답변:
직원이나 계약자가 회사를 떠날 때는 회사 리소스에 대한 권한있는 액세스 권한을 비활성화해야합니다. 여기에는 ssh 주요 문제가 포함되지만 이에 국한되지 않습니다.
실행중인 모든 인스턴스의 모든 authorized_keys 파일에서 공개 ssh 키를 제거하십시오. 액세스 권한이 있어야하는 사람들에게만 알려진 새로 생성 된 공개 ssh 키로 대체하십시오.
EC2에서 출발 한 것으로 알려진 모든 키 쌍 항목을 제거하여 해당 키 쌍으로 새 인스턴스를 시작할 수 없도록합니다. 새로운 키 쌍 항목으로 바꾸십시오.
제안하는 대체 방법도 좋고 내가 사용하는 방법입니다. 초기 ssh 키를 비활성화하고 각 개발자에 대해 개별 공개 ssh 키를 추가하여 일반 개인 ssh 키로 로그인 할 수 있도록하십시오. 공유 계정에 로그인하거나 각 개발자가 자신의 개별 사용자 계정을 얻도록 할 수 있습니다 (내 선호).
직원이 퇴사 한 후에는 실행중인 서버를 정리할뿐만 아니라 ssh 키를 새 서버에 추가하는 프로세스도 정리해야합니다. 직원이 참여할 때 반대의 작업을 수행해야합니다. 실행중인 서버에 ssh 키를 추가하고 새 서버 프로세스를 업데이트하십시오.
이것은 많은 서버에서 많은 ssh 키를 유지 관리하는 데 약간 더 많은 작업이 될 수 있지만 자동화가 시작되는 곳입니다.
최종 사용자에게이 개인 키를 제공해서는 안됩니다. 최종 사용자는 공개 키 인증 (OWN 암호로 보호 된 개인 키 사용)과 같은 고유 한 로그인 방법을 제공 한 다음 LDAP 권한을 부여 받아야합니다.
ec2에서 제공 한 개인 키를 배포하면 사용자의 프로비저닝을 해제 할 수 없습니다. 이것이 바로 모든 보안 및 규정 준수 규정에 따라 공유 자격 증명 사용이 완전히 금지 된 이유입니다.
공유 자격 증명 사용을 허용하는 경우 :
액세스 자격 증명 교체 에 대한 Amazon 설명서를 참조하십시오 .
꼭두각시 또는 ssh 스크립트 와 같은 것을 사용 하여 모든 것을 다시 시작하거나 모든 것을 다시 시작하지 않으려는 경우 이전 키의 모든 인스턴스를 실행하고 바꾸십시오.