👐🏻 ↔️ 👩🏾‍🚀 Instructions pas à pas pour retrouver l'accès aux instances Linux Amazon EC2 lors de la perte d'un fichier pem 🌙 💃🏻 ✏️

Si lors de la création de l'instance Linux dans AWS, une paire de clés (KeyPair) n'a pas été créée pour y accéder via SSH ou qu'elles sont perdues, alors un certain nombre d'opérations doivent être effectuées pour accéder à la machine. Vous ne pouvez pas ajouter de clés à une instance déjà en cours d'exécution via la console AWS. Il existe trois façons de restaurer l'accès SSH à une instance.

Le moyen le plus simple consiste à configurer la clé à l'aide du mécanisme cloud-init (merci pour l'astuce de yusman ). Mais cela ne fonctionne pas si les droits sur le répertoire /home sont endommagés ou si la distribution ne prend pas en charge les directives cloud-init.

La deuxième façon consiste à créer une image (Amazon Machine Image) à partir d'une instance existante, puis à lancer une nouvelle instance basée sur celle-ci, mais avec une clé. Ainsi, la machine existante sera effectivement clonée avec la seule différence qu'au dernier stade, il est possible de créer de nouvelles clés. La création d'une image peut prendre beaucoup de temps pour une instance avec de grands disques, et vous devrez configurer à nouveau tous les services liés à cette machine. Par conséquent, cette méthode prendra dans la plupart des cas plus de temps.

Les documents officiels d'Amazon décrivent une autre façon . Il vous permet de restaurer l'accès et de minimiser le coût des services de reconfiguration (par rapport à la deuxième méthode), qui sont liés à une instance à laquelle l'accès est perdu. L'article en donne une description pas à pas.

Attention! Cette méthode ne fonctionne que pour les instances qui utilisent le stockage en mode bloc (Amazon Elastic Block Store) en tant que périphérique racine, et ne fonctionne pas pour le stockage d'instance local (Amazon EC2 Instance Store).

Pour savoir quel type de périphérique racine vous utilisez, ouvrez la console Amazon EC2, accédez à Instances , sélectionnez une instance et vérifiez la valeur du paramètre Type de périphérique racine dans le panneau avec des informations détaillées.

Si votre machine est équipée d'EBS , cette méthode vous convient.

Étape 1. Préparation

Vous devez d'abord enregistrer certaines informations afin de ne pas vous laisser distraire et de ne pas passer à d'autres écrans (d'autant plus que cela sera très gênant). Toutes les données se trouvent dans les informations détaillées de l'instance (vous savez déjà comment vous y rendre). Enregistrez les paramètres suivants:

ID d'instance
ID AMI
ID EBS
Appareil racine
Zone de disponibilité

Pour une instance exécutée dans VPC , enregistrez la valeur ID VPC .

Pour EC2-classic : si une adresse IP élastique ( Elastic IP ) est créée pour une instance, sa valeur doit également être enregistrée.

Image cliquable

Pour obtenir l'identifiant de stockage en bloc ( ID EBS ), cliquez sur le nom du périphérique racine .

Étape 2. Création d'une instance temporaire

L'étape suivante consiste à créer une instance avec laquelle vous restaurerez les clés sur l'instance d'origine. Vous pouvez ignorer cette étape si vous avez une autre instance en cours d'exécution située dans la même zone (zone de disponibilité) que celle restaurée, et en même temps qu'elle a été créée en utilisant la même AMI ou la version du système d'exploitation sur elle vous permettra de connecter le disque à partir de l'instance d'origine et copiez-y les clés SSH. S'il n'y a pas une telle instance, procédez comme suit:

Accédez à la console EC2 (sur le tableau de bord ou dans le menu Instances ) et cliquez sur Lancer l'instance
Sur la page de sélection AMI ( Choose an Amazon Machine Image ), sélectionnez celle qui a été utilisée pour créer l'instance d'origine (vous l'avez notée à la première étape - ID AMI ). Si, pour une raison quelconque, cette AMI n'est pas disponible, vous pouvez créer une image à partir de l'instance d'origine et l'utiliser, ou sélectionner le type d'AMI auquel vous pouvez connecter le disque racine de l'instance restaurée
Sur la page Choisir un type d'instance , sélectionnez le type le moins cher disponible.
Sur la page Configurer les détails de l'instance , spécifiez la même zone de disponibilité que dans notre instance. S'il s'exécute dans VPC, sélectionnez le même VPC dans l'élément Réseau et spécifiez le sous-réseau dans cette zone.

Cependant, il n'est pas nécessaire de modifier les paramètres des interfaces réseau.
Aucune modification n'est requise sur la page Ajouter un stockage .
Sur la page des balises ( Ajouter des balises ), ajoutez un nom pour l'instance temporaire afin qu'elle soit facile à identifier et ne perdez pas de temps à réconcilier l' ID d'instance et l' ID EBS , car sur les pages où vous devrez déterminer l'instance ou le volume avec lequel vous travaillez, dans le titre cette valeur apparaîtra.
Cliquez sur Review and Launch puis sur Launch
La dernière étape consiste à sélectionner une paire de clés existante ou à en créer une nouvelle. Téléchargez le fichier clé (pem) et n'oubliez pas de sauvegarder afin que toutes les opérations ne soient pas à refaire.
Après avoir enregistré le fichier, lancez l'instance avec le bouton Lancer les instances

Étape 3. Connexion du disque racine de la machine restaurée à une instance temporaire

Vous devez d'abord déconnecter le disque de l'instance d'origine et le connecter à une instance temporaire. Comme il s'agit du disque racine, l'instance d'origine devra être arrêtée avant de le déconnecter.

Accédez à la console EC2 dans la section Instances et sélectionnez l'instance d'origine (elle peut être déterminée par l' ID d'instance enregistré précédemment ou par un nom différent de celui que vous avez spécifié lors de la création de l'instance temporaire).

Ensuite dans le menu Actions - Instance State - Stop .

Attention! Lorsque l'instance s'arrête, toutes les données du stockage local (Amazon EC2 Instance Store) sont effacées. Si vous avez des données sur de tels volumes, veillez à leur sécurité en les transférant vers un stockage permanent, si nécessaire.
Une fois l'instance arrêtée, accédez à la section Elastic Block Store - Volumes et sélectionnez le volume racine de l'instance d'origine. Il peut être déterminé par l' ID de volume stocké ou basé sur les informations de la colonne Informations sur la pièce jointe , qui contient le nom de l'instance.

Suivant dans le menu Actions - Détacher le volume
Connectez ce volume à une instance temporaire. Pour ce faire, sélectionnez-le à nouveau, puis dans le menu Actions - Attacher un volume et dans la boîte de dialogue qui apparaît, spécifiez votre instance temporaire.

Cliquez ensuite sur Attacher . Si l'instance d'origine a été créée via l' AMI AWS Marketplace et que la section contient des codes AWS Marketplace, vous recevrez une erreur indiquant qu'il est impossible de connecter la section avec des codes à l'instance de travail.

Dans ce cas, arrêtez notre instance temporaire et répétez les étapes pour connecter le volume racine de l'instance d'origine à l'instance temporaire. La deuxième tentative devrait réussir.
Vous devriez maintenant voir que les deux disques sont connectés à une instance temporaire.
Si vous avez arrêté l'instance, exécutez-la:
- Accédez à la section Instances de la barre de navigation.
- Choisissez une instance temporaire
- Ensuite dans le menu Actions - État de l'instance - Démarrer .

Étape 4. Préparation des clés pour la connexion à l'instance via SSH

Les utilisateurs de Linux n'ont pas besoin de générer de clés supplémentaires. Vous devez seulement donner des autorisations de lecture à ce fichier:

chmod 400 my-keypair.pem

Préparation des clés si vous exécutez Windows

Pour vous connecter à une machine Linux, nous utiliserons l'utilitaire PuTTY, donc si vous ne l'avez pas installé, téléchargez- le. Pour vous connecter via SSH en l'utilisant, vous aurez besoin d'une clé ppk , tandis qu'avec AWS, la clé au format pem a été enregistrée . Afin d'obtenir la clé au format souhaité, procédez comme suit:

Ouvrez PuTTYgen (installé avec PuTTY)
Sélectionnez 2048 bits dans les paramètres RSA
Téléchargez la clé pem enregistrée en cliquant sur Charger (Charger un fichier de clé privée existant)
Spécifiez la phrase de passe (phrase de passe clé ) et confirmez-la ( confirmez la phrase de passe ). Ce n'est pas nécessaire, mais plus sûr. La seule différence est que lors de la connexion à l'aide de cette touche, il vous sera toujours demandé de saisir cette phrase pour confirmer l'entrée
Enregistrez le fichier avec le nom que vous avez spécifié lors de la création de la paire de clés ( KeyPair ) lors de la création de l'instance temporaire (le nom coïncide avec le nom de la clé pem )

La clé est prête.

Étape 5. Connectez-vous à une instance temporaire via SSH

Connectez-vous sur le port 22 à l'aide de la clé. Le nom d'utilisateur dépend de l'AMI utilisé pour créer l'instance. Vous l'avez écrit au tout début. Les noms d'utilisateur suivants sont possibles:

Amazon Linux 2 ou Amazon Linux AMI - ec2-user
Centos AMI - centos
Debian AMI - admin ou root
Fedora AMI - ec2-user ou fedora
RHEL AMI - utilisateur ec2 ou root
SUSE AMI - utilisateur ec2 ou root
Ubuntu AMI - Ubuntu
Pour le reste, si les noms ec2-user et root ne fonctionnent pas, contactez votre fournisseur AMI

Le nom d'hôte auquel vous souhaitez vous connecter est user@aws-host.amazon.com , où user est le nom décrit ci-dessus, et aws-host.amazon.com est l'adresse IP de votre instance, qui peut être trouvée sur l'onglet d'informations détaillées (à partir de là, vous avez enregistré les paramètres au tout début). Le paramètre est appelé IPv4 Public IP . Veuillez noter que si vous n'utilisez pas Elastic IP , chaque fois que vous démarrez l'instance, elle aura une nouvelle adresse IP.

Instructions de connexion pour les utilisateurs de Windows

Lancer PuTTY
Dans le champ Host Name , l'adresse est au format username @ ip-address
Accédez à la section Connexion - SSH - Auth et téléchargez la clé ppk (fichier de clé privée pour l'authentification)
Cliquez sur Ouvrir , puis acceptez de faire confiance au serveur

Si vous avez spécifié une phrase secrète lors de la création d'une clé ppk, saisissez-la pour confirmer l'entrée:

 Using username "ubuntu". Authenticating with public key "imported-openssh-key" Passphrase for key "imported-openssh-key":

Vous êtes sur le serveur.

Étape 6. Copie des clés d'une instance temporaire vers l'original

Montez le volume que vous avez connecté à l'instance temporaire pour pouvoir accéder à son système de fichiers.

Monter la partition

Par exemple, si le nom du lecteur est /dev/sdf (il peut apparaître différemment sur votre instance), utilisez les opérations suivantes pour monter le volume dans /mnt/tempvol :

Déterminez les noms de partition du lecteur mappé:

[user ~]$ lsblk
```
 NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT xvda 202:0 0 10G 0 disk └─xvda1 202:1 0 10G 0 part / xvdf 202:80 0 10G 0 disk └─xvdf1 202:81 0 10G 0 part 
```
/dev/xvda1 et /dev/xvdf1 sont des partitions de disque. /dev/xvdf1 n'a pas de point de montage (MOUNTPOINT), c'est donc la partition de disque que nous avons connectée plus tôt.
Créez un répertoire temporaire pour monter la partition:

[user ~]$ sudo mkdir /mnt/tempvol
Montez la partition dans le répertoire créé:

[user ~]$ sudo mount /dev/ xvdf1 /mnt/tempvol

Copiez les clés SSH de l'instance temporaire vers la partition montée.

Attention! Utilisez le nom d'utilisateur fourni sur la ligne de commande. Cela est nécessaire, car malgré le fait que vous ayez réussi à vous connecter avec un nom d'utilisateur standard, qui dépend du système d'exploitation (décrit à l'étape 5), dans l'AMI d'AWS Marketplace, il peut être différent après la connexion. Par exemple, pour AMI WordPress Certified by Bitnami, lors de la connexion via SSH, la connexion standard pour Ubuntu est ubuntu . Cependant, le nom d'utilisateur après la connexion est bitnami

Copier les clés

Par exemple, si le nom d'utilisateur est ubuntu , utilisez la commande suivante pour copier:

[user ~]$ cp .ssh/authorized_keys /mnt/tempvol/home/ ubuntu /.ssh/authorized_keys

Si vous n'êtes pas autorisé à modifier les fichiers dans /mnt/tempvol , copiez les fichiers à l'aide de sudo et vérifiez les droits pour vous assurer que vous pouvez accéder à l'instance d'origine:

Vérifiez les autorisations des fichiers:

[user ~]$ sudo ls -l /mnt/tempvol/home/ ubuntu /.ssh/authorized_keys
total 4
-rw------- 1 200 500 392 Aug 15 00:06 authorized_keys

Dans l'exemple, 200 est l'ID utilisateur et 500 est l'ID de groupe.
Redémarrez la commande de copie de clé à l'aide de sudo :

[user ~]$ sudo cp .ssh/authorized_keys /mnt/tempvol/home/ ubuntu /.ssh/authorized_keys
Vérifiez si les autorisations sur le fichier ont changé:

[user ~]$ sudo ls -l /mnt/tempvol/home/ ubuntu /.ssh/authorized_keys

Si les droits ont changé, restaurez-les:

[user ~]$ sudo chown 200 : 500 /mnt/tempvol/home/ ubuntu /.ssh/authorized_keys

Démontez la section:

[user ~]$ sudo umount /mnt/tempvol

Étape 7. Démarrage de l'instance avec un accès restauré via SSH

Dans la console EC2, sélectionnez le lecteur que vous avez connecté au temporaire et dans le menu: Actions - Détacher le volume . Attendez que l'état du disque soit disponible (vous pouvez utiliser le bouton Actualiser pour mettre à jour les informations).

N'oubliez pas de pré-terminer l'instance si la section contient des codes AWS Marketplace.
Pour le même lecteur, accédez au menu Actions - Attacher le volume
Sélectionnez l'instance d'origine et spécifiez le nom du disque racine que vous avez enregistré au tout début.

Image cliquable

Cliquez sur Attacher
Exécuter l'instance
Pour EC2-classic : si Elastic IP a été configuré pour l'instance d'origine, réassociez-la à celle-ci:
- Accédez à la section Elastic IP de la barre de navigation.
- Sélectionnez l'adresse IP élastique que vous avez notée au tout début
- Actions suivantes - Adresse associée
- Sélectionnez l' ID d' instance d'origine et cliquez sur Associer

Étape 8. Contrôle d'accès

Connectez-vous à l'instance d'accès restaurée à l'aide de la clé générée.

Si le nom de la nouvelle paire de clés est différent du précédent, assurez-vous que vous vous connectez à l'aide de la nouvelle clé privée.

Étape 9. L'étape finale

Si vous avez créé une nouvelle instance temporaire afin d'effectuer toutes les opérations et que vous n'en avez pas utilisé une existante, arrêtez-la si vous n'en avez plus besoin:

Accédez à la section Instances de la barre de navigation.
Choisissez une instance temporaire
Suivant dans le menu Actions - État de l'instance - Terminer

De cette façon, vous avez récupéré l'accès à l'instance Linux Amazon EC2.

Instructions pas à pas pour retrouver l'accès aux instances Linux Amazon EC2 lors de la perte d'un fichier pem