Actualmente tengo una configuración de AWS con 3 VPC, una para el bastión, luego una Dev y una VPC Prod, las dos últimas solo son accesibles mediante SSH a través del bastión (diseño de esta gran guía ). Estoy buscando la mejor manera de administrar que entre 3-5 usuarios accedan a los sistemas. A largo plazo espero tener automatización y registro externo en un lugar donde nadie tenga SSH, pero por ahora, es SSH.
Después de leer las ideas de esta pregunta sobre la administración de claves ssh Estoy pensando en configurar mi acceso de AWS de la siguiente manera:
- 2 cuentas en bastion, sudoable @ bastion y no sudoable @ bastion. los administradores de sistemas pasan por uno, los desarrolladores por el otro. (los desarrolladores no tienen ninguna razón para hacer nada más que pasar por el bastión)
- el archivo authorized_keys en cada cuenta de bastión contiene la clave pública de los administradores de sistemas o devs, respectivamente
- Cada una de las instancias de Dev / Prod VPC tiene una sola cuenta sudoable: @ devVPC y @ prodVPC.
- Los desarrolladores obtienen la clave privada para las instancias @ devVPC, los administradores de sistemas obtienen la clave privada para ambas instancias de VPC.
- Si alguien se une / abandona a la empresa, su clave de publicación se agrega / elimina del archivo correcto authorized_keys en el bastión.
- Dado que las instancias de devVPC / prodVPC están detrás del bastión, aunque el trabajador que se fue puede tener la clave privada de esos servidores, no hay forma de acceder a ellos ya que el bastión no les permitirá pasar.
Creo que esto debería evitar que tenga que administrar cuentas de usuario / usuario individuales en cada instancia. Sin entrar en LDAP y las cosas que no querría a largo plazo de todos modos (nuevamente, espero que nadie necesite SSH en los servidores de AWS en el futuro), ¿parece esto una configuración legítima / segura para un equipo pequeño?
No lo he usado, pero también he visto AWS OpsWorks mencionado como un método para controlar SSH ¿llaves? ¿Mi situación suena como un buen caso de uso para ella?