AWS通常使用在创建实例时分配的SSH密钥,以便于通过SSH访问EC2实例。然后,这些密钥通常在管理团队之间共享,以维护实例。为数千个EC2实例管理这些密钥本身就很困难,因为密钥轮换是繁重的,而且对谁可以使用密钥或不使用密钥没有限制。
因此,团队成员之间共享EC2 ssh密钥是否符合HIPAA和/或Sox?
我知道实例连接通过使用IAM在控制ssh访问方面做得更好,但令人惊讶的是,我还没有看到很多公司使用实例连接。即使在需要HIPAA或Sox法规遵从性的公司中,共享ssh密钥似乎也太常见了。
AWS通常使用在创建实例时分配的SSH密钥,以便于通过SSH访问EC2实例。这些密钥通常会在管理团队之间共享。。。
没有。
创建时使用的密钥通常应该在第一次连接后立即替换为您自己新生成的、值得信赖的密钥。它不是共享的。只有角落共享钥匙。多个用户=多个密钥。
访问敏感数据的共享密钥甚至不完全符合GDPR,因此它100%不符合HIPAA。
免责声明:我不是律师。