¿Cómo gestionar de forma segura las claves privadas para pares de claves gestionadas por EC2?

Para iniciar una instancia EC2, necesita un par de claves. ¿Cómo maneja la situación en la que un ingeniero con acceso a la clave privada para ese par de claves abandona la empresa? ¿Funcionaría agregar acceso ssh individual y desautorizar el par de claves inicial, inmediatamente después del lanzamiento de la instancia?

Cuando un empleado o contratista abandona la empresa, debe deshabilitar cualquier acceso privilegiado que tenga a los recursos de la empresa. Esto incluye (pero no se limita a) sus preocupaciones clave ssh:

1. Elimine la clave ssh pública de todos los archivos autorizado_claves en todas las instancias en ejecución. Reemplácelos con una clave ssh pública recién generada que solo conozcan las personas que deberían tener acceso.

2. Elimine todas las entradas de pares de claves en EC2 que fueron conocidas por los difuntos para que no se puedan iniciar nuevas instancias con esos pares de claves. Reemplácelos con nuevas entradas de pares de claves, tal vez con los mismos nombres si su

El método alternativo que propone también es bueno y es el que uso: deshabilite la clave ssh inicial y agregue claves ssh públicas individuales para cada desarrollador para que puedan iniciar sesión con su clave ssh privada normal. Esto se puede hacer para iniciar sesión en una cuenta compartida o con cada desarrollador obteniendo su propia cuenta de usuario individual (mi preferido).

Después de que un empleado se va, no solo tendrá que limpiar los servidores en ejecución, sino también el proceso que agrega las claves ssh a los nuevos servidores. Y, cuando un empleado se une, deberá hacer lo contrario: agregar claves ssh a los servidores en ejecución y actualizar el nuevo proceso del servidor.

Esto puede ser un poco más de trabajo para mantener muchas claves ssh en muchos servidores, pero ahí es donde entra la automatización.

Nunca debe dar esta clave privada a los usuarios finales. Los usuarios finales deben contar con sus propios medios de inicio de sesión, como la autenticación de clave pública (utilizando su PROPIA clave privada protegida con contraseña), seguida de la autorización LDAP.

La distribución de la clave privada que le dio ec2 hace que sea imposible dar de baja a los usuarios. Esto es exactamente por qué el uso de credenciales compartidas está completamente prohibido por todas las normas de seguridad y cumplimiento.

Cuando permite el uso de credenciales compartidas:

• Es imposible usar registros para saber quién es realmente / quién estaba en un host
• Es imposible eliminar el suministro de un usuario sin eliminar el suministro de todos los usuarios (incluido el acceso de emergencia, que es para lo que realmente sirve esa clave privada EC2)

Consulte la documentación de Amazon sobre la rotación de credenciales de acceso .

Use algo como títere o script ssh sólido para correr y reemplazar todas las instancias de la clave anterior si no desea relanzar todo ... o simplemente relanzar todo.