用してパブリックキーを作成する」セクションでパブリックキーを作成するときに必要になります。

    Amazon EC2 コンソールでキーペアを作成します。

PuTTYgen を使用してパブリックキーを作成する

PuTTYgen は PuTTY に含まれているツールです。PuTTYgen では、このガイドで後ほどインスタンスに追加するパブリックキーテキストを生成します。

注記

Linux または Unix インスタンスに接続するように PuTTY を設定する方法の詳細については、「Lightsail スナップショットから作成した Amazon EC2 の Linux または Unix インスタンスに接続する」を参照してください。

PuTTYgen を使用してパブリックキーを作成するには

  1. PuTTYgen を起動します。

    たとえば、Windows のスタートメニューで、[すべてのプログラム]、[PuTTY]、[PuTTYgen] の順に選択します。

    PuTTY キージェネレータ。

  2. [Load] (ロード) を選択します。

    デフォルトでは、PuTTYgen には拡張子が .PPK のファイルだけが表示されます。.PEM ファイルを見つけるには、すべてのファイルの種類を表示するオプションを選択します。

    Lightsail プライベートキーを PuTTY キージェネレータにロードする。

  3. このガイドで先ほど作成したプライベートキーの場所に移動します。プライベートキーを選択し、[開く] を選択します。

  4. キーが正常にインポートされたことが PuTTYgen で確認されたら、[OK] を選択します。

  5. [パブリックキー] テキストボックスの内容を強調表示し、Ctrl+C (Windows) または Cmd+C (macOS) を押してクリップボードにコピーします。

    メモ帳や TextEdit などのテキストエディタを開き、Ctrl+V (Windows) または Cmd+V (macOS) を押してパブリックキーテキストを貼り付けます。パブリックキーテキストのファイルを保存します。このガイドで後ほど必要になります。

    PuTTY キージェネレータ。

  6. Amazon EC2 の Linux または Unix インスタンスに接続する」セクションに進み、EC2 インスタンスに接続してパブリックキーを追加します。

Amazon EC2 の Linux または Unix インスタンスに接続する

SSH を使用して Amazon EC2 で Linux または Unix インスタンスに接続し、Lightsail のデフォルトキーとシステムキーを削除します。詳細については、「Amazon Lightsail スナップショットから作成した Amazon EC2 の Linux または Unix インスタンスに接続する」を参照してください。

Amazon EC2 でインスタンスに接続したら、このガイドの「公開キーをインスタンスに追加して接続テストをする」のセクションに進んでください。

インスタンスにパブリックキーを追加して接続をテストする

公開キーの内容は、Linux および Unix インスタンスの ~/.ssh/authorized_keys ファイルに保存されています。このファイルを編集し、Lightsail のデフォルトキーを Amazon EC2 の Linux または Unix インスタンスから削除して置き換えます。

インスタンスにパブリックキーを追加して接続をテストするには

  1. インスタンスへの SSH 接続を確立したら、次のコマンドを入力し、Vim テキストエディタを使用して authorized_keys ファイルを編集します。

    sudo vim ~/.ssh/authorized_keys
    注記

    以下のステップでは、デモの目的で Vim を使用します。ただし、以下のステップでは任意のテキストエディタを使用できます。

    Lightsail デフォルトキー。

  2. I キーを押して Vim エディタを挿入モードにします。

  3. Lightsail のデフォルトキーの後に追加の行を入力します。

  4. このガイドで先ほど保存したパブリックキーテキストをコピーして貼り付けます。

    結果は次のようになります。

    Lightsail デフォルトキー。

  5. ESC キーを押して :wq! を入力すると、編集が保存され Vim が終了します。

  6. 次のコマンドを入力して Open SSH サーバーを再起動します。

    sudo /etc/init.d/sshd restart

    次のような結果が表示されます。

    Lightsail デフォルトキー。

    新しいパブリックキーがインスタンスに追加されました。新しいキーペアをテストするには、インスタンスから切断します。Lightsail デフォルトキーの代わりに新しいプライベートキーを使用するように PuTTY を設定します。新しいキーペアを使用してインスタンスに正常に接続できる場合は、「Lightsail のデフォルトキーを削除する」セクションに進み、Lightsail のデフォルトキーを削除します。

Lightsail のデフォルトキーを削除する

インスタンスに新しいパブリックキーを追加し、新しいキーペアを使用してインスタンスに正常に接続したら、Lightsail のデフォルトキーを削除します。

Lightsail のデフォルトキーを削除するには

  1. インスタンスへの SSH 接続を確立したら、次のコマンドを入力し、Vim テキストエディタを使用して authorized_keys file を編集します。

    sudo vim ~/.ssh/authorized_keys

  2. I キーを押して Vim エディタを挿入モードにします。

  3. LightsailDefaultKeyPair で終わる行を削除します。これが Lightsail のデフォルトキーです。

    Lightsail デフォルトキー。

  4. ESC キーを押して :wq! を入力すると、編集が保存され Vim が終了します。

  5. 次のコマンドを入力して Open SSH サーバーを再起動します。

    sudo /etc/init.d/sshd restart

    次のような結果が表示されます。

    Lightsail デフォルトキー。

    Lightsail のデフォルトキーがインスタンスから削除されました。これで Lightsail のデフォルトキーを使用する接続はインスタンスで拒否されます。「Lightsail のシステムキーを削除する」セクションに進み、Lightsail のシステムキーを削除します。

Lightsail のシステムキーを削除する

Linux および Unix インスタンスにある Lightsail のシステムキー (lightsail_instance_ca.pub キーとも呼ばれます) により、Lightsail のブラウザベースの SSH クライアントはインスタンスに接続できます。以下のステップを実行して、Amazon EC2 の Linux または Unix インスタンスから lightsail_instance_ca.pub キーを削除し、/etc/ssh/sshd_config ファイルを編集します。/etc/ssh/sshd_config ファイルは、インスタンスへの SSH 接続のパラメータを定義します。

Lightsail のシステムキーを削除するには

  1. インスタンスに接続されている SSH のターミナルウィンドウで、次のコマンドを入力して lightsail_instance_ca.pub キーを削除します。

    sudo rm –r /etc/ssh/lightsail_instance_ca.pub

  2. 次のコマンドを入力し、Vim テキストエディタを使用して sshd_config ファイルを編集します。

    sudo vim /etc/ssh/sshd_config

  3. I キーを押して Vim エディタを挿入モードにします。

  4. 次のテキストをファイルから削除します (ある場合)。

    TrustedUserCAKeys /etc/ssh/lightsail_instance_ca.pub

  5. ESC キーを押して :wq! を入力すると、編集が保存され Vim が終了します。

  6. 次のコマンドを入力して Open SSH サーバーを再起動します。

    sudo /etc/init.d/sshd restart

    次のような結果が表示されます。

    Lightsail デフォルトキー。

    lightsail_instance_ca.pub キーがインスタンスから削除されました。関連する sshd_config ファイルが更新されて、このキーが除外されます。