描述公有密钥 - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

描述公有密钥

您可以描述存储在 Amazon EC2 中的公有密钥。您还可以检索公有密钥材料并识别启动时指定的公有密钥。

描述公有密钥

您可以查看有关存储在 Amazon EC2 中的公有密钥的以下信息:公有密钥名称、ID、密钥类型、指纹、公有密钥材料、Amazon EC2 创建密钥的日期和时间(采用 UTC 时区)(如果密钥是由第三方工具创建的,则是将该密钥导入 Amazon EC2 的日期和时间),以及与该公有密钥相关联的所有标签。

您可以使用 Amazon EC2 控制台或 Amazon CLI 以查看有关您的公有密钥的信息。

Console

要查看有关您的公有密钥的信息

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在左侧导航器中,选择 Key Pairs(密钥对)。

  3. 您可以在Key pairs(密钥对)表中查看每个公有密钥的相关信息。

  4. 要查看公有密钥的标签,请选中密钥旁边的复选框,然后选择 Actions(操作)、Manage tags(管理标签)。

Amazon CLI

要描述公有密钥

使用 describe-key-pairs 命令并指定 --key-names 参数。

aws ec2 describe-key-pairs --key-names key-pair-name

输出示例

{ "KeyPairs": [ { "KeyPairId": "key-0123456789example", "KeyFingerprint": "1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f", "KeyName": "key-pair-name", "KeyType": "rsa", "Tags": [], "CreateTime": "2022-04-28T11:37:26.000Z" } ] }

或者,您可以指定 --key-pair-ids 参数,而不是 --key-names,以识别公有密钥。

aws ec2 describe-key-pairs --key-pair-ids key-0123456789example

要查看输出中的公有密钥材料,必须指定 --include-public-key 参数。

aws ec2 describe-key-pairs --key-names key-pair-name --include-public-key

示例输出 - 在输出中,PublicKey 字段包含公有密钥材料。

{ "KeyPairs": [ { "KeyPairId": "key-0123456789example", "KeyFingerprint": "1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f", "KeyName": "key-pair-name", "KeyType": "rsa", "Tags": [], "PublicKey": "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIj7azlDjVHAsSxgcpCRZ3oWnTm0nAFM64y9jd22ioI/ my-key-pair", "CreateTime": "2022-04-28T11:37:26.000Z" } ] }

检索公有密钥材料

您可以使用多种方法获取对公有密钥材料的访问权限。您可以从本地电脑上匹配的私有密钥中检索公有密钥材料,或从使用公有密钥启动的实例上的实例元数据authorized_keys 文件中检索公有密钥材料,或者使用 describe-key-pairs Amazon CLI 命令来检索公有密钥材料。

使用以下方法之一检索公有密钥材料。

From the private key

要从私有密钥中检索公有密钥材料

在本地 Linux 或 macOS 计算机上,可使用 ssh-keygen 命令检索密钥对的公有密钥。指定您已在其中下载私有密钥的路径(.pem 文件)。

ssh-keygen -y -f /path_to_key_pair/my-key-pair.pem

该命令返回公有密钥,如以下示例所示。

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE

如果该命令失败,请运行以下命令以确保更改对您的私有密钥对文件的权限,以便只有您才能查看该文件。

chmod 400 key-pair-name.pem
From the instance metadata

您可以使用实例元数据服务版本 2 或实例元数据服务版本 1 从实例元数据中检索公有密钥。

注意

如果您更改用于连接到实例的密钥对,Amazon EC2 不会更新实例元数据以显示新的公有密钥。实例元数据将继续显示您在启动实例时指定的密钥对的公有密钥。

要从实例元数据中检索公有密钥材料

使用实例中的以下命令之一。

IMDSv2

[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \ && curl -H "X-aws-ec2-metadata-token: $TOKEN" –v http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key

IMDSv1

[ec2-user ~]$ curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key

输出示例

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE key-pair-name

有关实例元数据的更多信息,请参阅 检索实例元数据

From the instance

如果您在启动 Linux 实例时指定密钥对,当您的实例首次启动时,公有密钥的内容将放置 ~/.ssh/authorized_keys 内的一个条目中的实例上。

要从实例中检索公有密钥材料

  1. 连接到您的实例。

  2. 在终端窗口中,使用您常用的文本编辑器(如 authorized_keysvim)打开 nano 文件。

    [ec2-user ~]$ nano ~/.ssh/authorized_keys

    authorized_keys 文件打开,显示公有密钥,后面是密钥对的名称。以下是名为 key-pair-name 的密钥对的示例条目。

    ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQClKsfkNkuSevGj3eYhCe53pcjqP3maAhDFcvBS7O6V hz2ItxCih+PnDSUaw+WNQn/mZphTk/a/gU8jEzoOWbkM4yxyb/wB96xbiFveSFJuOp/d6RJhJOI0iBXr lsLnBItntckiJ7FbtxJMXLvvwJryDUilBMTjYtwB+QhYXUMOzce5Pjz5/i8SeJtjnV3iAoG/cQk+0FzZ qaeJAAHco+CY/5WrUBkrHmFJr6HcXkvJdWPkYQS3xqC0+FmUZofz221CBt5IMucxXPkX4rWi+z7wB3Rb BQoQzd8v7yeb7OzlPnWOyN0qFU0XA246RA8QFYiCNYwI3f05p6KLxEXAMPLE key-pair-name
From describe-key-pairs

通过 describe-key-pairsAmazon CLI 命令检索公有密钥材料

使用 describe-key-pairs 命令并指定 --key-names 参数,以识别公有密钥。要将公有密钥材料包含在输出中,请指定 --include-public-key 参数。

aws ec2 describe-key-pairs --key-names key-pair-name --include-public-key

示例输出 - 在输出中,PublicKey 字段包含公有密钥材料。

{ "KeyPairs": [ { "KeyPairId": "key-0123456789example", "KeyFingerprint": "1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f", "KeyName": "key-pair-name", "KeyType": "rsa", "Tags": [], "PublicKey": "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIj7azlDjVHAsSxgcpCRZ3oWnTm0nAFM64y9jd22ioI/ my-key-pair", "CreateTime": "2022-04-28T11:37:26.000Z" } ] }

或者,您可以指定 --key-pair-ids 参数,而不是 --key-names,以识别公有密钥。

aws ec2 describe-key-pairs --key-pair-ids key-0123456789example --include-public-key

确定启动时指定的公有密钥

如果您在启动实例时指定公有密钥,则该实例将记录公有密钥名称。

要确定启动时指定的公有密钥

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择 Instances (实例),然后选择您的实例。

  3. Details(详细信息)选项卡的 Instance details(实例详细信息)下,Key pair name(密钥对名称)字段显示您在启动实例时指定的公有密钥名称。

注意

即使您更改实例上的公有密钥或添加公有密钥,Key pair name(密钥对名称)字段的值也不会更改。