【问题标题】:EC2 temporary Key pairEC2 临时密钥对
【发布时间】:2014-12-05 11:08:24
【问题描述】:

我有一个 EC2 生产服务器正在运行并且我有一个密钥。

现在我们有一些开发人员需要访问服务器,但出于安全原因,我不想将我们的私钥分享给服务器,因为我们将无法追踪谁可以访问服务器。

我已经在亚马逊的文档中搜索了这个问题的答案,但我在那里找不到任何解决方案,我也搜索了堆栈溢出,但除了丢失密钥对的人之外找不到太多。

有没有办法为 EC2 实例创建一个临时密钥?还是我可以授予他们临时访问服务器的任何其他方式?

【问题讨论】:

    标签: amazon-web-services amazon-ec2


    【解决方案1】:

    不能使用不同的密钥共享同一个帐户。授予访问权限的唯一方法是创建一个新用户和一个新密钥对。一旦您决定必须撤销访问权限,您就必须删除该用户。添加和删​​除用户在这里解释:Managing User Accounts on Your Linux Instance

    【讨论】:

      【解决方案2】:

      密钥对用于授予对 Amazon EC2 实例的访问权限。它们是公钥/私钥对,通常由 EC2 随机生成,但现有的密钥对(或者更具体地说,密钥对的公共部分)可以导入 EC2。

      它们的用法如下:

      • Windows: 从标准 Windows AMI 启动 Windows 时,名为 Ec2Config 的实用程序会随机生成管理员密码,使用密钥对的公共部分对其进行加密,然后通过系统日志。用户必须使用他们的私钥对其进行解密。然后他们可以登录到 Windows。
      • Linux:从标准 Linux AMI 启动 Linux 时,密钥对的公共部分会复制到 .ssh/authorized_keys。用户可以通过ssh提供他们的私钥登录。

      (对“标准”AMI 的引用是有意的——其他人创建的 AMI 不一定会安装这些实用程序。)

      在这两种情况下,建议用户修改他们的实例以使用他们的正常安全标准。例如,Windows 用户应更改管理员密码、创建其他用户,或者最好将实例附加到 Active Directory 域。 Linux 用户应创建其他用户并将其标准密钥对安装在 authorized_keys 文件中。

      在 EC2 实例初始启动后,应该不再需要继续使用密钥对。用户应该使用他们自己的用户名和密码/密钥对。继续使用与启动实例时最初创建的相同的密码/密钥对是不好的做法。

      只需将 Amazon EC2 服务器视为“普通”服务器。您通常会在服务器上设置什么安全措施来确保授权用户可以登录但未授权用户不能登录?继续用 EC2 做同样的事情。

      【讨论】:

        猜你喜欢
        • 2013-05-29
        • 1970-01-01
        • 2023-03-28
        • 2011-04-21
        • 2023-03-26
        • 1970-01-01
        • 2020-10-08
        • 2021-03-09
        • 2011-12-14
        相关资源
        最近更新 更多