如何为多个用户管理EC2密钥对？

Question

我在一个有8个人的团队里工作。我需要创建一个EC2意图。在创建实例之前，EC2允许我创建一个密钥对，然后下载它。

问题是:通过这种方式，我需要为所有8名团队成员共享相同的私钥。

如果明天有个队友离开会怎么样？我需要用一个新的密钥对重新创建机器。

如何正确地管理密钥，使每个团队成员都拥有与他/她的IAM用户相关联的唯一密钥，所以一旦他/她离开公司，我就可以使他/她的密钥无效？

Answer 1

尽量避免将实例的PEM提供给每个人，将这些实例与管理员一起保存在诸如密码库之类的工具中。

请记住，要旋转这些PEM，需要手动替换任何Linux实例上的authorized_keys，对于使用此PEM获取Windows密码的Windows实例，则需要用新的PEM替换和启动。

AWS有几种解决方案可以帮助您更容易地安全访问Linux实例：

• 如果您不需要实际的SSH到主机，而只是需要终端访问，您可以使用会话管理器。使用此工具，您可以访问AWS控制台内的终端或通过CLI进行连接。可以将与终端的交互范围限定为只允许特定的命令，并为审计内置功能。
• 如果您想连接到终端，可以使用EC2实例连接。使用此选项，您可以生成一个临时密钥，然后提供此通过CLI以允许使用此PEM进行临时访问。一旦该命令运行(并且成功)，您将能够使用临时PEM临时使用SSH终端连接到实例。

Answer 2

我建议您考虑使用EC2实例连接，它使用临时SSH密钥，允许您使用IAM策略授予访问权限。

否则，我建议使用像Ansible这样的工具来管理实例群中的SSH密钥，这样您就可以轻松地添加或删除密钥。

Answer 3

您的问题不是关于Ec2本身，而是关于您想要实现的访问控制模型。

如果这8个人都需要识别和单独访问实例，最简单的方法就是在实例中创建8个不同的用户。每个人都有不同的ssh键。

可以使用为ec2-user或ubuntu用户创建的键登录实例，然后创建每个用户并分发。

如果您只需要为每个人登录同一个用户提供一个不同的密钥，只需让人们创建ssh密钥并与您共享公钥即可。然后将它们全部放入默认的用户.ssh文件夹中。

当有人外出时，只需删除ssh键即可。由于历史原因，您甚至可以保留他们的用户。

如果实例数量增加，您应该投资于像LDAP这样的集中式登录管理工具。