я вижу Вот и Вот (под Подключение к вашему экземпляру Linux, если вы потеряете свой закрытый ключ) способы доступа к экземпляру EC2 без файла .pem, который был создан при создании экземпляра.
Я хочу обезопасить свой EC2, чтобы NO-ONE без файла .pem (который у меня есть локально на моей машине) не сможет получить к нему доступ.
Кстати, у меня все еще в ec2 есть пары экземпляров (общедоступные, отпечатки пальцев)
Как мне это сделать?
Вы не сразу сказали это, но предоставили доступ к консоли AWS тому, кому вы не доверяете. Это проблема, которую вам нужно решить. То, что вы сделали, эквивалентно предоставлению кому-то физического доступа к вашему серверу. Как только вы это сделаете, все ставки сняты. Игра закончена.
Итак, первое, что вам нужно сделать, это отозвать доступ этого человека к вашей учетной записи AWS. После того, как вы это сделаете, все, что вам нужно сделать, это защитить свой закрытый ключ (что уже звучит так, как будто вы это делаете), и шансы на то, что ваши серверы будут скомпрометированы через SSH, практически равны нулю.
У вас есть несколько вариантов управления доступом. Используйте как можно больше из этих подходов.
Если вы выполните все вышеперечисленные шаги, вы предотвратили обходной путь, описанный выше в своем вопросе. Подход, изложенный в моем ответе, можно назвать «глубокой защитой», что означает необходимость решать проблему на нескольких уровнях. Таким образом, даже если есть компромисс или ошибка на одном уровне, другие будут препятствовать доступу.