Если кто-то с парой ключей .pem для нескольких экземпляров EC2 покидает компанию, какова наилучшая практика удаления доступа к этому ключу? Предположительно, простое удаление ключа из консоли AWS не отказывает им в доступе ко всем экземплярам, так есть ли разумный способ провести аудит и удалить их доступ? Если у меня нет копии файла ключей, как можно быть уверенным, что они не добавили открытый ключ к другим экземплярам?
Предположим, что экземпляры Ubuntu 12.04 EC2
решение1
После установки Amazon больше ничего не делает с вашими экземплярами, поэтому я не думаю, что у них есть функционал, который можно было бы предоставить для этого сценария. Вы можете взломать скрипт, чтобы пройтись по всем экземплярам и проверить, есть ли там его ключ (это некрасиво, но сработает :) ):
for INSTANCE in $(ec2-describe-instances | grep INSTANC | grep running | awk '{print $4;}')
do
ssh -lec2-user -oStrictHostKeyChecking=no $INSTANCE 'cat ~/.ssh/authorized_keys | grep mtak'
if [ $? -eq 0 ];
then
echo $INSTANCE
fi
done
Вы также можете добавить sedонлайн-функцию для удаления ключа из файла authorized_keys.
решение2
В качестве меры безопасности вы также можете ограничить доступ к своим серверам для диапазона IP-адресов вашей сети с помощью настроек группы безопасности. Таким образом, вы можете запретить людям получать доступ к вашему количеству экземпляров EC2, даже если у них есть пара ключей .pem