绑定密钥对并使用私钥登录弹性云服务器

密钥对是通过加密算法生成的一对密钥，包含一个公钥和一个私钥，公钥自动保存在KPS中，私钥由用户保存在本地。如果用户将公钥配置在Linux云服务器中，则可以使用私钥登录Linux云服务器，提高登录安全性。

本章节介绍如何绑定密钥对并使用私钥登录弹性云服务器。

本章节以“SSH_RSA_2048”密钥对为示例介绍创建密钥对并登录弹性云服务器，流程如图创建密钥对并登录弹性云服务器所示。

图1 创建密钥对并登录弹性云服务器

操作步骤	说明
准备工作	注册华为账号、开通华为云，为账户充值、赋予KPS权限。
步骤一：创建密钥对	创建密钥对，选择密钥对类型等。
步骤二：为弹性云服务器绑定密钥对弹性云服务器绑定密钥对（关机状态）弹性云服务器绑定密钥对（运行中状态）	为弹性云服务器绑定密钥对。
步骤三：使用私钥登录弹性云服务器	绑定密钥对后，通过私钥登录该弹性云服务器。

在创建密钥对之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。
如果您已开通华为云并进行实名认证，请忽略此步骤。
已完成弹性云服务器创建，具体操作请参见创建ECS弹性云服务器。
弹性云服务器安全组SSH端口（默认22）需对网段100.125.0.0/16提前放通。具体端口及网段放通操作请参见Linux云服务器SSH登录的安全加固。

请确保已为账号拥有KPS权限。具体操作请参见创建用户组并授权使用DEW。

表1 KPS系统策略
系统角色/策略名称	描述	类别	依赖关系
DEW KeypairFullAccess	数据加密服务中密钥对管理服务(KPS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。	系统策略	无
DEW KeypairReadOnlyAccess	数据加密服务中密钥对管理服务(KPS)的查看权限。拥有该权限的用户仅能查看密钥对管理服务(KPS)数据。	系统策略	无

选择“私有密钥对”页签，单击“创建密钥对”，配置如图2所示，必要参数说明如表2所示。

图2 创建私有密钥对

表2 创建私有密钥对参数说明
参数	示例	说明
密钥对类型	SSH_RSA_2048	SSH密钥对签名算法，支持RSA、ECDSA、EdDSA算法。
KMS加密说明：勾选“我同意将密钥对私钥托管”后，需要选择加密密钥。	列表选择 > kps/default	支持以下两种KMS加密方式： “列表选择”：适用于使用本账号的密钥或共享密钥的场景。可选择默认密钥“kps/default”或用户在KMS已创建的自定义密钥 “手工输入”：输入授权密钥的ID。适用于使用授权的密钥场景，仅支持对称算法密钥ID，请勿输入非对称算法密钥ID。

为弹性云服务器绑定密钥对后，支持通过私钥登录弹性云服务器。

在左侧导航栏选择“密钥对管理”，选择“云服务器列表”页签。
在目标ECS实例（处于运行中状态）所在行的“操作”列，单击“绑定”。
在“绑定密钥对”页面，配置如图4所示。
- 选择“密钥对”和“root密码”。
- “端口”默认为“22”。
- 勾选“关闭密码登录方式”和“我已阅读并同意《密钥对管理服务免责声明》”。
图4 绑定密钥对
单击“确定”，完成密钥对绑定操作。