最初の起動後に SSH キーペアを紛失した場合、Amazon EC2 インスタンスに接続するにはどうすればよいですか?
最終更新日: 2021 年 10 月 7 日
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続しようと考えていますが、SSH キーペアを紛失しました。インスタンスに接続するにはどうすればよいですか?
解決方法
重要:
方法 1、2、および 3 では、インスタンスを停止して再起動する必要があります。以下の点に注意してください。
- インスタンスが Instance Store-Backed である場合、またはデータを含むインスタンスストアボリュームがインスタンスにある場合、インスタンスを停止するとデータが失われます。詳細については、「インスタンスのルートデバイスタイプの判別」を参照してください。インスタンスストアボリュームで保持するデータのバックアップを作成します。
- インスタンスを停止および再起動すると、インスタンスのパブリック IP アドレスが変更されます。インスタンスに外部トラフィックをルーティングするときは、パブリック IP アドレスではなく、Elastic IP アドレスを使用することをお勧めします。
方法 1: user-data を入力する
1. 新しいキーペアを作成します。
2. Amazon EC2 コンソールでプライベートキーを作成する場合は、キーペアのパブリックキーを取得します。
3. Amazon EC2 コンソールを開きます。
4. インスタンスを停止します。
5. [アクション]、[インスタンスの設定]、[ユーザーデータを編集] の順に選択します。
6. 次のスクリプトを [Edit user data] ダイアログボックスにコピーします。
Content-Type: multipart/mixed; boundary="//"
MIME-Version: 1.0
--//
Content-Type: text/cloud-config; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="cloud-config.txt"
#cloud-config
cloud_final_modules:
- [users-groups, once]
users:
- name: username
ssh-authorized-keys:
- PublicKeypairusername を自分のユーザー名 (ec2-user など) で置き換えます。デフォルトのユーザー名を入力するか、カスタムユーザー名を入力できます (インスタンス用に以前に設定されている場合)。デフォルトのユーザー名のリストについては、インスタンスに接続するための一般的な前提条件を参照してください。
PublicKeypair をステップ 2 で取得したパブリックキーに置き換えます。必ず ssh-rsa で始まるパブリックキー全体を入力してください。
7. [Save] (保存) を選択します。
8. インスタンスを起動します。
9. cloud-init フェーズが完了したら、パブリックキーが置き換わっていることを確認します。
重要: スクリプトにはキーペアが含まれているため、[User Data] フィールドからスクリプトを削除します。
10. インスタンスを停止します。
11. [アクション]、[インスタンスの設定]、[ユーザーデータを編集] の順に選択します。
12. [Edit user data] ダイアログボックスにあるすべてのテキストを削除し、[Save] をクリックします。
13. インスタンスを起動します。
方法 2: AWS Systems Manager を使用する
インスタンスが AWS Systems Manager のマネージドインスタンスである場合は、AWSSupport-ResetAccess のドキュメントを参照して紛失したキーペアを復旧します。AWSSupportResetAccess は、指定された EC2 インスタンスで EC2 Rescue for Linux ツールを使用して、新しい SSH (パブリック/プライベート) キーペアを自動的に生成して追加します。
インスタンスの新しい SSH プライベートキーが暗号化され、AWS Systems Manager Parameter Store に保存されます。パラメータ名は、/ec2rl/openssh/instance_id/key です。 このパラメータの値をコンテンツとして新しい .pem ファイルを作成し、これを使用して到達不可能なインスタンスに接続し直します。
注意: 自動化ワークフローで、パスワードが有効な Amazon マシンイメージ (AMI) のバックアップが作成されます。新しい AMI は自動的に削除されず、アカウントに残ります。
これらの AMI を見つけるには、次の手順に従います。
1. Amazon EC2 コンソールを開き、[AMI] を選択します。
2. 検索フィールドに自動化実行 ID を入力します。
方法 3: Amazon EC2 Instance Connect を使用する
インスタンスが Amazon Linux 2 2.0.20190618 以降の場合は、EC2 Instance Connect を使用してインスタンスに接続することができます。
方法 4: EC2 シリアルコンソールを使用する
Linux 用の EC2 シリアルコンソールを有効にしている場合は、それを使用して、サポートされている Nitro ベースのインスタンスタイプのトラブルシューティングを行うことができます。シリアルコンソールは、起動の問題、ネットワーク設定、および SSH 設定の問題のトラブルシューティングに役立ちます。シリアルコンソールは、正常に動作するネットワーク接続を必要とすることなく、インスタンスに接続します。シリアルコンソールには、Amazon EC2 コンソールまたは AWS コマンドラインインターフェイス (AWS CLI) を使用してアクセスできます。
シリアルコンソールを使用する前に、アカウントレベルでコンソールにアクセス権を付与します。その後、IAM ユーザーにアクセス権を付与する AWS Identity and Access Management (IAM) ポリシーを作成します。また、シリアルコンソールを使用するすべてのインスタンスには、少なくとも 1 名のパスワードベースユーザーを含める必要があります。インスタンスにアクセスできず、シリアルコンソールへのアクセスを設定していない場合は、方法 1、2、または 3 の手順に従ってください。Linux 用の EC2 シリアルコンソールの設定の詳細については、「EC2 シリアルコンソールへのアクセスを設定する」を参照してください。
注: AWS CLI コマンドの実行時にエラーが表示される場合は、AWS CLI の最新バージョンを使用していることを確認してください。