最近有人离开了我们的组织,他们为我们的生产Amazon ElasticBeanstalk环境提供了SSH密钥。 这种情况通常如何处理? 是否创build了一个新的密钥对,然后分配给其他有权访问的人? 有一个pipe理EB ssh密钥的最佳做法吗?
编辑:
我们最终所使用的技巧是将authorized_keys文件存储在安全的S3存储桶中,并将内容与/home/ec2-user/.ssh/authorized_keys合并在本SO问题提供的答案中。 对于刚刚joinElasticBeanstalk的人来说,一个重要的细节就是它实际上只是对其他AWS服务的抽象,并且还有一些缺陷需要你自己填写。
最好的做法是不要分享私人钥匙(你不分享内衣,不是吗?)。 每个人都应该将其公钥复制到他有权访问的机器上,一旦离开,他的公钥将被删除。 就那么简单。 这应该使用SSO或至less一些自动化,如Ansible集中处理。
如果你分享某人离开公司的钥匙,你应该通过创build一个新的公司来改变它。