要如何安全的存取 EC2 instance 呢?
管理和交換 EC2 ssh key pair 是一件很麻煩的事
除了透過 system manager access instance console 外,
另外一各有趣的方式是透過 IAM send ssh key + instance connect
原理是如果 EC2 instance server 端安裝 instance connect script, 則 sshd 會去 instance metadata 拉 one-time ssh key 來允許 user ssh login.
client 端可以把自己的 ssh key 透過 aws cli push 上去,或者是安裝 pip install ec2instanceconnectcli , 這個 command wrapper 會動態的產生 ssh key 然後再 push 上去 ec2 instance.
因為 key 在 instance metadata 只會存在 60 秒,基本上都是依靠 IAM 來控管權限,唯一的缺點就是,不是所有的 EC2 instance 預設都有安裝好 instance connect. 目前只有 Amazon Liunx 2 和 Ubuntu 16.04 later 預設先安裝好了...
管理和交換 EC2 ssh key pair 是一件很麻煩的事
除了透過 system manager access instance console 外,
另外一各有趣的方式是透過 IAM send ssh key + instance connect
原理是如果 EC2 instance server 端安裝 instance connect script, 則 sshd 會去 instance metadata 拉 one-time ssh key 來允許 user ssh login.
client 端可以把自己的 ssh key 透過 aws cli push 上去,或者是安裝 pip install ec2instanceconnectcli , 這個 command wrapper 會動態的產生 ssh key 然後再 push 上去 ec2 instance.
因為 key 在 instance metadata 只會存在 60 秒,基本上都是依靠 IAM 來控管權限,唯一的缺點就是,不是所有的 EC2 instance 預設都有安裝好 instance connect. 目前只有 Amazon Liunx 2 和 Ubuntu 16.04 later 預設先安裝好了...
留言
張貼留言