Не могли бы вы предложить безопасные места для хранения пар ключей, связанных с экземплярами EC2?
Безопасно ли хранить такие вещи в хранилище Amazon S3, если они ограничены вашей учетной записью?
Сейчас он у меня на компьютере ... дома. Это плохо?
Лучший способ защитить ваши пары ключей EC2, которые являются просто ключами SSH, - это зашифровать их парольной фразой (и следовать обычному процессу управления паролями для этой парольной фразы). Предполагая, что вы используете Linux, вы можете использовать ssh-keygen -p -f $file зашифровать ключ. Вы должны сохранить резервную копию, желательно физически защищенную (например, флэш-накопитель в сейфе или что-то в этом роде). Я предполагаю, что вы говорите о частной половине ключа, поскольку открытый ключ, очевидно, является открытым.
Теоретически было бы лучше хранить ключ в TPM на вашей рабочей станции или на смарт-карте, но обычно с этим решением возникают практические проблемы при работе с ключами SSH.
Плохо ли хранить ключ на домашнем ПК, зависит от того, является ли это нарушением политики. Если это не так, честно говоря, нет оснований считать, что это хуже, чем хранить его на ноутбуке, который вы используете для работы.
Вы, безусловно, можете сохранить резервную копию ключа в S3 (вместо физической резервной копии). Модель угроз такова, что у вас уже будет очень плохой день (среди прочего, с точки зрения утечки данных и прерывания обслуживания), если кто-то может получить доступ к вашей учетной записи AWS. Но если нет участника безопасности, который может иметь доступ к корзине S3 с вашим ключом, но не иметь права входить в систему, вам нужно будет найти другой способ. Если вы храните копию в S3, по крайней мере, убедитесь, что она зашифрована парольной фразой.
Что ж, открытый ключ можно хранить где угодно. Сделайте татуировку, например, на лбу. :)
Секретный ключ - это то, что вам нужно защитить, так как это действительно ваша личность. Любой, кто получит ваш (незашифрованный) ключ, сможет получить доступ к вашим серверам. Поэтому защитите его и сделайте резервную копию, как и любой другой важный, но конфиденциальный файл. Зашифруйте его и сохраните на флеш-накопителе, распечатайте на бумаге и храните в сейфе в крайнем случае и т. Д. Если вы хотите сохранить его в S3, это, вероятно, нормально, но я бы сделал это только в его зашифрованная форма.