秘密鍵を動かすな

昨日、こんなことを書いていました。

キーペアは PC ごとにつくって、それぞれインスタンスに登録するものと思っていたのですが、インスタンスでひとつということのようです。

実際は、 キーペアを追加や削除することは可能 です。インスタンスをつくるときはひとつだけ登録できて、追加や削除は Web ブラウザではできないというだけのことのようです。手順を見ると特別なことをしているわけでもないみたいです。

キーペアは PC でひとつどころか、ホスト(PC)のユーザごとにつくるものです。公開鍵の末尾のコメントは主に人間がキーを区別するために使われるようです。ですので、ユーザ名ホスト名がデフォルトで記述されるのは合理的なことです。

やはり、秘密鍵を使い回すことは好ましくはないようです。ユーザ個別にキーペアを作成して、サーバに登録することに比べると手間がかからないですが、このあたりはコストとセキュリティのどちらに重きを置くかということなのでしょう。

SSH キーを管理する手間を惜しんではいけない。