この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは!コンサル部のinomaso(@inomasosan)です。
EC2 Instance ConnectやEC2 シリアルコンソールでED25519のキーペアを利用できるようになりました。
今回はアップデート内容と、EC2 Instance Connectでの検証についてご紹介していきます。
概要
2022/1/20に、EC2 Instance ConnectやEC2 シリアルコンソールでEC2へ接続する際、ED25519のキーペアを使用できるようになりました。
ED25519のキーペア自体は、2021/8/17から利用可能となっていましたが、EC2 Instance ConnectやEC2 シリアルコンソールではサポート対象外でした。
やってみた
今回はEC2 Instance ConnectとED25519のキーペアを使用して検証してみます。
EC2 Instance Connectとは?
EC2 Instance ConnectはIAMの権限でアクセス制御が行えて、一時的に生成した公開鍵でSSHログインできるサービスとなります。
利用可能なOSは、以下のLinuxディストリビューションのみとなります。
- Amazon Linux 2 (すべてのバージョン)
- Ubuntu 16.04 以降
検証環境
今回実行した環境は以下の通りです。
| 項目 | バージョン |
|---|---|
| OS | Amazon Linux2 |
| AMI | amzn2-ami-kernel-5.10-hvm-2.0.20220121.0-x86_64-gp2 |
| インスタンスタイプ | t3a.nano |
尚、EC2 Instance Connectを利用するためには、EC2にインストールが必要です。 以下のLinuxディストリビューションにはデフォルトでインストールされています。
- Amazon Linux 2 2.0.20190618 以降
- Ubuntu 20.04 以降
構築
EC2を、以下のブログを参考に構築していきます。
尚、EC2のキーペア作成時キーペアのタイプにED25519を選択してください。
接続確認
EC2 Instance Connectは、AWSマネジメントコンソールやコマンドラインを利用してEC2に接続することができます。
今回はAWSマネジメントコンソールから接続を試しました。
尚、AWSマネジメントコンソールからログインする場合は、EC2 Instance ConnectのIPアドレス範囲からのインバウンドSSHが許可されている必要があります。
詳細はEC2 Instance Connect セットアップから抜粋した、以下を文章をご確認ください。
(Amazon EC2 コンソールのブラウザベースのクライアント) インスタンスに関連付けられているセキュリティグループで、このサービスの IP アドレス範囲からのインバウンド SSH トラフィックが許可されていることを確認します。アドレス範囲を特定するには、AWS が提供する JSON ファイルをダウンロードした上で、EC2_INSTANCE_CONNECT をサービス値として使用しながら EC2 Instance Connect 用のサブセットをフィルタリングします。JSON ファイルのダウンロードおよびサービスを使用したフィルタリングの詳細については、Amazon Web Services 全般のリファレンスの「AWS IP アドレスの範囲」を参照してください。
先ほど作成したEC2にチェックを入れ、接続をクリックします。
EC2 Instance Connectタブを選択し、接続をクリックします。
別ウィンドウが開き、接続できたことを確認できました。
番外編
EC2作成時に指定したED25519キーペアのパブリックキーが、Linuxの~/.ssh/authorized_keysにエントリとしてあるようなので確認してみました。
RSAよりも鍵長がだいぶ短いことがわかりますね。
併せて読みたい
まとめ
今回のアップデートでED25519は、Windows以外のEC2インスタンスに接続するための各種サービスに対応しました。 LinuxのEC2を作成する場合は、ED25519を積極的に採用していきたく思います!
この記事が、どなたかのお役に立てば幸いです。それでは!
0
