Cara terbaik untuk melindungi keypairs EC2 Anda, yang hanya kunci SSH, adalah mengenkripsi mereka dengan frasa sandi (dan ikuti proses manajemen kata sandi normal Anda untuk frasa sandi itu). Dengan asumsi Anda menggunakan linux, Anda dapat menggunakannya ssh-keygen -p -f $file
untuk mengenkripsi kunci. Anda harus menyimpan cadangan, terutama yang diamankan secara fisik (yaitu thumb drive di brankas atau sesuatu). Saya berasumsi Anda berbicara tentang setengah dari kunci, karena kunci publik jelas milik publik.
Secara teoritis, akan lebih baik untuk menyimpan kunci pada TPM di workstation Anda, atau di smartcard, tetapi biasanya ada masalah praktis dengan solusi ini ketika berhadapan dengan kunci SSH.
Apakah buruk menyimpan kunci pada PC di rumah Anda tergantung pada apakah ini merupakan pelanggaran kebijakan. Jika tidak, jujur, ada sedikit alasan untuk menganggap ini lebih buruk daripada menyimpannya di laptop yang Anda gunakan untuk bekerja.
Anda tentu dapat menyimpan cadangan kunci di S3 (bukan cadangan fisik). Model ancaman sedemikian rupa sehingga Anda sudah mengalami hari yang sangat buruk (dalam hal kebocoran data dan gangguan layanan, antara lain) jika seseorang dapat mengakses akun AWS Anda. Tetapi, kecuali ada beberapa prinsip keamanan yang mungkin memiliki akses ke bucket S3 dengan kunci Anda tetapi tidak diizinkan masuk ke mesin, Anda perlu mencari cara lain. Jika Anda menyimpan salinan di S3, setidaknya pastikan itu dienkripsi dengan frasa sandi.