管理滚动团队对多个AWS实例的SSH访问

Question

我们有一个由20+实习生组成的团队，他们每隔3-6个月加入并离开我们。它们在10-15个共享AWS实例上都有单独的SSH登录设置，其中一些已经运行多年，另一些运行了几天或几周。每次，我们都需要管理员来创建实例，授权用户和他们的密钥，以及设置他们的角色。当用户离开时，管理员手动删除所有用户，或者在某些情况下只阻塞授权的密钥以防止SSH。

对于运行实例，能够自动化此用户和SSH管理的最佳实践是什么？我们如何审计我们的实例以确保用户不绕过我们的SSH限制？

Answer 1

如果总是有人离开和加入，并且关心一些安全性，那么您可能需要考虑与传送口一起进行多因素身份验证。

Teleport中的“集群”概念应该允许用户在没有任何干预的情况下自动登录到集群中的新主机。您还可以指定SSH键的持续时间，并轻松地跨集群创建/删除用户。

设置Teleport可能与使用Puppet/Chef一样复杂，因此在实现之前，您可能需要准备并优先列出您的需求和特性。

LDAP/AD支持是Teleport的一个付费功能。

Answer 2

FreeIPA很可能就是你想要的。http://freeipa.org/page/Main_页面

它允许管理主机和用户，设置过期日期等，所有这些都来自一个web界面。