是否有一些快速,自动(即通过某种脚本)和安全方式来更改AWS中的EC2密钥对(除了输入每个实例并手动更改授权密钥)?
EC2实例访问方面的最佳做法是什么,以避免每次员工离职时都更改所有密钥对?每个IAM用户是否应该创建自己的密钥对来访问实例(当他离开时只是禁用用户)?我应该创建一个用户(而不是使用ec2用户默认用户)+他需要访问的每个实例上的密钥对吗?
答案 0 :(得分:1)
好问题,我认为分配给每个员工自己的ssh密钥对是个好主意。如果密钥对管理你可以上传自己的ssh密钥或在ec2实例上创建个人用户,但是没有aws提供的outbox解决方案。这就是为什么你必须为此创建自己的解决方案,例如在厨师的帮助下管理个人用户和密钥对。
答案 1 :(得分:1)
您可以为每个员工生成单独的ssh密钥并相应地命名。 像id_rsa_eployee_name。
因此,当员工离开时,从授权部分删除密钥将起作用。在aws中启动实例并选择EC2密钥对时,一旦实例开始运行,就无法更改它。应该使用该密钥对该实例的所有ssh,scp或其他操作进行身份验证。