我正在尝试为某人使用其AWS帐户创建ec2实例。该人仅应通过Web服务与机器进行交互。我付不起任何人SSH进入机器并动手使用代码IP。
如何禁止帐户所有者创建新的密钥对并替换为机器设置的密钥对?
谢谢
答案 0 :(得分:1)
理想情况下,您应该在自己的帐户上拥有一个实例,您可以在其中控制并创建一个实例,然后安装Web服务并通过Web服务器托管它,并向世界公开Web端口(例如端口80)
然后,编辑安全组以确保Web端口对世界开放/向用户IP开放(如果您使用的是静态IP Range),并且SSH端口22仅应对IP开放(如果您正在使用静态IP范围)。
如果您使用的是动态IP,我的策略是使用步进服务器,即创建另一台服务器(具有弹性IP),其密钥仅由您知道并管理,并允许该服务器的IP地址通过修改Web服务器的安全组来对Web服务器具有SSH权限。这样,只有您的帐户才能访问Step服务器,并且您只能从Step服务器登录到Web服务器,而没有其他人可以登录。