Você pode sugerir locais seguros para armazenar os pares de chaves associados às instâncias do EC2?
É seguro armazenar esses tipos de coisas no armazenamento S3 da Amazon se eles estiverem restritos à sua conta?
Atualmente tenho no meu PC... em casa. Isso é ruim?
A melhor maneira de proteger seus pares de chaves do EC2, que são apenas chaves SSH, é criptografá-los com uma frase secreta (e seguir seu processo normal de gerenciamento de senha para essa frase secreta). Supondo que você esteja usando Linux, você pode usar
ssh-keygen -p -f $filepara criptografar a chave. Você deve manter um backup, de preferência protegido fisicamente (ou seja, um pen drive em um cofre ou algo assim). Estou assumindo que você está falando sobre a metade privada da chave, já que a chave pública é obviamente pública.Teoricamente, seria melhor armazenar a chave em um TPM em sua estação de trabalho ou em um smartcard, mas geralmente há problemas práticos com essa solução ao lidar com chaves SSH.
Se é ruim armazenar a chave em seu PC doméstico, depende se isso é uma violação da política. Se não for, honestamente, há poucos motivos para ver isso como sendo pior do que armazená-lo em um laptop que você usa para trabalhar.
Certamente você pode manter um backup da chave no S3 (em vez de um backup físico). O modelo de ameaça é tal que você já está tendo um dia muito ruim (em termos de vazamento de dados e interrupção do serviço, entre outras coisas) se alguém conseguir acessar sua conta da AWS. Mas, a menos que haja algum principal de segurança que possa ter acesso ao bucket S3 com sua chave, mas não tenha permissão para fazer login nas máquinas, você precisará encontrar outra maneira. Se você armazenar uma cópia no S3, pelo menos certifique-se de que ela esteja criptografada com uma senha.
Bem, a chave pública pode ser armazenada onde você quiser. Tatuá-lo em sua testa, por exemplo. :)
A chave privada é o que você precisa proteger, pois é verdadeiramente a sua identidade. Qualquer pessoa que ponha as mãos em sua chave (não criptografada) pode fazer o que quiser com seus servidores. Portanto, proteja-o e faça backup como faria com qualquer outro arquivo importante, mas confidencial. Criptografe e salve em uma unidade flash, imprima em papel e guarde em um cofre como último recurso, etc. Se você quiser armazená-lo no S3, provavelmente tudo bem, mas eu só faria isso em seu formulário criptografado.