여러 EC2 인스턴스에 대한 .pem 키 쌍을 가진 사람이 회사를 떠나는 경우 해당 키에 대한 액세스를 제거하는 모범 사례는 무엇입니까? 아마도 AWS 콘솔에서 키를 삭제한다고 해서 모든 인스턴스에 대한 액세스가 거부되는 것은 아니므로 액세스를 감사하고 제거하는 현명한 방법이 있습니까? 키 파일의 복사본이 없으면 다른 인스턴스에 공개 키를 추가하지 않았는지 어떻게 확인할 수 있습니까?
Ubuntu 12.04 EC2 인스턴스를 가정합니다.
답변1
설치 후 Amazon은 더 이상 인스턴스에 아무 작업도 수행하지 않으므로 이 시나리오에 제공할 기능이 없다고 생각합니다. 모든 인스턴스를 반복하고 해당 키가 있는지 확인하기 위해 스크립트를 해킹할 수 있습니다(보기에 좋지는 않지만 작동합니다 :)).
for INSTANCE in $(ec2-describe-instances | grep INSTANC | grep running | awk '{print $4;}')
do
ssh -lec2-user -oStrictHostKeyChecking=no $INSTANCE 'cat ~/.ssh/authorized_keys | grep mtak'
if [ $? -eq 0 ];
then
echo $INSTANCE
fi
done
sedAuthorized_keys 파일에서 키를 제거하기 위해 온라인 라이너를 추가할 수도 있습니다 .
답변2
보안 조치로 보안 그룹 설정을 사용하여 IP 주소의 네트워크 범위에 대해 서버에 대한 액세스를 제한할 수도 있습니다. 이런 방식으로 사람들이 .pem 키 쌍을 가지고 있음에도 불구하고 많은 EC2 인스턴스에 액세스하는 것을 방지할 수 있습니다.