Como remover o acesso de um par de chaves da AWS?

1

Se alguém com um par de chaves .pem para várias instâncias do EC2 sair da empresa, qual é a melhor prática para remover o acesso a essa chave? Presumivelmente, simplesmente excluir a chave do console da AWS não lhes nega acesso a todas as instâncias. Portanto, há uma maneira inteligente de auditar e remover seu acesso? Se eu não tiver uma cópia do arquivo-chave, como alguém pode ter certeza de que não adicionou a chave pública a outras instâncias?

Assumir instâncias do EC2 do Ubuntu 12.04

    
por codecowboy 09.04.2014 / 13:29

2 respostas

2

Após a instalação, a Amazon não faz mais nada com suas instâncias, portanto, não acredito que elas tenham funcionalidade para fornecer esse cenário. Você pode hackear um script para fazer um loop em todas as instâncias e verificar se a chave dele está lá (não é bonita, mas funciona :)):

for INSTANCE in $(ec2-describe-instances | grep INSTANC | grep running | awk '{print $4;}')
do
  ssh -lec2-user -oStrictHostKeyChecking=no $INSTANCE 'cat ~/.ssh/authorized_keys | grep mtak'
  if [ $? -eq 0 ];
    then
    echo $INSTANCE
  fi
done

Você também pode adicionar um sed on-liner para remover a chave do arquivo authorized_keys.

    
por 09.04.2014 / 15:38
1

Como uma medida de segurança, você também pode limitar o acesso aos seus servidores para o seu intervalo de rede de endereços IP usando as configurações do grupo de segurança. Dessa forma, você pode impedir que as pessoas acessem seu número de instâncias do EC2, embora elas tenham o par de chaves .pem

    
por 21.05.2014 / 01:37