[アップデート] EC2 Instance ConnectやEC2 シリアルコンソールでED25519のキーペアを利用できるようになりました!

ED25519のキーペアをサポートするサービスが増えたよ!
2022.01.31

こんにちは!コンサル部のinomaso(@inomasosan)です。

EC2 Instance ConnectやEC2 シリアルコンソールでED25519のキーペアを利用できるようになりました。
今回はアップデート内容と、EC2 Instance Connectでの検証についてご紹介していきます。

概要

2022/1/20に、EC2 Instance ConnectやEC2 シリアルコンソールでEC2へ接続する際、ED25519のキーペアを使用できるようになりました。

ED25519のキーペア自体は、2021/8/17から利用可能となっていましたが、EC2 Instance ConnectやEC2 シリアルコンソールではサポート対象外でした。

やってみた

今回はEC2 Instance ConnectED25519のキーペアを使用して検証してみます。

EC2 Instance Connectとは?

EC2 Instance ConnectはIAMの権限でアクセス制御が行えて、一時的に生成した公開鍵でSSHログインできるサービスとなります。

利用可能なOSは、以下のLinuxディストリビューションのみとなります。

  • Amazon Linux 2 (すべてのバージョン)
  • Ubuntu 16.04 以降

検証環境

今回実行した環境は以下の通りです。

項目 バージョン
OS Amazon Linux2
AMI amzn2-ami-kernel-5.10-hvm-2.0.20220121.0-x86_64-gp2
インスタンスタイプ t3a.nano

尚、EC2 Instance Connectを利用するためには、EC2にインストールが必要です。 以下のLinuxディストリビューションにはデフォルトでインストールされています。

  • Amazon Linux 2 2.0.20190618 以降
  • Ubuntu 20.04 以降

構築

EC2を、以下のブログを参考に構築していきます。

尚、EC2のキーペア作成時キーペアのタイプED25519を選択してください。

接続確認

EC2 Instance Connectは、AWSマネジメントコンソールやコマンドラインを利用してEC2に接続することができます。
今回はAWSマネジメントコンソールから接続を試しました。

尚、AWSマネジメントコンソールからログインする場合は、EC2 Instance ConnectのIPアドレス範囲からのインバウンドSSHが許可されている必要があります。

詳細はEC2 Instance Connect セットアップから抜粋した、以下を文章をご確認ください。

(Amazon EC2 コンソールのブラウザベースのクライアント) インスタンスに関連付けられているセキュリティグループで、このサービスの IP アドレス範囲からのインバウンド SSH トラフィックが許可されていることを確認します。アドレス範囲を特定するには、AWS が提供する JSON ファイルをダウンロードした上で、EC2_INSTANCE_CONNECT をサービス値として使用しながら EC2 Instance Connect 用のサブセットをフィルタリングします。JSON ファイルのダウンロードおよびサービスを使用したフィルタリングの詳細については、Amazon Web Services 全般のリファレンスの「AWS IP アドレスの範囲」を参照してください。


先ほど作成したEC2にチェックを入れ、接続をクリックします。

EC2 Instance Connectタブを選択し、接続をクリックします。

別ウィンドウが開き、接続できたことを確認できました。

番外編

EC2作成時に指定したED25519キーペアのパブリックキーが、Linuxの~/.ssh/authorized_keysにエントリとしてあるようなので確認してみました。

RSAよりも鍵長がだいぶ短いことがわかりますね。

併せて読みたい

まとめ

今回のアップデートでED25519は、Windows以外のEC2インスタンスに接続するための各種サービスに対応しました。 LinuxのEC2を作成する場合は、ED25519を積極的に採用していきたく思います!

この記事が、どなたかのお役に立てば幸いです。それでは!