O AWS CloudFormation fornece chaves SSH de instância do EC2 a outros servidores

Navegue suas respostas
1

Estou criando uma instância do EC2 usando o CloudFormation. A primeira coisa que quero fazer é verificar um repositório git contendo manifestos de marionetes. Para fazer isso eu preciso de uma chave SSH.

Qual é a melhor maneira de colocar a chave no servidor? Isso é o que eu considerei:

  • Usando o KMS, mas isso não parece permitir que você "armazene uma chave para uso posterior"
  • Usando pares de chaves EC2, mas isso também não parece permitir que você obtenha a chave privada mais tarde
  • Escrevendo a chave na propriedade UserData , mas (apesar do nome), isso parece ser o lugar errado para armazenar qualquer tipo de dado, muito menos dados confidenciais
  • Armazenando-o em um bucket do S3, mas não tenho 100% de certeza sobre como definir as permissões no bucket para permitir que a instância do EC2 extraia os dados usando a ferramenta cls aws

Parece que isso é algo comum, mas devo procurar as coisas erradas porque não consigo encontrar uma resposta sensata.

    
por DanielM 15.07.2015 / 18:44

2 respostas

1

Uma maneira direta de lidar com isso é armazenar seus segredos (como a chave SSH) em um bucket S3 dedicado e, em seguida, fornecer às instâncias do EC2 acesso a esse bucket.

Você pode começar criando uma função do IAM: 

"DeploymentRole" : {
  "Type" : "AWS::IAM::Role",
  "Properties" : {
    "Policies" : [{
      "PolicyName" : "SecretsBucketPolicy",
      "PolicyDocument" : {
        "Version" : "2012-10-17",
        "Statement" : [{
          "Resource" : "arn:aws:s3:::wherever-the-secrets-are-stored/*",
          "Action" : ["s3:GetObject"],
          "Effect" : "Allow"
        }]
      }
    }],
    "Path" : "/",
    "AssumeRolePolicyDocument" : {
      "Version" : "2012-10-17",
      "Statement" : [{
        "Action" : ["sts:AssumeRole"],
        "Principal" : {"Service": ["ec2.amazonaws.com"]},
        "Effect" : "Allow"
      }]
    }
  }
}

Essa função define uma política que permite ler o intervalo secreto e permite que o EC2 assuma essa função.

Você cria um perfil de instância para essa função: 

"DeploymentProfile" : {
  "Type" : "AWS::IAM::InstanceProfile",
  "Properties" : {
    "Roles" : [{"Ref" : "DeploymentRole"}],
    "Path" : "/"
  }
}

Para sua instância do EC2 ou configuração de inicialização, agora você pode usar a propriedade IamInstanceProfile para atribuir esse perfil à (s) instância (s).

O intervalo secreto deve ser legível.

    
por 15.07.2015 / 21:18
3

A abordagem de buckets do S3 não funciona se você precisar da chave SSH para o repositório de cookbooks do OpsWorks ou a implantação do aplicativo.

Outra solução é você pode adicionar um parâmetro do tipo CommaDelimitedList para a chave SSH com novas linhas substituídas por vírgulas, então use Fn::Join para colocar as linhas da chave novamente juntas onde você precisar.

Exemplo de modelo do CloudFormation: 

{
  "Parameters": {
    "CookbooksDeployKey": {
      "Type": "CommaDelimitedList",
      "Description": "Enter the deploy key as CSV (replace newlines with commas)",
      "NoEcho": true
    }
  },
  "Resources": {
    "myStack": {
      "Type": "AWS::OpsWorks::Stack",
      "Properties": {
        "CustomCookbooksSource": {
          "Type": "git",
          "Url": "[email protected]:user/repository.git",
          "Revision": "master",
          "SshKey": {"Fn::Join": ["\n", {"Ref": "CookbooksDeployKey"}]}
        }
      }
    }
  }
}

Para gerar a versão formatada "CSV" de linha única de um arquivo de chave privada, o seguinte comando sed pode ser usado (isso simplesmente substitui todas as novas linhas no arquivo por vírgulas e retorna o resultado na stdout): 

sed ':a;N;$!ba;s/\n/,/g' /home/user/.ssh/id_rsa

O resultado parece algo como: 

-----BEGIN RSA PRIVATE KEY-----,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,-----END RSA PRIVATE KEY-----

Você pode colar esse valor no parâmetro ao criar ou atualizar sua pilha no CloudFormation.

    
por 01.09.2015 / 06:31

Tags

Linux: Como encontrar quem emitiu um comando específico enquanto usa a conta root? Copy-item com filtro múltiplo