EC2临时密钥对

Question

我有一台EC2生产服务器正在运行，我有一把钥匙。

现在我们有一些开发者需要对服务器的访问，但出于安全原因，我不想分享我们的专用密钥服务器，因为我们将失去跟踪的谁有权访问该服务器。

...我已经寻找答案，这样亚马逊文档中，但我无法找到任何解决方案，我有还搜查了堆栈溢出，但无法找到比谁失去了存在的密钥对的人多等。

有没有什么办法，以便为EC2实例是临时密钥？或者我可以授予他们临时访问服务器的任何其他方式？

Answer 1

使用不同的密钥无法共享相同的帐户。授予访问权限的唯一方法是创建一个新用户和一个新的密钥对。一旦你决定访问必须被撤销，你必须删除该用户。添加和删​​除用户的步骤如下：Managing User Accounts on Your Linux Instance

Answer 2

Keypairs用于授予对Amazon EC2实例的访问权限。它们是公共/私人密钥对，通常由EC2随机生成，但现有密钥对（或更具体而言，密钥对的公共一半）可以导入到EC2中。

它们被用作如下：

• 的Windows：当进行加密使用的密钥对的公共部分从一个标准的Windows AMI，一个名为Ec2Config实用随机生成的管理员密码，启动Windows ，并通过系统日志将其传回。用户必须使用他们的私钥解密。然后他们可以登录到Windows。
• Linux：从标准Linux AMI启动Linux时，密钥对的公共一半被复制到.ssh/authorized_keys。用户可以通过提供他们的私钥通过ssh登录。

（以“标准”的AMI的参考是故意的 - 其他人创建的AMI不一定有这些工具安装）

在这两种情况下，建议用户再修改它们的实例到使用他们正常的安全标准。例如，Windows用户应该更改管理员密码，创建其他用户，或者最好将实例附加到Active Directory域。 Linux用户应该创建额外的用户并在authorized_keys文件中安装他们的标准密钥对。

不应该有持续的需求最初推出的EC2实例后使用密钥对。用户应该使用他们自己的用户名和密码/密钥对。继续使用与实例启动时最初创建的相同的密码/密钥对是不好的做法。

试想亚马逊EC2服务器作为一个“正常”的服务器。您通常会在服务器上安装哪些安全设备以确保授权用户可以登录，但未经授权的用户无法登录？继续吧，用EC2做同样的事情。