Где должна храниться пара ключей AWS EC2?

Можете ли вы предложить безопасные места для хранения пар ключей, связанных с экземплярами EC2?

Безопасно ли хранить подобные вещи в хранилище Amazon S3, если они ограничены вашей учетной записью?

В настоящее время он у меня на компьютере ... дома. Это плохо?

Лучший способ защитить ваши пары ключей EC2, которые являются просто ключами SSH, - это зашифровать их парольной фразой (и следовать обычному процессу управления паролями для этой парольной фразы). Предполагая, что вы используете Linux, вы можете использовать ssh-keygen -p -f $fileдля шифрования ключа. Вы должны хранить резервную копию, желательно физически защищенную (например, флэш-накопитель в сейфе или что-то в этом роде). Я предполагаю, что вы говорите о закрытой половине ключа, поскольку открытый ключ, очевидно, является открытым.

Теоретически, было бы лучше хранить ключ на доверенном платформенном модуле на вашей рабочей станции или на смарт-карте, но обычно есть практические проблемы с этим решением при работе с ключами SSH.

Неправильно ли хранить ключ на своем домашнем ПК, зависит от того, является ли это нарушением политики. Если это не так, то, честно говоря, нет оснований считать, что это хуже, чем хранить его на ноутбуке, который вы используете для работы.

Вы, конечно, можете сохранить резервную копию ключа в S3 (вместо физической резервной копии). Модель угрозы такова, что у вас уже очень плохой день (среди прочего, в отношении утечки данных и прерывания обслуживания), если кто-то может получить доступ к вашей учетной записи AWS. Но, если не существует какого-либо участника безопасности, который может иметь доступ к корзине S3 с вашим ключом, но ему не разрешено входить в машины, вам придется искать другой путь. Если вы храните копию в S3, по крайней мере, убедитесь, что она зашифрована парольной фразой.

Что ж, открытый ключ может храниться где угодно. Например, нанесите татуировку на лоб. :)

Закрытый ключ - это то, что вам нужно защищать, поскольку это действительно ваша личность. Любой, кто заполучит ваш (незашифрованный) ключ, сможет подключиться к вашим серверам. Поэтому защитите его и создайте резервную копию, как любой другой важный, но конфиденциальный файл. Зашифруйте его и сохраните на флэш-накопителе, распечатайте на бумаге и сохраните в сейфе в качестве крайней меры и т. Д. Если вы хотите сохранить его на S3, это, вероятно, хорошо, но я бы сделал это только на его зашифрованная форма.