一旦启动了实例，就无法在元数据级别上更改与该实例关联的密钥对，但是可以更改用于连接该实例的ssh密钥。

在大多数ami上都有一个启动过程，下载公共ssh密钥并将其安装在.ssh/authorized_keys文件中，以便您可以作为该用户使用相应的私有ssh密钥进行ssh登录。

如果您希望更改用于访问实例的ssh密钥，则需要编辑实例本身的authorized_keys文件并将其转换为新的ssh公钥。

authorized_keys文件位于您正在登录的用户的主目录下的.ssh子目录下。取决于你正在运行的AMI，它可能在以下情况之一:

/home/ec2-user/.ssh/authorized_keys
/home/ubuntu/.ssh/authorized_keys
/root/.ssh/authorized_keys

编辑authorized_keys文件后，在断开用于编辑该文件的会话之前，总是使用不同的终端来确认您能够通过ssh登录到该实例。您不希望犯错误并将自己完全锁定在实例之外。

当您在考虑EC2上的ssh密钥对时，我建议您将自己的个人ssh公钥上传到EC2，而不是让Amazon为您生成密钥对。

这是我写的一篇文章:

上传个人ssh密钥到Amazon EC2 http://alestic.com/2010/10/ec2-ssh-keys

这只适用于您运行的新实例。

这个答案是有用的情况下，您不再有SSH访问现有的服务器(即您丢失了您的私钥)。

如果您仍然拥有SSH访问权限，请使用下面的答案之一。

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html#replacing-lost-key-pair

以下是我所做的，感谢Eric Hammond的博客文章:

停止正在运行的EC2实例 分离它的/dev/xvda1卷(我们称它为卷A)—请参见这里 开始新的t1。microec2实例，使用我的新密钥对。确保在相同的子网中创建它，否则将不得不终止实例并重新创建它。-请看这里 将卷A挂载到新的微实例，如/dev/xvdf(或/dev/sdf) SSH到新的微实例，将卷A挂载到/mnt/tmp

$ sudo mkdir /mnt/tmp; sudo mount /dev/xvdf1 /mnt/tmp

~ /副本。Ssh /authorized_keys到/mnt/tmp/home/ubuntu/.ssh/authorized_keys 注销 终止微实例 从它分离卷A 将卷A挂回主实例为/dev/xvda 启动主实例 像以前一样登录，使用新的.pem文件

就是这样。

我尝试了这种方法，过了一段时间后，我能够让它工作。缺乏实际的命令让它很困难，但我想出了办法。然而，不久之后发现并测试了更简单的方法:

将实例保存为AMI(不管是否重启，我建议重启)。这只有在EBS支持的情况下才能奏效。 然后，只需从这个AMI启动一个实例并分配新的Keyfile。 将弹性IP(如果适用)转移到新实例，就完成了。

我注意到，当由Elastic Beanstalk管理时，您可以更改活动的EC2密钥对。2 .在“Elastic Beanstalk > Configuration > Security”下的“EC2密钥对”下拉框中选择新密钥。你会看到这条消息询问你是否确定:

EC2KeyName:对选项EC2KeyName设置的更改将不会生效 立即。您现有的每个EC2实例都将被替换 届时，您的新设置将生效。

当我这样做时，我的实例已经终止了。然后开始，结束，再开始。显然，“替换”意味着终止并创建一个新实例。如果您已经修改了引导卷，那么首先创建一个AMI，然后在相同的Elastic Beanstalk > Configuration > Instances表单中指定这个AMI作为自定义AMI ID。这也会对替换EC2实例发出警告。

在修改了EC2密钥对和Custom AMI ID并看到有关这两者的警告之后，单击Save继续。

请记住，当重新创建实例时，IP地址会发生变化，因此您需要从EC2控制台检索一个新的IP地址，以便在通过SSH连接时使用。

下载AWS pem后执行此命令。

ssh-keygen -f YOURKEY.pem -y

然后将输出转储到authorized_keys中。

或将pem文件复制到AWS实例并执行以下命令

chmod 600 YOURKEY.pem

然后

ssh-keygen -f YOURKEY.pem -y >> ~/.ssh/authorized_keys

只有当您可以访问想要更改/添加密钥的实例时，这才有效。 您可以创建新的密钥对。或者，如果您已经拥有密钥对，那么您可以将新密钥对的公钥粘贴到实例上的authorized_keys文件中。

vim . ssh / authorized_keys

现在您可以使用该对的私钥并登录。

希望这能有所帮助。

如果您正在使用ElasticBeanstalk平台，您可以通过执行以下命令更改密钥:

弹性豆茎面板 配置 实例(右上方的齿轮) EC2密钥对

这将终止当前实例，并创建一个具有所选键/设置的新实例。

如果遵循以下步骤，将节省大量时间，也不需要停止正在运行的实例。

开始新的t1。microec2实例，使用新的密钥对。确保在相同的子网中创建它，否则将不得不终止实例并重新创建它。 SSH到新的微实例，复制~/的内容。Ssh /authorized_keys在计算机的某处。 用旧的ssh密钥登录主实例。 从点2复制并替换文件内容到~/.ssh/authorized_keys 现在您只需使用新密钥即可再次登录。旧钥匙不能用了。

就是这样。享受:)

Yegor256的回答对我来说很有用，但我想我只是添加一些评论来帮助那些不太擅长挂载驱动器的人(比如我!):

Amazon允许您在附加卷时选择要如何命名它。您必须使用从/dev/sda到/dev/sdp范围内的名称 新版本的Ubuntu会将你放入的内容重命名为/dev/xvd(x)或类似的名称。

所以对我来说，我选择了/dev/sdp作为AWS中的挂载名称，然后我登录到服务器，发现Ubuntu已经将我的卷重命名为/dev/xvdp1)。然后我必须安装驱动器-对我来说，我必须这样做:

mount -t ext4 xvdp1 /mnt/tmp

在跳过所有这些步骤之后，我可以在/mnt/tmp目录下访问我的文件

来自AWS EC2支持的指令:

Change pem login go to your EC2 Console Under NETWORK & SECURITY, click on Key Pair Click on Create Key Pair Give your new key pair a name, save the .pem file. The name of the key pair will be used to connect to your instance Create SSH connection to your instance and keep it open in PuttyGen, click "Load" to load your .pem file Keep the SSH-2 RSA radio button checked. Click on "Save private key" You'll get pop-up window warning, click "Yes” click on "Save public key" as well, so to generate the public key. This is the public key that we're going to copy across to your current instance Save the public key with the new key pair name and with the extension .pub Open the public key content in a notepad copy the content below "Comment: "imported-openssh-key" and before "---- END SSH2 PUBLIC KEY ---- Note - you need to copy the content as one line - delete all new lines on your connected instance, open your authorized_keys file using the tool vi. Run the following command: vi .ssh/authorized_keys you should see the original public key in the file also move your cursor on the file to the end of your first public key content :type "i" for insert on the new line, type "ssh-rsa" and add a space before you paste the content of the public key , space, and the name of the .pem file (without the .pem) Note - you should get a line with the same format as the previous line press the Esc key, and then type :wq!

这将保存更新后的authorized_keys文件

现在尝试使用新的密钥pai打开一个新的SSH会话到您的实例

当您确认能够使用新的密钥对SSH进入实例时，您可以vi . SSH /authorized_key并删除旧的密钥。

对Shaggie评论的回答:

如果您无法连接到实例(例如密钥损坏)，请使用AWS控制台分离卷(http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-detaching-volume.html)并将其重新连接到工作实例，然后更改卷上的密钥并将其重新连接到前一个实例。

我认为最简单的方法是:

创建现有实例的AMI映像。 使用AMI映像(由步骤1创建)和新的密钥对启动新的EC2实例。 使用新密钥登录到新的EC2实例。

我已经尝试了以下步骤，它在没有停止实例的情况下工作。我的需求是-因为我已经更改了客户端机器，旧的.pem文件不允许我登录到ec2实例。

使用旧机器上的旧.pem文件登录到ec2实例。~ / . ssh / authorized_keys开放

你会在那个文件里看到你的旧钥匙。

ssh-keygen -f YOUR_PEM_FILE. shpem - y 它会生成一个密钥。将键附加到~/。Ssh /authorized_keys在步骤#1中打开。无需删除旧密钥。 从AWS控制台创建一个新的密钥对。把它存储在你的新机器里。将其重命名为旧的pem文件-原因是旧的pem文件仍然与AWS中的ec2实例相关联。

全部完成。

我可以从我的新客户端机器上登录到AWS ec2。

最简单的解决方法是复制的内容

~/.ssh/id_rsa.pub

到您的AWS实例的authorized_keys at

~/.ssh/authorized_keys

这将允许您ssh进入EC2实例，而无需为ssh命令指定pem文件。测试连接后，可以删除所有其他键。

如果你需要创建一个新的密钥来与其他人共享，你可以通过:

ssh-keygen -t rsa

这将创建私钥。Pem文件，你可以通过以下方式获取该文件的公钥:

ssh-keygen -f private_key.pem -y > public_key.pub

任何拥有private_key的人。Pem能够连接到

ssh user@host.com -i private_key.pem

您有几个选项可以替换EC2实例的密钥。

您可以在.ssh/authorized_keys文件中手动替换密钥。但是，这需要您实际访问实例或卷(如果未加密)。 您可以使用AWS系统管理器。这需要安装代理。

由于第一个选项可以很容易地在答案中或在您选择的搜索引擎中找到，所以我想重点介绍系统管理器。

打开服务系统管理器 单击左侧的Automation。 单击执行自动化 选择AWSSupport-TroubleshootSSH(通常在最后一页)

您可以在AWS官方文档中找到更多信息

“authorized_keys”中的“SSH Public Key”不需要旋转根设备，也不需要修改。为此，可以利用userdata将ssh密钥添加到任何实例。为此，首先需要使用AWS控制台或ssh-keygen创建一个新的KeyPair。

ssh-keygen -f YOURKEY.pem -y

这将为您的新SSH KeyPair生成公钥，复制此公钥并在下面的脚本中使用它。

Content-Type: multipart/mixed; boundary="//"
MIME-Version: 1.0

--//
Content-Type: text/cloud-config; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="cloud-config.txt"

#cloud-config
cloud_final_modules:
- [scripts-user, always]

--//
Content-Type: text/x-shellscript; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="userdata.txt"

#!/bin/bash
/bin/echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC6xigPPA/BAjDPJFflqNuJt5QY5IBeBwkVoow/uBJ8Rorke/GT4KMHJ3Ap2HjsvjYrkQaKANFDfqrizCmb5PfAovUjojvU1M8jYcjkwPG6hIcAXrD5yXdNcZkE7hGK4qf2BRY57E3s25Ay3zKjvdMaTplbJ4yfM0UAccmhKw/SmH0osFhkvQp/wVDzo0PyLErnuLQ5UoMAIYI6TUpOjmTOX9OI/k/zUHOKjHNJ1cFBdpnLTLdsUbvIJbmJ6oxjSrOSTuc5mk7M8HHOJQ9JITGb5LvJgJ9Bcd8gayTXo58BukbkwAX7WsqCmac4OXMNoMOpZ1Cj6BVOOjhluOgYZbLr" >> /home/hardeep/.ssh/authorized_keys
--//

重新启动后，计算机将拥有指定的SSH发布密钥。 请在第一次重启后删除用户数据。阅读更多关于启动时的用户数据。

我的问题是，我尝试使用IP而不是公共DNS。然后我尝试了公共DNS和它的解决

如果您无法登录VM并删除了ssh密钥，您也可以使用以下步骤更改ec2的密钥对。 一步一步来 1)停止你的ec2实例。 2)对虚拟机和存储进行快照。 3)创建一个新的虚拟机，同时创建它选择您的快照，并从您的快照创建虚拟机。 4)在创建虚拟机时下载您的密码对。 5)一旦你的虚拟机UP，你可以ssh一个新的密钥对，你的数据也会回来。

步骤:

创建新密钥，例如使用AWS控制台，PuTTY密钥生成器，或ssh-keygen 停止实例 设置实例用户数据以将公钥推送到服务器 启动实例

#cloud-config
cloud_final_modules:
- [once]
bootcmd:
 - echo 'ssh-rsa AAAAB3Nz...' > /home/USERNAME/.ssh/authorized_keys

其中USERNAME是机器的预期用户名。可以从AWS获得默认用户名列表。

来自AWS的分步说明

你能做什么…

创建一个新的实例配置文件/角色，其中附加AmazonEC2RoleForSSM策略。 将此实例概要文件附加到实例。 使用SSM会话管理器登录到实例。 在本地机器上使用keygen创建密钥对。 使用SSM会话将该密钥的公共部分推到实例上。 利润。

这个问题有两种情况:-

1)你没有权限访问。pem文件，这就是为什么你想创建一个新的文件。

2)您拥有.pem文件的访问权限，但您只是想更改或创建一个新的.pem文件，以解决某些漏洞或安全问题。

所以如果你的钥匙丢了，你可以向上滚动查看其他答案。但是，如果您只是为了安全目的而更改您的.pem文件，请遵循以下步骤:-

1)进入AWS控制台登录，从密钥对创建一个新的.pem文件 那边的区域。它会自动下载。pem文件到 你的电脑 2)修改权限到400如果你使用Linux/ubuntu点击下面 命令

chmod 400 yournewfile.pem

3)在本地生成新下载文件的RSA

ssh-keygen -f yournewfile.pem -y

4)从这里复制RSA代码 5)现在SSH到您的实例通过之前的。pem文件

ssh -i oldpemfileName.pem username@ipaddress

sudo vim  ~/.ssh/authorized_keys

6)给1 - 2行空间，并粘贴复制的新文件的RSA 然后保存文件 7)现在您的新.pem文件与正在运行的实例链接 8)如果你想禁用之前的.pem文件访问，那么只需编辑即可 的

sudo vim ~/.ssh/authorized_keys

文件，并从这里删除或更改之前的RSA。

注意:-小心删除，以便新创建的RSA不会被更改。

通过这种方式，您可以将新的.pem文件与正在运行的实例更改/连接。

出于安全考虑，您可以撤销对先前生成的.pem文件的访问权。

希望对大家有所帮助!

谢谢你们的建议。当我需要休息钥匙对时，我一定会把它们记在心里。 然而，出于效率和懒惰的考虑，我想出了另一个办法:

创建新的密钥对并下载凭证 右键单击实例>创建AMI一旦完成 终止实例(或者只是停止它，直到您确定可以从新的闪亮AMI创建另一个实例) 从刚才创建的AMI启动一个新的EC2实例，并指定在上面步骤(1)中创建的新密钥对。

希望这能对你有用，为你节省一些时间，并尽量减少你从这样的东西得到的白发数量:)

这是为他们谁有两个不同的pem文件，并出于任何安全目的想要丢弃其中一个。假设我们想要丢弃1。pem

连接到服务器2，从~/.ssh/authorized_keys中复制ssh密钥 在另一个终端上连接服务器1，并将密钥粘贴到~/.ssh/authorized_keys中。现在您将有两个公共ssh密钥 现在，为了增强自信心，尝试使用2.pem连接服务器1。您将能够将服务器1与这两个1连接。Pem和2.pem 现在，注释1。Pem SSH，使用SSH -i连接。pem user@server1

替代解决方案。如果你有唯一的访问服务器。在这种情况下，不要从AWS控制台删除pem文件。只需删除pem访问密钥从sudo纳米~/。Ssh / authized_keys，并添加系统公共Ssh密钥。现在您可以访问ssh user@i.p

如果有人在这里，因为他们不能访问EC2实例，因为他们没有密钥对，但他们有IAM访问，你可以运行以下命令，允许临时访问(60秒)你的EC2实例使用你已经拥有的密钥，只要你知道用户名(通常是'ubuntu' ubuntu实例或' EC2 -user'亚马逊linux实例):

aws ec2-instance-connect send-ssh-public-key --region ${your-aws-region} --instance-id ${your-instance-id} --availability-zone ${your-instance-az} --instance-os-user ${username} --ssh-public-key file://path/to/public/key 

(如果您的~/。Aws /凭据文件，您还可以通过在此命令中添加'——profile your-profile'标志来指定)

如果成功，输出将如下所示:

{
"RequestId": "3537268d-c161-41bb-a4ac-977b79b2bdc0",
"Success": true
}

然后你有60秒的时间用那把钥匙登录。