我的公司打算聘用一个外部承包商,为我们的EC2服务器上的一些开发工作。 我们使用使用.pem证书文件访问的Ubuntu。
出于显而易见的原因,我不想与外人分享我的.pem密钥 – 如果密钥丢失,互联网上的任何人都可以访问我的机器。
我可以将承包商的ssh密钥添加到所有服务器上的.ssh/authorized_keys ,但是这将是单调乏味的,除非我更改模板服务器映像,否则新服务器将无法访问。
有没有更简单的方法来授予对EC2机器的临时可撤销访问?
是的,这可以很容易地完成,原因很明显。 只需在集中authentication系统(LDAP,Kerberos,AD,…)中启用/禁用承包商帐户即可。 您可以为此特定承包商设立个人帐户,或决定使用通用的第三方人员帐户。 前者可以保持审计能力,如果这件事情。
为承包商创build一个密钥对,并使用您select的configurationpipe理将其置于您的机器中。 如果你没有一个,你可以使用安全的shell模块,在客户端不需要任何东西,或者作为最后的手段,你仍然可以使用mussh ssh-copy-id(1) 。 一旦完成她/他的工作,删除密钥,撤销sshd_config访问,或两者。