我想知道一种方法。
假设有一个组织。有许多团队使用EC2资源,所有用户都有EC2所需的密钥,现在员工离开了公司。但是他仍然使用他可以访问的访问密钥。
是否有最佳处理方法。AWS帐户许可,以便当员工离开公司时,拒绝对AWS帐户的访问。
您的问题有点不清楚,因此我将从澄清几个任期开始。
an AWS访问密钥(看起来AKIAIOSFODNN7EXAMPLE(与 iam用户关联。在拨打API时将其视为用户名。它伴随着一个像密码一样起作用的秘密键。
在对AWS进行API调用时,使用访问密钥和秘密键,例如请求创建Amazon EC2实例或将消息发送到Amazon SQS队列。
另一方面, a 键盘> 连接到 linux 计算机(甚至在AWS之外(时使用。使用ssh这样的命令时,用户可以通过提供键盘的私人半验证。然后,接收计算机将其与存储在用户.ssh/authorized_keys文件中的密钥对的公共一半进行比较。如果匹配,则允许用户登录。
启动新的Amazon EC2实例时,您可以指定按键。Amazon Linux AMIS上的软件将将此键盘复制到/users/ec2-user/.ssh/authorized_keys,以便您可以登录到实例。这样做后,建议您将实例连接到标准公司安全系统,例如Active Directory或LDAP。继续使用按键而不是广告/LDAP可能很难持续管理。
所以,要回答您的问题...
如果您指的是访问密钥,则简单地删除IAM用户,并且无法再使用其访问密钥。
如果您指的是 Keypair ,则在最佳情况下,使用Active Directory或LDAP来管理访问。如果是这样,您可以在目录中禁用用户。
另一方面,如果您使用最初在实例上设置的按键来管理访问,则您需要转到具有该键盘的每个实例,并将其从适当的authorized_keys文件中删除。请注意,键盘存储在用户目录中,其中可能有多个用户,其中包含键盘副本。如果这听起来像是很多工作,那么您现在知道为什么许多组织都喜欢使用用户的中央目录来管理安全性。
我看到的方式,只有您的root用户应具有EC2中的根本权限,并且必须使用密钥对登录,对于任何其他员工最适合所有人( -
- 在EC2中为他们创建用户(不要授予他们根许可(
- 为这些用户创建使用密码认证的无钥匙条目。
- 删除用户离开时
这是进行无密钥对登录的一种方法:ssh至aws实例没有密钥对