複数の EC2 インスタンスの .pem キーペアを持つユーザーが退職した場合、そのキーへのアクセスを削除するためのベストプラクティスは何ですか? おそらく、AWS コンソールからキーを削除するだけでは、すべてのインスタンスへのアクセスが拒否されるわけではないので、アクセスを監査して削除するスマートな方法はありますか? キーファイルのコピーがない場合、他のインスタンスに公開キーが追加されていないことをどのように確認できますか?
Ubuntu 12.04 EC2インスタンスを想定
答え1
インストール後、Amazon はインスタンスに対して何もしなくなるため、このシナリオに対応する機能は提供されていないと思います。すべてのインスタンスをループしてキーが存在するかどうかを確認するスクリプトを作成することができます (見栄えは良くありませんが、機能します :) ):
for INSTANCE in $(ec2-describe-instances | grep INSTANC | grep running | awk '{print $4;}')
do
ssh -lec2-user -oStrictHostKeyChecking=no $INSTANCE 'cat ~/.ssh/authorized_keys | grep mtak'
if [ $? -eq 0 ];
then
echo $INSTANCE
fi
done
sedまた、authorized_keys ファイルからキーを削除するオンラインを追加することもできます。
答え2
セキュリティ対策として、セキュリティグループ設定を使用して、ネットワーク範囲のIPアドレスのサーバーへのアクセスを制限することもできます。この方法では、.pemキーペアを持っているにもかかわらず、EC2インスタンスにアクセスできないようにすることができます。