Amazon web services 如何在aws中替换.pem文件
情境:所以基本上我有Ec2实例,要登录Ec2实例,首先我要登录到jump server,然后我用私有ip登录到我的实例,我所有的pem文件都存储在jump server和私有实例(Ec2实例)中 我所做的:我用“PasswordAuthentication No并将其更改为PasswordAuthentication Yes”编辑了sshd配置文件,并创建了类似“xyz123”的密码,现在我可以使用 sshubuntu@ipadrrs和psswd:xyz123 但这不是我的未结项目 我在寻找什么:事实上,我曾经将我的.pem文件共享给我的团队成员以访问实例,如果我使用ip启用密码,他们仍然可以使用用户名和密码登录,如果他们离开我的组织,如果他们手边有我的pem文件,他们仍然可以使用pem文件或密码访问我的实例 避免此问题的最佳方法是什么 Active directory会在这里提供帮助还是LDAP会在这里提供帮助?如果是,如何提供帮助Amazon web services 如何在aws中替换.pem文件,amazon-web-services,amazon-ec2,ssh,active-directory,ldap,Amazon Web Services,Amazon Ec2,Ssh,Active Directory,Ldap,情境:所以基本上我有Ec2实例,要登录Ec2实例,首先我要登录到jump server,然后我用私有ip登录到我的实例,我所有的pem文件都存储在jump server和私有实例(Ec2实例)中 我所做的:我用“PasswordAuthentication No并将其更改为PasswordAuthentication Yes”编辑了sshd配置文件,并创建了类似“xyz123”的密码,现在我可以使用 sshubuntu@ipadrrs和psswd:xyz123 但这不是我的未结项目 我在寻找什么
请帮我解决问题。现在最好的解决方案是使用。这不需要pem共享。SSH直接从浏览器访问,我使用这个,我没有发现任何问题。此外,还可以审核整个会话
否则,请旋转钥匙对。但我不确定是否有办法做到这一点。另外,请使用最佳做法,使安全组仅对已知IP而不是整个IP开放。在这里,您可以将跳转服务器转换为SSH Bastion服务器。通过在此服务器上设置iptables规则也可以做到这一点。以下是您可以设置的规则示例:
iptables -t nat -A PREROUTING -d xx.xx.xx.xx -p tcp --dport yyyy -j DNAT --to zz.zz.zz.zz:22
这里xx.xx.xx.xx是SSH堡垒服务器的私有IP。yyyy是将用于入站访问的端口。zz.zz.zz.zz将是目标服务器的专用IP。此规则只是意味着您使用端口yyyy ssh连接到一台机器,该端口将把流量转发到zz.zz.zz.zz机器上的端口22
在这种情况下,您只需在目标计算机(zz.zz.zz.zz)上配置SSH public,客户端计算机将拥有私钥。从客户端计算机连接的命令将是ssh-iusername@BastionPublicIP-p yyyy
下面提到的是要在安全组中打开的端口: