我在一个 8 人的团队中工作。我需要创建一个 EC2 实例。在我创建实例之前,EC2 让我创建一个 key 对,然后下载它。
问题是:这样我需要为所有 8 个团队成员共享相同的私钥。
现在,如果明天其中一名队友离开会怎样?我将需要使用新的 key 对重新创建机器。
我如何正确管理 key ,以便每个团队成员都拥有与他/她的 IAM 用户关联的唯一 key ,因此一旦他/她离开公司,我就可以使他/她的 key 失效?
最佳答案
尽量避免将实例的 PEM 提供给所有人,将这些 PEM 与管理员一起保存在密码库等工具中。
请记住,要轮换这些 PEM,您需要手动替换任何 Linux 实例上的 authorized_keys,对于使用此 PEM 获取 Windows 密码的 Windows 实例,您需要替换并使用新的 PEM 启动。
AWS 有几个解决方案可以帮助更轻松地安全访问您的 Linux 实例:
- 如果您不需要实际通过 SSH 连接到主机,而只需要终端访问,您可以使用 Session Manager .使用此工具,您可以访问 AWS 控制台中的终端或通过 CLI 连接.与终端的交互可以限定为 allow only specific commands具有 auditing 的功能内置。
- 如果你想连接到一个终端,你可以使用EC2 instance connect .使用此选项,您可以生成一个临时 key ,然后提供此 via the CLI允许使用此 PEM 进行临时访问。运行此命令(并成功)后,您将能够使用带有临时 PEM 的 SSH 终端临时连接到实例。
关于amazon-web-services - 如何为多个用户管理 EC2 key 对?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63288952/