EC2セキュリティを強化したいと思います。だから私は多くのEC2インスタンスと、これらのEC2インスタンスへのアクセスが必要な多くの開発者を抱えています。 各開発者は、独自のキーペア(公開/非公開)を持ち、各EC2インスタンスに公開キーを追加します。複数のキーペアとBastionホストの管理
私は砦のホストも作成します。砦の宿主にとって、最良のアプローチは何ですか?開発者のすべてのパブキーを追加しますか?または、キーペアだけで作成し、開発者向けに配布しますか?
それぞれの開発者から別々のキーを持つ方が、単一のキーを取り消すことができ、他の開発者はアクセスを保持できることは間違いありません。
開発者の公開鍵でGitリポジトリを持つこともできますし、構成管理を使ってcreoを取得したい場合は、.authorized_keysファイルと同期させることもできます。
砦のホスト自体では、内部ホストへのアクセスを制御するために使用する単一の鍵ペアを生成することができます。これを配布する必要はないので、このキーをかなりまっすぐ進むプロセスで定期的に回転させることができます。
開発者が離れる場合は、.authorized_keyファイルからpubkeyを削除し、該当する場合はセキュリティグループからIPを削除して、マシンへのアクセスを取り消すことができます。その時点で内部キーペアを回転させることもできますが、内部インスタンスが城砦ホストを介してのみsshアクセスを許可する場合には、アクセスが十分にカットオフされる必要があるため、本質的には必要ありません。 (セキュリティグループに設定されています)
質問は、砦のホストについてもです。 –
VPC内のインスタンスに接続できるように、要塞ホストの各ユーザのプライベート/パブキーを維持する場合と同様に、私はそれをしない、私はユーザーが要塞のホストにログインすることを許可し、そこから、彼らがファイアウォールで保護されたマシンにsshするとき、それは要塞のホストの共通のキーペアから引っ張る。開発者が離脱した場合のセキュリティが心配な場合は、キーペアにアクセスすることで、要塞ホストを経由して接続できない場合、ファイアウォールされたインスタンスにアクセスすることはできません。これはすぐに取り消され、必要に応じてファイアウォールで保護されたインスタンス上で鍵を回転させることができます。 –
質問は次のとおりです。開発者はどのようにバスティオンサーバーに接続しますか?彼らが使用するキー/ペアはどれですか?開発者のパブキーを要塞に追加しましたか? EC2のインスタンスでは?彼らはすべての開発者のパブキーを持っていますか? 私は、すべてのdeveloprs pubキーを要塞ホストに追加し、各ec2インスタンスに対して単一のキーペアを使用する方が簡単だと思います。あなたはどう思いますか?申し訳ありませんが私はあなたの答えを読んで、その明確な知っている! –