Amazon web services 如何在aws中替换.pem文件

情境：所以基本上我有Ec2实例，要登录Ec2实例，首先我要登录到jump server，然后我用私有ip登录到我的实例，我所有的pem文件都存储在jump server和私有实例（Ec2实例）中

我所做的：我用“PasswordAuthentication No并将其更改为PasswordAuthentication Yes”编辑了sshd配置文件，并创建了类似“xyz123”的密码，现在我可以使用

sshubuntu@ipadrrs和psswd:xyz123

但这不是我的未结项目

我在寻找什么：事实上，我曾经将我的.pem文件共享给我的团队成员以访问实例，如果我使用ip启用密码，他们仍然可以使用用户名和密码登录，如果他们离开我的组织，如果他们手边有我的pem文件，他们仍然可以使用pem文件或密码访问我的实例

避免此问题的最佳方法是什么

Active directory会在这里提供帮助还是LDAP会在这里提供帮助？如果是，如何提供帮助

---

请帮我解决问题。

现在最好的解决方案是使用。这不需要pem共享。SSH直接从浏览器访问，我使用这个，我没有发现任何问题。此外，还可以审核整个会话

---

否则，请旋转钥匙对。但我不确定是否有办法做到这一点。另外，请使用最佳做法，使安全组仅对已知IP而不是整个IP开放。

在这里，您可以将跳转服务器转换为SSH Bastion服务器。通过在此服务器上设置iptables规则也可以做到这一点。以下是您可以设置的规则示例：

iptables -t nat -A PREROUTING -d xx.xx.xx.xx -p tcp --dport yyyy -j  DNAT --to zz.zz.zz.zz:22

这里xx.xx.xx.xx是SSH堡垒服务器的私有IP。yyyy是将用于入站访问的端口。zz.zz.zz.zz将是目标服务器的专用IP。此规则只是意味着您使用端口yyyy ssh连接到一台机器，该端口将把流量转发到zz.zz.zz.zz机器上的端口22

在这种情况下，您只需在目标计算机（zz.zz.zz.zz）上配置SSH public，客户端计算机将拥有私钥。从客户端计算机连接的命令将是

ssh-iusername@BastionPublicIP-p yyyy

下面提到的是要在安全组中打开的端口：

Bastion-Inbound-yyyy（来自您的IP）

Bastion-Inbound-22（来自您的IP）

目的地-入境-22（来自堡垒机器）

我建议您将AmazonLinuxAMI用于SSHBastion服务器