여러 관리자가 Ansible을 사용하는 모범 사례가 무엇인지 찾지 못했습니다. 제어 시스템과 리모컨 모두에 SSH 키를 사용하여 로그인하고 싶습니다.
이를 수행하는 가장 좋은 방법은 다음과 같습니다.
제어 시스템에서 모든 관리자에게 자신의 계정을 생성한 다음 BECOME을 사용하여 원격에 대한 sudo 권한이 있는 하나의 일반 계정으로 원격 호스트에 SSH를 수행하시겠습니까? 이 솔루션을 사용하면 제어 시스템에 저장된 개인 키만 일반 사용자용입니다.
제어 및 원격 컴퓨터의 모든 관리자에 대해 자신의 계정을 만들고 자신의 계정으로 원격에 SSH를 허용하시겠습니까? 이 솔루션은 기본적으로 제어 시스템에 각 관리자의 개인 키를 저장해야 함을 의미합니다.
도움을 주셔서 감사합니다.
답변1
내가 말하다옵션 1. 감사를 위해 다음을 목표로 삼을 수 있습니다.탑어떤 작업이 실행되었는지, 무엇을 했는지, 누가 트리거했는지 확인하기 위해 서버를 제어합니다.
옵션 2냄새가 나는 이유는 다음과 같습니다.
- 확장이 잘 되지 않습니다. Ansible 관리 팀에서 관리자를 추가 및 제거하려면 모든 노드를 다시 업데이트해야 합니다.
- 제어 서버에서 누가 무엇을 실행했는지 이미 알고 있으므로 가시성이 향상되지 않습니다.
- 모든 사용자가 조치를 취하기 전에 모듈을 통과하므로 보안이 강화되지 않습니다
become.