Remoção de alguém com acesso ao EB ssh

2

Recentemente alguém saiu da nossa organização e tinha uma chave SSH para o ambiente de produção Amazon ElasticBeanstalk. Como este cenário é tipicamente tratado? Um novo par de chaves é criado e distribuído entre as outras pessoas que têm acesso? Existe uma prática recomendada para gerenciar as chaves ssh do EB?

EDITAR:

O truque com o qual eventualmente fomos foi armazenar um arquivo authorized_keys em um bucket seguro do S3 e mesclar o conteúdo com /home/ec2-user/.ssh/authorized_keys ao longo das linhas das respostas fornecidas neste SO pergunta . Um detalhe importante para as pessoas que estão chegando no ElasticBeanstalk é que é apenas uma abstração sobre outros serviços da AWS, e há algumas lacunas que você precisa preencher.

    
por Eric W. 19.06.2017 / 19:13

1 resposta

4

A melhor prática é não compartilhar chaves privadas (você também não compartilha roupas íntimas, não é?). Todos devem ter sua chave pública copiada para as máquinas onde ele tem acesso e, uma vez que ele sai, suas chaves públicas são removidas. Simples assim. Isso deve ser tratado centralmente usando SSO ou pelo menos alguma automação, como Ansible.

Se você compartilhar a chave que alguém fora da empresa possui, você deve realmente alterá-la criando uma nova (s).

    
por 19.06.2017 / 22:19