Isso parece um possível caso de uso para o Cofre da Hashicorp.
O backend do SSH permite dois modos de operação:
-
senhas de uma só vez, que exigem a instalação de um componente auxiliar em cada servidor que verifica usuários com o Vault - clientes anteriores consultam o Vault por meio de uma API e, para cada acesso, uma nova senha é emitida
-
chave dinâmica - basicamente um servidor proxy (no sentido de fazer o trabalho para você) gerando pares de chaves, emitindo chave privada para clientes e instalando chaves públicas em servidores - com esse método você precisa distribuir " "chave SSH permanente para servidores, mas pode definir a expiração de chaves emitidas para clientes - quando um par de chaves expira, o Vault remove a chave pública correspondente dos servidores
Qualquer método pode ser automatizado para scripts. Eles ainda precisam ser autenticados com o Vault, mas você tem um único ponto de controle.