Gestion de l'access SSH pour les équipes roulantes à de nombreuses instances AWS

Nous avons une équipe de plus de 20 stagiaires qui nous rejoignent tous les 3-6 mois. Ils ont chacun une configuration de connection SSH individuelle sur 10-15 instances AWS partagées, dont certaines fonctionnent depuis des années, d'autres sont exécutées pendant quelques jours ou quelques semaines. Chaque fois, nous avons besoin de l'administrateur pour créer l'instance et autoriser les users et leurs keys, ainsi que pour configurer leurs rôles. Quand ils partent, l'administrateur supprime manuellement tous les users ou, dans certains cas, bloque uniquement les keys autorisées pour empêcher SSH.

Quelle est la meilleure pratique pour pouvoir automatiser cette gestion user et SSH pour exécuter des instances? Comment vérifier nos instances afin de s'assurer qu'un user ne contourne pas nos ressortingctions SSH?

Si vous avez toujours des gens qui quittent et se joignent, et vous vous souciez un peu de security, vous pourriez envisager l'authentification multi-facteurs avec Teleport .

Le concept «cluster» dans Teleport devrait permettre aux users de se connecter automatiquement à de nouveaux hôtes dans un cluster sans intervention. Vous pouvez également spécifier la durée des keys SSH et créer / supprimer des users à travers les clusters facilement.

La configuration de Teleport pourrait être impliquée dans l'utilisation de Puppet / Chef, donc vous voudrez peut-être préparer et prioriser une list de vos besoins et fonctionnalités avant la mise en œuvre.

Le support LDAP / AD est une fonctionnalité payante de Teleport.

FreeIPA est susceptible d'être ce que vous searchz. http://freeipa.org/page/Main_Page

Il permet de gérer les hôtes et les users, configurer les dates d'expiration, etc., tous à partir d'une interface Web.