AWS凭证配置中EC2 Instance Connect密钥有效期限制解析

在使用aws-actions/configure-aws-credentials项目配置AWS凭证时，开发者可能会遇到一个关键限制：通过EC2 Instance Connect发送的SSH公钥默认只有60秒的有效期。这个技术细节对于需要执行长时间SSH操作的用户尤为重要。

核心机制分析

EC2 Instance Connect服务设计了一个安全机制：当通过send-ssh-public-key接口推送公钥时，系统会自动在60秒后从实例元数据中移除该公钥。这是AWS基于安全考虑实施的默认行为，并非配置错误。

在技术实现层面，当执行以下典型操作时：

1. 生成临时RSA密钥对（ssh-keygen）
2. 通过AWS CLI发送公钥到目标实例
3. 使用私钥建立SSH连接

开发者需要注意第三步必须在60秒内完成，否则会遇到"Permission denied (publickey)"错误。这是因为实例上的授权脚本eic_parse_authorized_keys会检查时间戳有效性。

解决方案建议

对于需要长时间操作的场景，推荐以下两种专业解决方案：

1. 密钥复用方案：

   • 在60秒窗口期内重复使用同一密钥
   • 通过多次调用send-ssh-public-key刷新有效期
   • 需自行管理密钥的生命周期

2. 临时密钥方案：

   • 为每个SSH会话生成新密钥
   • 确保每次操作都在60秒窗口期内完成
   • 适合自动化流水线场景

最佳实践

1. 对于批量文件传输，建议：

   • 使用单个压缩包减少传输次数
   • 或采用rsync等支持断点续传的工具

2. 在CI/CD流水线中：

   • 将大任务拆分为多个小步骤
   • 每个步骤独立处理密钥生命周期
   • 添加超时检测和重试机制

3. 安全注意事项：

   • 即使密钥过期自动失效，也应及时删除本地临时密钥
   • 避免在日志中暴露密钥内容
   • 严格控制IAM角色的最小权限

理解这一机制有助于开发者设计更健壮的自动化部署流程，在保证安全性的同时提高操作效率。