【问题标题】:EC2 instance access and change SSH keypairs replacementEC2 实例访问和更改 SSH 密钥对替换
【发布时间】:2013-11-19 18:01:44
【问题描述】:
是否有一些快速、自动(即通过某些脚本)和安全的方法来更改 AWS 中的 EC2 密钥对(除了在每个实例中输入并手动更改授权密钥)?
就 EC2 实例访问而言,避免在员工每次离职时更改所有密钥对的最佳实践是什么?每个 IAM 用户是否应该创建自己的密钥对来访问实例(并且当他离开时只是禁用用户)?我应该在他需要访问的每个实例上创建一个用户(而不是使用 ec2-user 默认用户)+一个密钥对吗?
【问题讨论】:
标签:
amazon-web-services
ssh
amazon-ec2
【解决方案1】:
好问题,我相信分配给每个员工自己的 ssh 密钥对是个好主意。密钥对管理怎么样,您可以上传自己的 ssh 密钥或在 ec2 实例上创建个人用户,但是 aws 没有提供发件箱解决方案。这就是为什么您必须为此创建自己的解决方案,例如在厨师的帮助下管理个人用户和密钥对。
【解决方案2】:
您可以为每个员工生成单独的 ssh 密钥并相应地命名。
id_rsa_eployee_name 之类的东西。
因此,当员工离开时,从授权部分删除密钥将起作用。当您在 aws 中启动实例并选择 EC2 密钥对时,一旦实例开始运行,您就无法更改它。对该实例的所有 ssh、scp 或其他操作都应使用该密钥进行身份验证。