Cách tốt nhất để bảo vệ các khóa bàn phím EC2 của bạn, chỉ là các khóa SSH, là mã hóa chúng bằng cụm mật khẩu (và tuân theo quy trình quản lý mật khẩu thông thường của bạn cho cụm mật khẩu đó). Giả sử bạn đang sử dụng linux, bạn có thể sử dụng ssh-keygen -p -f $fileđể mã hóa khóa. Bạn nên giữ một bản sao lưu, tốt nhất là bảo mật vật lý (ví dụ như một ngón tay cái trong hộp ký gửi an toàn hoặc một cái gì đó). Tôi giả sử bạn đang nói về một nửa riêng tư của khóa, vì khóa công khai rõ ràng là công khai.
Về mặt lý thuyết, sẽ tốt hơn nếu lưu trữ khóa trên TPM trên máy trạm của bạn hoặc trên thẻ thông minh, nhưng thường có vấn đề thực tế với giải pháp này khi xử lý các khóa SSH.
Việc lưu trữ khóa trên PC tại nhà của bạn có tệ hay không tùy thuộc vào việc điều này có vi phạm chính sách hay không. Nếu không, thành thật mà nói, có rất ít lý do để xem điều này là tồi tệ hơn việc lưu trữ nó trên máy tính xách tay bạn sử dụng cho công việc.
Bạn chắc chắn có thể giữ một bản sao lưu của khóa trong S3 (thay vì sao lưu vật lý). Mô hình mối đe dọa là bạn đã có một ngày rất tồi tệ (về rò rỉ dữ liệu và gián đoạn dịch vụ, trong số những thứ khác) nếu ai đó có thể truy cập vào tài khoản AWS của bạn. Nhưng, trừ khi có một số hiệu trưởng bảo mật có thể có quyền truy cập vào nhóm S3 bằng khóa của bạn nhưng không được phép đăng nhập vào máy, bạn sẽ cần tìm cách khác. Nếu bạn lưu trữ một bản sao trong S3, ít nhất hãy đảm bảo rằng nó được mã hóa bằng cụm mật khẩu.