使用IAM管理AWS EC2 SSH访问权限:高效安全的新方案

最新推荐文章于 2024-06-10 10:02:54 发布
最新推荐文章于 2024-06-10 10:02:54 发布
阅读量278 收藏 9
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00007/article/details/138993315
版权

使用IAM管理AWS EC2 SSH访问权限:高效安全的新方案

在这个不再维护的项目中,我们看到了一种创新的方法,它允许您使用IAM用户的公共SSH密钥通过SSH访问运行在特定操作系统上的EC2实例。虽然这个项目已经停止更新,但其背后的思想和实践仍然值得借鉴,并可能启发新的解决方案。

项目简介

aws-ec2-ssh 是一个自动化工具,它能将IAM用户与EC2实例的本地用户关联起来,实现基于IAM策略的安全SSH访问。支持的操作系统包括Amazon Linux 2018.03、Amazon Linux 2、Ubuntu 16.04等主流发行版。它依赖于AWS CLI和Git进行安装和配置。

技术分析

该系统的核心在于,首次启动时,所有IAM用户会被导入并创建对应的本地UNIX用户,此后每10分钟会更新一次。登录时,sshd会利用AuthorizedKeysCommand获取IAM的公钥。一旦删除了IAM中的公钥,相应的SSH登录就会被禁用。下图概述了该系统的架构:

[Architecture](./docs/architecture.png?raw=true "Architecture")

应用场景

这个项目特别适合那些希望集中管理和控制对多台EC2实例SSH访问权限的企业或个人。例如,您可以通过IAM组来控制哪些团队成员可以访问特定的服务器,或者仅允许拥有特定角色的用户具备sudo权限。

项目特点

  1. 自动化用户管理 - 自动同步IAM用户到本地,无需手动创建或删除用户。
  2. 动态密钥管理 - 公钥自动从IAM同步,撤销访问只需删除IAM中的公钥。
  3. 灵活的角色和权限控制 - 可设置特定IAM组的成员才能登录,以及哪个组有sudo权限。
  4. 跨账户支持 - 支持通过AssumeRole功能实现在多个AWS账户之间的身份验证。
  5. 安全性高 - 用户凭据存储在IAM中,而非直接存储在EC2实例上。

尽管aws-ec2-ssh不再维护,但其设计思路对于构建更安全、更高效的AWS云环境仍然有着重要的参考价值。如果您正在寻找这样的解决方案,这个项目提供了一种实用的方法,以适应现代云计算环境下的安全需求。

马冶娆
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
aws ec2 linux 密码,演练:在 EC2 实例上重置密码和 SSH 密钥 - AWS Systems Manager
weixin_42519253的博客
05-04 1019
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门。本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。演练:在 EC2 实例上重置密码和 SSH 密钥您可以使用 AWSSupport-ResetAccess 运行手册自动为 重启用 EC2 实例上的本地管理员密码生成Windows Server,并为 Lin...
aws-ec2-ssh使用IAM管理AWS EC2 SSH访问
02-01
使用IAM管理AWS EC2 SSH访问2019年6月:签出作为该项目的替代品2018年9月:检出以替代该项目使用IAM用户的公共SSH密钥通过SSH访问正在运行的EC2实例亚马逊Linux 2017.09 亚马逊Linux 2 2017.12 Ubuntu 16.04 SUSE ...
AWS创建IAM用户,以及通过IAM用户登录
weighless的博客
03-28 669
更侧重于简化用户跨多个AWS账户和应用程序的访问管理,提供单一登录(SSO)体验,适合需要集中身份管理和简化用户登录过程的组织。IAM则更专注于提供针对单个AWS账户内资源的访问控制,包括用户、角色、权限策略等的管理,适合需要对AWS资源进行精细访问控制的场景。也就是IAM Identity Center是可以通过我自己的账户登录,然后访问主账户的资源,而IAM是主账户给的账户密码登录根据我们的实际情况,选择IAM比较方便。
SSH远程访问AWS EC2
跨学科知识视角展现
06-20 2229
背景知识视频教程 AWS认证的云从业者2020培训训练营 开发人员学习Amazon Web Services(AWS) 步骤1:启动Amazon EC2实例 导航到Amazon EC2并开始启动实例。在本教程中,我将使用Amazon Linux 2 AMI(HVM)操作系统。 创建一个没有规则的安全组(例如MediumSG)并分配给您的EC2实例: 步骤2:创建AWS IAM角色 导航到AWS IAM并创建角色。选择EC2服务,然后单击Next: Permissions: 步骤3:通过SSH连接A
推荐使用AWS EC2 Instance Connect CLI:安全便捷的实例管理工具
gitblog_00092的博客
06-10 351
推荐使用AWS EC2 Instance Connect CLI:安全便捷的实例管理工具 项目地址:https://gitcode.com/aws/aws-ec2-instance-connect-cli 在云计算的世界中,安全高效管理远程服务器是至关重要的。Amazon Web Services(AWS)为此提供了一个强大的解决方案——EC2 Instance Connect CLI,这是一款...
iam-ssh:使用IAM用户通过SSHAWS ec2实例
04-07
使用IAM管理AWS EC2 SSH访问 2019年6月:签出作为该项目的替代品 2018年9月:检出以替代该项目 使用IAM用户的公共SSH密钥通过SSH访问正在运行的EC2实例 亚马逊Linux 2017.09 亚马逊Linux 2 2017.12 Ubuntu 16.04 ...
terraform-aws-ec2-instance:Terraform模块,可在AWS上创建EC2实例
01-30
使用此模块创建EC2实例前,我们需要在Terraform配置文件中设置AWS的访问凭证,包括`access_key`和`secret_key`,或者使用IAM角色。此外,还需要定义AWS区域,例如`region = "us-east-1"`,以确定实例将在哪个地理...
ssh-over-ssm:AWS SSM上的SSH。 没有堡垒或面向公众的实例。 通过IAM进行SSH用户管理。 无需在本地或服务器上存储SSH密钥
02-01
总结起来,ssh-over-ssm是一种安全的远程管理EC2实例的方法,它利用了AWS SSM的远程操作能力,结合IAM的身份验证和授权,以及SSH-tunnel的加密连接,实现无堡垒机环境下的SSH访问。这种方法消除了对本地或服务器上...
nebula:EC2自我管理门户
05-04
在想要让其开发人员和研究人员访问AWS实例的组织中,典型流程包括创建IAM角色,添加IAM用户,然后在AWS控制台上培训这些用户或为他们提供命令行工具。 至少可以说这很麻烦。 Nebula仪表板无需IAM用户即可...
分布式电网动态电压恢复器模拟装置设计与实现.doc
最新发布
07-06
本装置采用DC-AC及AC-DC-AC双重结构,前级采用功率因数校正(PFC)电路完成AC-DC变换,改善输入端电网电能质量。后级采用单相全桥逆变加变压器输出的拓扑结构,输出功率50W。整个系统以TI公司的浮点数字信号控制器TMS320F28335为控制电路核心,采用规则采样法和DSP片内ePWM模块功能实现SPWM波,采用DSP片内12位A/D对各模拟信号进行采集检测,简化了系统设计和成本。本装置具有良好的数字显示功能,采用CPLD自行设计驱动的4.3英寸彩色液晶TFT-LCD非常直观地完成了输出信号波形、频谱特性的在线实时显示,以及输入电压、电流、功率,输出电压、电流、功率,效率,频率,相位差,失真度参数的正确显示。本装置具有开机自检、输入电压欠压及输出过流保护,在过流、欠压故障排除后能自动恢复。
【无人机通信】基于matlab Stackelberg算法无人机边缘计算抗干扰信道分配【含Matlab源码 4957期】.mp4
07-06
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
电网公司数字化转型规划与实践两个文件.pptx
07-05
电网公司数字化转型规划与实践两个文件.pptx
React Native Ruby 前后端分离系统案例介绍文档
07-06
React Native Ruby 前后端分离系统案例介绍文档
http请求方法.docx
07-06
HTTP(Hypertext Transfer Protocol)定义了一些常见的请求方法(也称为动词或谓词),用于指示对服务器执行的操作类型。以下是常见的 HTTP 请求方法: GET:从服务器获取资源。GET 方法的请求参数一般附在 URL 后面,通过问号传参形式传递。 POST:向服务器提交数据,常用于提交表单或上传文件等操作。POST 方法的请求参数一般包含在请求体中。 PUT:向服务器发送数据,用来创建或更资源。通常用于更整个资源,但不限于此。 DELETE:请求服务器删除指定的资源。 HEAD:类似于 GET 方法,但服务器只返回响应头部,不返回实际内容。主要用于获取资源的元信息。 PATCH:部分更资源,用来对资源进行局部修改。 OPTIONS:获取目标资源所支持的通信选项,常用于跨域请求的预检。 TRACE:回显服务器收到的请求,主要用于测试或诊断。 CONNECT:HTTP/1.1 协议中预留给能够将连接改为管道方式的代理服务器。 这些方法定义了客户端与服务器之间的交互方式,每种方法都有特定的语义和使用场景。在实际开发中,选择合适的方法非常重
ROS的一些基本概念和语法介绍 ROS提供了丰富的工具和库,用于构建复杂的机器人应用.docx
07-06
ROS的一些基本概念和语法介绍。ROS提供了丰富的工具和库,用于构建复杂的机器人应用.docx
利达余压调试软件说明书
07-05
利达余压调试软件说明书,介绍利达旗下品牌的余压系统调试软件的使用方法
基于Vue的一个前后端分离系统的介绍及代码示例的介绍.docx
07-06
基于Vue的一个前后端分离系统的介绍及代码示例的介绍.docx
AWS课堂笔记,重点知识点
08-31
2. **IAM(Identity and Access Management)**:IAMAWS的一项核心服务,用于管理和控制用户AWS资源的访问权限。它区分了不同类型的委托人,如IAM用户IAM角色,其中用户初始权限很低,需要通过策略赋予特定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

马冶娆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值