最近,有人离开了我们的组织,但他拥有我们生产 Amazon ElasticBeanstalk 环境的 SSH 密钥。这种情况通常如何处理?是否创建新的密钥对,然后分发给其他有访问权限的人?是否有管理 EB ssh 密钥的最佳实践?
编辑:
我们最终采用的技巧是将authorized_keys文件存储在安全的 S3 存储桶中,并将内容与/home/ec2-user/.ssh/authorized_keys本文提供的答案合并那么问题来了. 对于刚刚开始了解 ElasticBeanstalk 的人来说,一个重要的细节是,它实际上只是其他 AWS 服务的一个抽象,并且它存在一些需要您自己填补的空白。
答案1
最佳做法是不要共享私钥(你也不会共享内衣,不是吗?)。每个人都应该将其公钥复制到他有权访问的机器上,一旦他离开,他的公钥就会被删除。就这么简单。这应该使用 SSO 或至少一些自动化(如 Ansible)集中处理。
如果您与公司外的某人共享密钥,则您应该通过创建新密钥来更改它。