security - 管理 EC2 上的实例间访问

Question

我们正在 Amazon EC2 上设置我们的 IT 基础设施。
假设设置如下:
X 生产服务器
Y 暂存服务器
日志整理和监控服务器
构建服务器
显然，我们需要让不同的服务器相互通信。一个新的构建需要被 scp 到一个临时服务器。日志整理器需要从生产服务器拉取日志。我们很快意识到我们在管理访问 key 时遇到了麻烦。每个服务器都有自己的 key 对，可能还有自己的安全组。我们最终将 *.pem 文件从一个服务器复制到另一个服务器，这是对安全性的一种 mock 。构建服务器拥有临时服务器的访问 key ，以便通过 ssh 连接并推送新的构建。临时服务器同样具有生产实例的访问 key (大口大口!)
我在网上做了一些广泛的搜索，但找不到任何人在谈论管理这个问题的明智方法。设置与我们类似的人如何处理这个问题？我们知道我们目前的工作方式是错误的。问题是——什么是正确的方法？
感谢你的帮助!
谢谢

[更新]
我们的情况很复杂，因为至少需要从外部服务器(特别是 github)访问构建服务器。我们正在使用 Jenkins，提交后 Hook 需要一个可公开访问的 URL。在这种情况下，@rook 建议的堡垒方法失败了。

Answer 1

处理对 EC2 实例集合的访问的一种非常好的方法是使用 Bastion Host .

您在 EC2 上使用的所有机器都应禁止 SSH 访问开放互联网，堡垒主机除外。创建一个名为“堡垒主机”的新安全策略，并且只允许端口 22 从堡垒传入所有其他 EC2 实例。您的 EC2 集合使用的所有 key 都位于堡垒主机上。每个用户都有自己的堡垒主机帐户。这些用户应使用受密码保护的 key 文件对堡垒进行身份验证。登录后，他们应该可以访问完成工作所需的任何 key 。当有人被解雇时，您将他们的用户帐户删除到堡垒中。如果用户从堡垒复制 key ，这无关紧要，因为除非他们首先登录堡垒，否则他们无法登录。