请你能build议安全的地方存储与EC2实例关联的密钥对吗?
如果只限于您的账户,将这些东西存储在亚马逊的S3存储中是否安全?
我目前在我的电脑上…在家里。 那不好吗?
保护您的EC2密钥对(SSH密钥)的最好方法是使用密码encryption(并按照您的密码pipe理过程进行密码pipe理)。 假设你正在使用linux,你可以使用ssh-keygen -p -f $file来encryption密钥。 你应该保留一个备份,最好是身体安全(即拇指驱动器在保险箱或其他东西)。 我假设你正在谈论私钥的一半,因为公钥显然是公开的。
从理论上讲,将密钥存储在工作站或智能卡上的TPM上会更好,但在处理SSH密钥时,通常会遇到这种解决scheme的实际问题。
将密钥存储在家用电脑上是否不好取决于这是否违反了政策。 如果不是,说实话,没有什么理由认为这比存储在笔记本电脑上的工作更糟糕。
你当然可以在S3中备份密钥(而不是物理备份)。 如果某人能够访问您的AWS账户,那么威胁模型就是您已经度过了非常糟糕的一天(在数据泄露和服务中断等方面)。 但是,除非有一些安全主pipe可以使用密钥访问S3存储桶,但是不允许login到机器,那么您需要另寻出路。 如果你在S3中存储一个副本,至less要确保它是用密码encryption的。
那么,公钥可以存储在任何你想要的地方。 纹身在你的额头,例如。 🙂
私钥是你需要保护的,因为它是真正的你的身份。 任何获得你的(未encryption的)密钥的人都可以在你的服务器上find自己的方式。 所以,保护它并像其他重要但机密的文件一样备份它。 encryption并保存在闪存驱动器上,将其打印出来并作为最后的手段将其存储在保险箱中等。如果要将其存储在S3中,那可能很好,但是我只能在encryption的forms。