在我们的组织中,我们管理着相当数量的 EC2 实例。过去,我们一直将 SSH 密钥分发给用户以进行登录访问,但如果密钥遭到泄露,这种方法会带来安全风险。
我正在探索替代解决方案来安全地管理用户访问。我最初的想法是利用 IAM 基于每个 EC2 限制用户访问,并通过删除角色来撤销访问。但是,如果 IAM 不适合此目的,我也在考虑利用 Amazon 的托管 AWS Directory Service。
有人可以建议如何使用 IAM 或 AWS Directory Service 实施用户访问控制吗?此外,我愿意接受有关提供精细访问控制的其他服务的建议,包括撤销访问策略和限制每个 EC2 级别登录的能力。
要通过 IAM 控制访问,请使用 AWS Systems Manager 会话管理器 或 EC2 Instance Connect。会话管理器在跟踪访问方面做得更好。如果配置正确,两者都允许连接到私有子网中的实例。
要通过 Active Directory 控制访问,您可以 将 Amazon EC2 实例加入您的 AWS Managed Microsoft AD Active Directory - AWS Directory Service,这涉及在 Secrets Manager 中存储域密钥。
如果您选择继续使用 SSH 密钥,则:
ec2-user