EC2でキーペアをなくしてインスタンスに接続できないとき…

はじめに

AWSの鍵ペアをなくした！ということはまだ発生していないのだが、
SSHフォルダを削除したとか、紛失した場合に備えてメモをしておく。

環境

1
2
Windows 10 Professional
AWS (t4g.nano)

シチュエーション

下記のような状況でのシミュレーションを行う。

AWS EC2インスタンスを作成
鍵ファイルを更新しようとしたら誤って更新の方法を間違えた。
or 鍵ペアを紛失した

準備

シチュエーションを再現するためにインスタンスを作成した。
鍵ペアを紛失したインスタンスは test という鍵を使用している。

instance-list

現在接続ができる状態。

current-success-login

再現

インスタンスに入り、 .ssh フォルダを全て削除する。

1
sudo rm -fr ~/.ssh

remove-ssh-directory

もちろん接続できなくなる。
fail-login

解決方法

この状態になった場合どうすれば良いのか？
答えは、AWSのドキュメントに書いてある。

最初の起動後に SSH キーペアを紛失した場合、Amazon EC2 インスタンスに接続するにはどうすればよいですか?

参考: https://repost.aws/ja/knowledge-center/user-data-replace-key-pair-ec2

それではこの手順と同じように実施してみることにする。

1. 新しいキーペアの作成

左のメニューから「キーペア」を選び、test2 として作成する。
create-keypair

下記のように test, test2 のキーペアが一覧に表示される。
keypair-list

2. 秘密鍵から公開鍵の情報を取得する。

ローカル環境 or EC2の余ってるインスタンスで下記を実行する。

1
ssh-keygen -y -f /path_to_key_pair/my-key-pair.pem

Git bash があるのでこれを利用する。

1
ssh-keygen -y -f test2.pem > test2.pub

整理すると下記の情報を現在持っている。

1
2
test2.pub: 公開鍵
test2.pem: 秘密鍵

これらは接続できなくなったインスタンスに配置する用の鍵

3. EC2コンソールを開く。

4. 対象のインスタンスを停止する。

(test インスタンスを停止する。)
stop-instance

5. [アクション]、[インスタンスの設定]、[ユーザーデータを編集] の順に選択する。

edit-userdata

6. スクリプトを「ユーザーデータ」のテキストエリアに貼り付ける。

公式のソース

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
Content-Type: multipart/mixed; boundary="//"
MIME-Version: 1.0

--//
Content-Type: text/cloud-config; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="cloud-config.txt"

#cloud-config
cloud_final_modules:
- [users-groups, once]
users:
 - name: ec2-user
 ssh-authorized-keys:
 - ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAJ9hjdv0f1FZ5f4NkA22aEJ8kXhbST3SHkN6K0Ww8eN

公式のテンプレートからの変更箇所

1
2
3
4
5
- - name: username
+ - name: ec2-user

- - PublicKeypair
+ - ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAJ9hjdv0f1FZ5f4NkA22aEJ8kXhbST3SHkN6K0Ww8eN