Недавно из нашей организации ушел кто-то, у кого был ключ SSH для нашей производственной среды Amazon ElasticBeanstalk. Как обычно реализуется этот сценарий? Создается ли новая пара ключей, а затем распространяется ли она среди других людей, у которых есть доступ? Есть ли лучший способ управления ключами EB ssh?
РЕДАКТИРОВАТЬ:
В конечном итоге мы пошли на хитрость: authorized_keys
файл в безопасном ведре S3 и объединить его содержимое с /home/ec2-user/.ssh/authorized_keys
в соответствии с ответами, приведенными в этом ТАК вопрос. Важная деталь для людей, которые только начинают знакомиться с ElasticBeanstalk, заключается в том, что на самом деле это просто абстракция по сравнению с другими сервисами AWS, и в ней есть некоторые пробелы, которые вы должны заполнить самостоятельно.
Лучшая практика - не делиться закрытыми ключами (вы ведь тоже не разделяете белье, не так ли?). Каждый должен скопировать свой открытый ключ на машины, к которым у него есть доступ, и как только он уйдет, его открытые ключи будут удалены. Просто как тот. Это следует обрабатывать централизованно с помощью SSO или, по крайней мере, некоторой автоматизации, такой как Ansible.
Если вы делитесь ключом, который есть у кого-то вне компании, вам действительно следует изменить его, создав новый (-ые).