管理滾動團隊對許多 AWS 實例的 SSH 訪問

我們有一個由 20 多名實習生組成的團隊，他們每 3-6 個月加入和離開我們。他們每個人都在 10 到 15 個共享 AWS 實例上設置了單獨的 SSH 登錄，其中一些已經執行了多年，另一些則執行了幾天或幾週。每次，我們都需要管理員創建實例並授權使用者和他們的密鑰，以及設置他們的角色。當他們離開時，管理員手動刪除所有使用者，或者在某些情況下只阻止授權密鑰以阻止 SSH。

能夠自動化此使用者和執行實例的 SSH 管理的最佳實踐是什麼？我們如何審核我們的實例以確保使用者不會繞過我們的 SSH 限制？

如果您總是有人離開和加入，並且您有點關心安全性，您可能需要考慮與Teleport一起使用多因素身份驗證。

Teleport 中的“集群”概念應該讓使用者在無需干預的情況下自動登錄到集群中的新主機。您還可以指定 SSH 密鑰的持續時間並輕鬆跨集群創建/刪除使用者。

設置 Teleport 可能與使用 Puppet/Chef 一樣複雜，因此您可能需要在實施之前準備並優先考慮您的需求和功能列表。

LDAP/AD 支持是 Teleport 的付費功能。

引用自：https://serverfault.com/questions/787495