💪🏾 📫 🌊 Instrucciones paso a paso para recuperar el acceso a instancias de Linux Amazon EC2 al perder un archivo pem 💃🏽 🤹🏻 🐲

Si durante la creación de la instancia de Linux en AWS, no se creó un par de claves (KeyPair) para acceder a él a través de SSH o se pierden, entonces se deben realizar varias operaciones para acceder a la máquina. No puede agregar claves a una instancia que ya se está ejecutando a través de la consola de AWS. Hay tres formas de restaurar el acceso SSH a una instancia.

La forma más fácil es configurar la clave utilizando el mecanismo de inicio en la nube (gracias por la sugerencia de yusman ). Pero no funciona si los derechos del directorio /home están dañados o la distribución no es compatible con las directivas de inicio de la nube.

La segunda forma es crear una imagen (Amazon Machine Image) a partir de una instancia existente y luego lanzar una nueva instancia basada en ella, pero con una clave. Por lo tanto, la máquina existente se clonará con la única diferencia de que en la última etapa es posible crear nuevas claves. Crear una imagen puede llevar mucho tiempo para una instancia con discos grandes, y tendrá que configurar todos los servicios vinculados a esta máquina nuevamente. Por lo tanto, este método en la mayoría de los casos llevará más tiempo.

Los documentos oficiales de Amazon describen otra forma . Le permite restaurar el acceso y minimizar el costo de reconfigurar los servicios (en comparación con el segundo método), que están vinculados a una instancia a la que se pierde el acceso. El artículo da una descripción paso a paso del mismo.

Atencion Este método solo funciona para instancias que usan el almacenamiento de bloques (Amazon Elastic Block Store) como dispositivo raíz, y no funciona para el almacenamiento de instancias local (Amazon EC2 Instance Store).

Para averiguar qué tipo de dispositivo raíz está utilizando, abra la consola Amazon EC2, vaya a Instancias , seleccione una instancia y verifique el valor del parámetro Tipo de dispositivo raíz en el panel con información detallada.

Si su máquina tiene EBS , entonces este método es adecuado para usted.

Paso 1. Preparación

Primero, debe guardar cierta información para no tener que distraerse y no cambiar a otras pantallas (especialmente porque será muy inconveniente). Todos los datos se pueden encontrar en la información detallada de la instancia (ya sabe cómo llegar allí). Registre la siguiente configuración:

ID de instancia
ID de AMI
ID de EBS
Dispositivo de raíz
Zona de disponibilidad

Para una instancia que se ejecuta en VPC , guarde el valor de ID de VPC .

Para EC2-classic : si se crea una dirección IP elástica ( Elastic IP ) para una instancia, también se debe guardar su valor.

Imagen en la que se puede hacer clic

Para obtener el identificador de almacenamiento en bloque ( ID EBS ), haga clic en el nombre del dispositivo Root .

Paso 2. Crear una instancia temporal

El siguiente paso es crear una instancia con la que restaurará las claves en la instancia original. Puede omitir este paso si tiene otra instancia en ejecución ubicada en la misma zona (zona de disponibilidad) que la restaurada, y al mismo tiempo que se creó con el mismo AMI o la versión del sistema operativo en él le permitirá conectar el disco desde la instancia original y Copie las claves SSH. Si no existe tal instancia, siga estos pasos:

Vaya a la consola EC2 (en el tablero o en el menú Instancias ) y haga clic en Iniciar instancia
En la página de selección AMI ( Elegir una imagen de máquina de Amazon ), seleccione la que se utilizó para crear la instancia original (la escribió en el primer paso: ID de AMI ). Si por alguna razón esta AMI no está disponible, puede crear una imagen de la instancia original y usarla, o seleccionar el tipo de AMI a la que puede conectar el disco raíz de la instancia restaurada
En la página Elegir un tipo de instancia , seleccione el tipo más barato disponible.
En la página Configurar detalles de instancia , especifique la misma zona de disponibilidad que en nuestra instancia. Si se está ejecutando en VPC, seleccione la misma VPC en el elemento Red y especifique la subred en esta zona.

Sin embargo, no es necesario cambiar la configuración de las interfaces de red.
No se requieren cambios en la página Agregar almacenamiento .
En la página de etiquetas ( Agregar etiquetas ), agregue un nombre para la instancia temporal para que sea fácil de identificar y luego no pierda tiempo en conciliar la ID de instancia y la ID de EBS , ya que en las páginas donde tendrá que determinar con qué instancia o volumen está trabajando, en el título Este valor aparecerá.
Haga clic en Revisar e iniciar y luego en Iniciar
El último paso es seleccionar un par de claves existente o crear uno nuevo. Descargue el archivo de clave (pem) y no olvide hacer una copia de seguridad para que no tenga que volver a realizar todas las operaciones.
Después de guardar el archivo, inicie la instancia con el botón Iniciar instancias

Paso 3. Conectando el disco raíz de la máquina restaurada a una instancia temporal

Primero debe desconectar el disco de la instancia original y conectarlo a uno temporal. Dado que este es el disco raíz, la instancia original deberá detenerse antes de desconectarlo.

Vaya a la consola EC2 en la sección Instancias y seleccione la instancia original (puede determinarse por la ID de instancia registrada anteriormente o por un nombre que difiere del que especificó al crear la instancia temporal).

Siguiente en el menú Acciones - Estado de instancia - Detener .

Atencion Cuando se detiene la instancia, se borran todos los datos del almacenamiento local (Almacén de instancias de Amazon EC2). Si tiene datos sobre tales volúmenes, cuide su seguridad transfiriéndolos a un almacenamiento permanente, si es necesario.
Después de detener la instancia, vaya a la sección Elastic Block Store - Volumes y seleccione el volumen raíz de la instancia original. Puede determinarse mediante la ID de volumen almacenada o en función de la información de la columna Información de archivo adjunto , que contiene el nombre de la instancia.

Siguiente en el menú Acciones - Separar volumen
Conecte este volumen a una instancia temporal. Para hacer esto, selecciónelo nuevamente, luego en el menú Acciones - Adjuntar volumen y en el cuadro de diálogo que aparece, especifique su instancia temporal.

Luego haga clic en Adjuntar . Si la instancia original se creó a través de AMI de AWS Marketplace y la sección contiene códigos de AWS Marketplace, recibirá un error que indica que es imposible conectar la sección con códigos a una instancia de trabajo.

En este caso, detenga nuestra instancia temporal y repita los pasos para conectar el volumen raíz de la instancia original a la instancia temporal. El segundo intento debe ser exitoso.
Ahora debería ver que ambas unidades están conectadas a una instancia temporal.
Si detuvo la instancia, ejecútela:
- Vaya a la sección Instancias de la barra de navegación.
- Elige una instancia temporal
- A continuación, en el menú Acciones - Estado de instancia - Inicio .

Paso 4. Preparar claves para conectarse a la instancia a través de SSH

Los usuarios de Linux no necesitan generar claves adicionales. Solo necesita otorgar permisos de lectura a este archivo:

chmod 400 my-keypair.pem

Preparación clave si está ejecutando Windows

Para conectarse a una máquina Linux, usaremos la utilidad PuTTY, así que si no la tiene instalada, descárguela . Para conectarse a través de SSH, necesitará una clave ppk , mientras que con AWS se guardó la clave en formato pem . Para obtener la clave del formato deseado, haga lo siguiente:

Abrir PuTTYgen (instalado con PuTTY)
Seleccione 2048 bit en los parámetros RSA
Descargue la clave pem guardada haciendo clic en Cargar (Cargar un archivo de clave privada existente)
Especifique la frase de contraseña (frase de contraseña clave ) y confírmela ( confirme la frase de contraseña ). Esto no es necesario, pero es más seguro. La única diferencia es que cuando se conecta con esta tecla, siempre se le pedirá que ingrese esta frase para confirmar la entrada.
Guarde el archivo con el nombre que especificó al crear el par de claves ( KeyPair ) durante la creación de la instancia temporal (el nombre coincide con el nombre de la clave pem )

La llave está lista.

Paso 5. Conéctese a una instancia temporal a través de SSH

Conéctese en el puerto 22 con la llave. El nombre de usuario depende de qué AMI se utilizó para crear la instancia. Lo escribiste al principio. Son posibles los siguientes nombres de usuario:

Amazon Linux 2 o Amazon Linux AMI - usuario ec2
Centos AMI - centos
Debian AMI - administrador o root
Fedora AMI - usuario ec2 o fedora
RHEL AMI: usuario ec2 o root
SUSE AMI: usuario ec2 o root
Ubuntu AMI - ubuntu
Por lo demás, si los nombres ec2-user y root no funcionan, comuníquese con su proveedor de AMI

El nombre de host al que desea conectarse es user@aws-host.amazon.com , donde user es el nombre descrito anteriormente, y aws-host.amazon.com es la dirección IP de su instancia, que se puede encontrar en la pestaña de información detallada (desde allí guardaste los parámetros desde el principio). El parámetro se llama IPv4 IP pública . Tenga en cuenta que si no utiliza Elastic IP , cada vez que inicie la instancia, tendrá una nueva dirección IP.

Instrucciones de conexión para usuarios de Windows

Lanzar PuTTY
En el campo Nombre del host , la dirección tiene el formato nombre de usuario @ dirección-ip
Vaya a la sección Conexión - SSH - Auth y descargue la clave ppk (archivo de clave privada para autenticación)
Haga clic en Abrir y luego acepte confiar en el servidor

Si especificó una frase de contraseña al crear una clave ppk, ingrésela para confirmar la entrada:

 Using username "ubuntu". Authenticating with public key "imported-openssh-key" Passphrase for key "imported-openssh-key":

Estás en el servidor

Paso 6. Copiar claves de una instancia temporal al original

Monte el volumen que conectó a la instancia temporal para poder acceder a su sistema de archivos.

Partición de montaje

Por ejemplo, si el nombre de la unidad es /dev/sdf (puede aparecer de manera diferente en su instancia), use las siguientes operaciones para montar el volumen en /mnt/tempvol :

Determine los nombres de partición de la unidad asignada:

[user ~]$ lsblk
```
 NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT xvda 202:0 0 10G 0 disk └─xvda1 202:1 0 10G 0 part / xvdf 202:80 0 10G 0 disk └─xvdf1 202:81 0 10G 0 part 
```
/dev/xvda1 y /dev/xvdf1 son particiones de disco. /dev/xvdf1 no tiene un punto de montaje (MOUNTPOINT), por lo que esta es la partición del disco que conectamos anteriormente.
Cree un directorio temporal para montar la partición:

[user ~]$ sudo mkdir /mnt/tempvol
Monte la partición en el directorio creado:

[user ~]$ sudo mount /dev/ xvdf1 /mnt/tempvol

Copie las claves SSH de la instancia temporal a la partición montada.

Atencion Use el nombre de usuario provisto en la línea de comando. Esto es necesario, porque a pesar del hecho de que se ha conectado con éxito con un nombre de usuario estándar, que depende del sistema operativo (descrito en el paso 5), en el AMI de AWS Marketplace puede ser diferente después de iniciar sesión. Por ejemplo, para AMI WordPress Certified by Bitnami, al iniciar sesión a través de SSH, el inicio de sesión estándar para Ubuntu es ubuntu . Sin embargo, el nombre de usuario después de iniciar sesión es bitnami

Copiar llaves

Por ejemplo, si el nombre de usuario es ubuntu , use el siguiente comando para copiar:

[user ~]$ cp .ssh/authorized_keys /mnt/tempvol/home/ ubuntu /.ssh/authorized_keys

Si no tiene permiso para editar los archivos en /mnt/tempvol , copie los archivos con sudo y verifique los derechos para asegurarse de que puede acceder a la instancia original:

Verifique los permisos de archivo:

[user ~]$ sudo ls -l /mnt/tempvol/home/ ubuntu /.ssh/authorized_keys
total 4
-rw------- 1 200 500 392 Aug 15 00:06 authorized_keys

En el ejemplo, 200 es la ID de usuario y 500 es la ID de grupo.
Reinicie el comando de copia clave usando sudo :

[user ~]$ sudo cp .ssh/authorized_keys /mnt/tempvol/home/ ubuntu /.ssh/authorized_keys
Compruebe si los permisos en el archivo han cambiado:

[user ~]$ sudo ls -l /mnt/tempvol/home/ ubuntu /.ssh/authorized_keys

Si los derechos han cambiado, restaúrelos:

[user ~]$ sudo chown 200 : 500 /mnt/tempvol/home/ ubuntu /.ssh/authorized_keys

Desmontar la sección:

[user ~]$ sudo umount /mnt/tempvol

Paso 7. Iniciar la instancia con acceso restaurado a través de SSH

En la consola EC2, seleccione la unidad que conectó a la temporal y en el menú: Acciones - Separar volumen . Espere hasta que el estado del disco esté disponible (puede usar el botón Actualizar para actualizar la información).

Recuerde terminar previamente la instancia si la sección contiene códigos de AWS Marketplace.
Para la misma unidad, vaya al menú Acciones - Adjuntar volumen
Seleccione la instancia original y especifique el nombre del disco raíz que grabó al principio.

Imagen en la que se puede hacer clic

Haga clic en Adjuntar
Ejecutar instancia
Para EC2-classic : si Elastic IP se configuró para la instancia original, vuelva a asociarlo con ella:
- Vaya a la sección Elastic IP de la barra de navegación.
- Seleccione la dirección IP elástica que anotó al principio
- Próximas acciones: dirección asociada
- Seleccione el ID de instancia original y haga clic en Asociar

Paso 8. Verificación de acceso

Conéctese a la instancia de acceso restaurada utilizando la clave generada.

Si el nombre del nuevo par de claves es diferente del anterior, asegúrese de conectarse utilizando la nueva clave privada.

Paso 9. La etapa final

Si creó una nueva instancia temporal para realizar todas las operaciones y no utilizó una existente, deténgala si ya no la necesita:

Vaya a la sección Instancias de la barra de navegación.
Elige una instancia temporal
Siguiente en el menú Acciones - Estado de instancia - Terminar

De esta forma recuperó el acceso a la instancia de Linux Amazon EC2.

Instrucciones paso a paso para recuperar el acceso a instancias de Linux Amazon EC2 al perder un archivo pem