2019年7月29日 星期一

Secure SSH access with AWS EC2 instance connect

要如何安全的存取 EC2 instance 呢?
管理和交換 EC2 ssh key pair 是一件很麻煩的事
除了透過 system manager access instance console 外,
另外一各有趣的方式是透過 IAM send ssh key + instance connect

原理是如果 EC2 instance server 端安裝 instance connect script, 則 sshd 會去 instance metadata 拉 one-time ssh key 來允許 user ssh login.

client 端可以把自己的 ssh key 透過 aws cli push 上去,或者是安裝 pip install ec2instanceconnectcli , 這個 command wrapper 會動態的產生 ssh key 然後再 push 上去 ec2 instance.

因為 key 在 instance metadata 只會存在 60 秒,基本上都是依靠 IAM 來控管權限,唯一的缺點就是,不是所有的 EC2 instance 預設都有安裝好 instance connect. 目前只有 Amazon Liunx 2 和 Ubuntu 16.04 later 預設先安裝好了...



沒有留言:

張貼留言