AWS EC2创建实例时未下载密钥对，如何补救获取私钥？

一、根本认知：AWS密钥对的不可再生性

在AWS EC2中，密钥对（Key Pair）由AWS服务端生成公钥并注入实例，而私钥仅在首次创建时由客户端本地生成并下载（.pem文件）。AWS严格遵循零信任原则：私钥永不落盘于AWS任何基础设施，亦不参与传输或存储。因此，一旦跳过下载步骤，原始私钥即物理性永久丢失——这不是权限问题，而是密码学确定性约束（RSA/ED25519无法从公钥逆向推导私钥）。

二、诊断路径：快速确认当前访问能力边界

• 检查EC2 Instance Connect是否启用：查看实例详情页“Connect”选项卡 → 是否显示“EC2 Instance Connect”且状态为“Available”；需确认AMI支持（Amazon Linux 2/Ubuntu 20.04+官方AMI默认集成）且关联IAM策略含ec2-instance-connect:SendSSHPublicKey权限。
• 验证SSM Agent运行状态：在EC2控制台选中实例 → “Systems Manager Status”列是否为“Online”；若为“Offline”，则Session Manager不可用，需先修复网络或Agent配置。
• 核查安全组与NACL：即使有密钥，若SSH端口（22）被阻断，所有补救方案均失效——建议优先执行端口连通性测试（telnet <public-ip> 22）。

三、三级补救方案对比与实操指南

四、核心方案详解：根卷挂载法（Step-by-Step）

1. 停止原故障实例（必须！EBS卷仅在stopped状态下可分离）；
2. 分离根卷：在“Volumes”页找到其根EBS卷 → “Actions” → “Detach Volume”；
3. 启动临时可信EC2实例（同AZ，推荐t3.micro，Ubuntu 22.04 AMI）；
4. 将原根卷挂载为/dev/xvdf（非启动盘）→ 登录临时实例执行：
   sudo mkdir /mnt/recovery && sudo mount /dev/xvdf1 /mnt/recovery；
5. 注入新密钥：
   echo "ssh-rsa AAAA...new-public-key..." | sudo tee -a /mnt/recovery/home/ubuntu/.ssh/authorized_keys；
6. 卸载并重挂回原实例：先sudo umount /mnt/recovery，再在控制台将卷重新Attach至原实例的/dev/xvda；
7. 启动原实例，使用新私钥SSH登录验证。

五、防御体系构建：从“事后补救”到“事前免疫”

六、高阶实践建议（面向5年+架构师）

• 基础设施即代码（IaC）强约束：在Terraform中使用aws_key_pair资源，并通过local_file模块自动保存私钥至加密存储（如S3+KMS），杜绝人工遗漏；
• 零信任SSH替代方案：部署Teleport或HashiCorp Boundary，实现基于短期证书的JIT访问，完全解耦长期密钥依赖；
• 混沌工程验证：定期执行“密钥丢失演练”——模拟.pem误删场景，检验SSM/Instance Connect响应SLA是否≤3分钟；
• 合规加固项：在AWS Config中启用规则ec2-instance-managed-by-systems-manager，确保所有生产实例默认启用SSM Agent。