将密钥对添加到现有的EC2实例

我被授予AWS控制台访问权限的两个运行实例的帐户，我无法关闭（在生产中）。 我想要获得这些实例的SSH访问权限，是否可以创建一个新的密钥对并将其应用于实例，以便我可以通过SSH进入？ 为当前创建的实例创建密钥对获取现有的pem文件目前不是一个选项。

如果这是不可能的，还有其他方式可以进入实例吗？

您无法将密钥对应用于正在运行的实例。 您只能使用新的密钥对来启动一个新的实例。

对于恢复，如果它是EBS启动AMI，则可以停止它，制作卷的快照。 根据它创建一个新卷。 并且能够使用它来启动旧实例，创建新映像或恢复数据。

尽管临时存储中的数据将丢失。

由于这个问题和答案的受欢迎程度，我想在Rodney发表评论的链接中捕获这些信息。

有关此信息，请访问Eric Hammond。

修复EC2实例的根EBS卷上的文件

您可以在EC2实例的根EBS卷上检查和编辑文件，即使您处于您认为是灾难性的情况，如：

在坐在桌面上的物理计算机上，您可以简单地使用CD或U盘启动系统，安装硬盘驱动器，检查并修复文件，然后重新启动计算机以恢复业务。

但是，当您处于这些情况之一时，远程EC2实例看起来很遥远，无法访问。 幸运的是，只要我们运行EBS启动实例而不是实例存储，AWS为我们提供了恢复系统的能力和灵活性。

EC2上的方法与物理解决方案有些类似，但我们将移动并将出错的“硬盘驱动器”（根EBS卷）安装到不同的实例，然后修复它，然后将其移回。

在某些情况下，启动一个新的EC2实例并抛弃不好的实例可能会更容易，但如果您确实想要修复文件，以下是适用于许多方法的方法：

建立

用您想要查看和编辑的文件标识包含已损坏的根EBS卷的原始实例（A）和卷。

instance_a=i-XXXXXXXX

volume=$(ec2-describe-instances $instance_a |
  egrep '^BLOCKDEVICE./dev/sda1' | cut -f3)

识别您将用于修复原始EBS卷上的文件的第二个EC2实例（B）。 此实例必须与实例A在相同的可用区中运行，以便它可以将EBS卷连接到它。 如果您没有运行实例，请启动一个临时实例。

instance_b=i-YYYYYYYY

停止破损的实例A（等待它完全停止），从实例中分离根EBS卷（等待它分离），然后将卷连接到实例B上的未使用设备。

ec2-stop-instances $instance_a
ec2-detach-volume $volume
ec2-attach-volume --instance $instance_b --device /dev/sdj $volume

ssh添加到实例B并安装该卷，以便可以访问其文件系统。

ssh ...instance b...

sudo mkdir -p 000 /vol-a
sudo mount /dev/sdj /vol-a

修理它

此时，来自实例A的整个根文件系统可用于在实例B上的/ vol-a下查看和编辑。例如，您可能希望：

注意：这两个实例上的uid可能不完全相同，因此请小心创建，编辑或复制属于非root用户的文件。 例如，实例A上的mysql用户可能与实例B上的postfix用户具有相同的UID，如果您使用一个名称对文件进行chown，然后将该卷移回A，则可能会导致问题。

包起来

完成之后，您对/ vol-a下的文件感到满意，请卸载文件系统（仍在实例B上）：

sudo umount /vol-a
sudo rmdir /vol-a

现在，使用ec2-api-tools返回到您的系统，继续将EBS卷移回原始实例A的原始位置，然后再次启动该实例：

ec2-detach-volume $volume
ec2-attach-volume --instance $instance_a --device /dev/sda1 $volume
ec2-start-instances $instance_a

希望你解决了这个问题，实例A出现的很好，你可以完成你最初设定的任务。 如果没有，您可能需要继续重复这些步骤，直到它有效。

注意：如果在停止实例A时为实例A分配了弹性IP地址，则需要在重新启动后重新关联它。

记得！ 如果您的实例B只是为了这个过程而暂时启动，请不要忘记现在终止它。

虽然您不能直接将密钥对添加到正在运行的EC2实例，但您可以创建一个Linux用户并为他创建一个新密钥对，然后像使用原始用户的密钥对那样使用它。

就你而言，你可以要求实例所有者（谁创建它）执行以下操作。 因此，实例所有者不必与你分享他自己的密钥，但是你仍然可以进入这些实例。 这些步骤最初由Utkarsh Sengar（aka。@zengr）发布，网址为http://utkarshsengar.com/2011/01/manage-multiple-accounts-on-1-amazon-ec2-instance/。 我只做了一些小的改变。

$ ssh -i my_orig_key.pem ubuntu@111.111.11.111

[ubuntu@ip-11-111-111-111 ~]$ sudo adduser john

[ubuntu@ip-11-111-111-111 ~]$ sudo su -
[root@ip-11-111-111-111 ubuntu]$ passwd john

[root@ip-11-111-111-111 ubuntu]$ visudo

john   ALL = (ALL)    ALL

[root@ip-11-111-111-111 ubuntu]$ exit
[ubuntu@ip-11-111-111-111 ~]$

[ubuntu@ip-11-111-111-111 ~]$ su john

[john@ip-11-111-111-111 ubuntu]$ cd /home/john/
[john@ip-11-111-111-111 ~]$ ssh-keygen -b 1024 -f john -t dsa
[john@ip-11-111-111-111 ~]$ mkdir .ssh
[john@ip-11-111-111-111 ~]$ chmod 700 .ssh
[john@ip-11-111-111-111 ~]$ cat john.pub > .ssh/authorized_keys
[john@ip-11-111-111-111 ~]$ chmod 600 .ssh/authorized_keys
[john@ip-11-111-111-111 ~]$ sudo chown john:ubuntu .ssh

[john@ip-11-111-111-111 ~]$ sudo chown john:ubuntu .ssh/authorized_keys

[john@ip-11-111-111-111 ~]$ sudo cp john /home/ubuntu/
[john@ip-11-111-111-111 ~]$ sudo chmod 777 /home/ubuntu/john

$ cd ~/.ssh
$ scp -i my_orig_key.pem ubuntu@111.111.11.111:/home/ubuntu/john john

$ chmod 600 john

$ ssh -i john john@111.111.11.111

所以，通过这种方式，您可以设置多个用户使用一个EC2实例！

在本地机器上运行命令：

ssh-keygen -t rsa -C "SomeAlias"

该命令运行后，会生成以* .pub结尾的文件。 复制该文件的内容。

在亚马逊机器上，编辑〜/ .ssh / authorized_keys并粘贴* .pub文件的内容（并先删除任何现有内容）。

然后，您可以使用从ssh-keygen命令（私钥）生成的其他文件进行SSH。

上一篇: Add Keypair to existing EC2 instance

下一篇: Correctness of misaligned access in C++