Wie Sie mehrere Schlüssel für elastic beanstalk-Instanz?

Es ist eine sehr gute Frage, auf [How to] SSH mit Elastischen [ein] Beanstalk Instanz, aber eine Sache habe ich bemerkt ist, dass durch diese Methode ist es nur möglich, fügen Sie eine SSH-Schlüssel.

Wie kann ich mehrere SSH-Schlüssel, um eine Instanz? Gibt es eine Möglichkeit zum automatischen hinzufügen von mehreren Schlüsseln für neue Instanzen?

InformationsquelleAutor NT3RP | 2012-11-02
  1. 8

    Nein, Elastic Beanstalk unterstützt nur einen einzelnen key pair. Sie können manuell hinzufügen, SSH-Schlüssel, um die authorized_keys Datei, aber diese wird nicht bekannt sein, um die Elastic Beanstalk-tools.

    • rhunwicks Antwort unten ist auch gut
    InformationsquelleAutor Ken Liu
  2. 38

    Erstellen Sie eine Datei namens .ebextensions/authorized_keys.config ist ein weiterer Weg, es zu tun.

    files:
  /home/ec2-user/.ssh/authorized_keys:
    mode: "000400"
    owner: ec2-user
    group: ec2-user
    content: |
      ssh-rsa AAAB3N...QcGskx keyname
      ssh-rsa BBRdt5...LguTtp another-key

    Den Namen der Datei authorized_keys.config ist willkürlich.

    • Das klappt perfekt. Standardmäßig werden jedoch die authorized_keys bereits ein ssh-Schlüssel (wählen Sie bei der Erstellung der Umwelt) und Sie müssen sich daran erinnern hinzufügen, dass der Schlüssel zu dieser Datei oder es wird gelöscht auf bereitstellen, und Sie können verloren den Zugriff auf den server.
    • - ^und um den ssh-Schlüssel eb ssh in die Instanz, und geben Sie cat ~ec2-user/.ssh/authorized_keys
    • Während der nachfolgenden Bereitstellungen wird es nicht Anhängen, keyname und anderen-Schlüssel jedes mal? Führt zu Duplikationen, bis Sie den Wiederaufbau der Umwelt?
    • Nein ist es nicht. Es überschreibt authorized_keys.
    • Dies ist eine großartige Lösung - ich Frage mich, ist es möglich, diese Dateien über eine environment-variable, in dem Fall, dass Sie in der Lage, verwalten Sie den Zugriff, ohne die Neuerstellung einer Umgebung?
    • Ich bin froh, dass ich nach unten gescrollt, bis ich den richtigen gefunden (faulste) Antwort. Das sollte es sein!
    • Ich hatte zu zitieren, die mit dem Namen zu bekommen dies funktioniert, arbeitet aber nie weniger

    InformationsquelleAutor rch850
  3. 19

    Kombination rhunwicks und rch850 die Antworten, hier ist eine saubere Art und Weise, um zusätzliche SSH-Schlüssel, wobei der eine Satz über die AWS-Konsole:

    files:
  /home/ec2-user/.ssh/extra_authorized_keys:
    mode: "000400"
    owner: ec2-user
    group: ec2-user
    content: |
      ssh-rsa AAAB3N...QcGskx keyname
      ssh-rsa BBRdt5...LguTtp another-key
commands:
  01_append_keys:
    cwd: /home/ec2-user/.ssh/
    command: sort -u extra_authorized_keys authorized_keys -o authorized_keys
  99_rm_extra_keys:
    cwd: /home/ec2-user/.ssh/
    command: rm extra_authorized_keys

    Beachten Sie, dass eb ssh funktioniert nur, wenn der private Schlüssel-Datei hat den gleichen Namen wie der private Schlüssel definiert, die in der AWS-Konsole.

    InformationsquelleAutor scribu
  4. 13

    Folgenden auf von Jim Flanagan ' s Antwort, Sie könnte den Schlüssel Hinzugefügt, um jede Instanz durch die Schaffung .ebextensions/app.config in Ihrer Anwendung Quellcode-Verzeichnis mit dem Inhalt:

    commands:
  copy_ssh_key_userA: 
    command: echo "ssh-rsa AAAB3N...QcGskx userA" >> /home/ec2-user/.ssh/authorized_keys
  copy_ssh_key_userB: 
    command: echo "ssh-rsa BBRdt5...LguTtp userB" >> /home/ec2-user/.ssh/authorized_keys
    • Das problem dieses Ansatzes ist, dass es wird verketten Sie die Datei auf jeden bereitstellen. Der Vorschlag von @rch850 dieses problem nicht hat.
    • Wenn ich die Kopie eingefügt mit diesem code bekomme ich einige schlechte chars, die nicht Leerzeichen sind, bitte aufpassen, dass
    • Sie vermeiden die Verkettung problem erwähnt von @RobertoSchneiders, indem Sie eine zusätzliche deduping Befehl: command: sort -u /home/ec2-user/.ssh/authorized_keys -o /home/ec2-user/.ssh/authorized_keys
    InformationsquelleAutor rhunwicks
  5. 7

    Einen Weg, Sie können dies erreichen, ist das erstellen einer Benutzer-Daten-script, das fügt den öffentlichen Schlüssel der zusätzliche Schlüssel-Paare, die Sie verwenden möchten, um ~ec2-user/.ssh/authorized_keys, und starten Sie die Instanz mit, dass die Daten des Nutzers, zum Beispiel:

    #!
echo ssh-rsa AAAB3N...QcGskx keyname >> ~ec2-user/.ssh/authorized_keys
echo ssh-rsa BBRdt5...LguTtp another-key >> ~ec2-user/.ssh/authorized_keys
    • Das stimmt, aber es würde machen es schwieriger für die Verwaltung der Schlüssel durch die verschiedenen von AWS-tools. Gibt es eine Möglichkeit, innerhalb von AWS zu tun?
    • Elastic Beanstalk ist nicht können Sie festlegen, Benutzer-Daten
    • Sie können eine Datei wie .ebextensions/app.config im source-tree für die version der Anwendung bereitgestellt wird, um weitere Befehle hinzuzufügen. Siehe docs.aws.amazon.com/elasticbeanstalk/latest/dg/...
    InformationsquelleAutor Jim Flanagan
  6. 3

    Die dynamischste Art, bis zu mehrere SSH-Schlüssel auf Elastic Beanstalk EC2-Instanzen

    Schritt 1

    Erstellen Sie eine Gruppe IAM. Nennen Sie so etwas wie beanstalk-access. Fügen Sie die Benutzer SSH-Zugriff auf diese Gruppe IAM. Auch fügen Sie Ihren öffentlichen ssh-Schlüssel(s) zu Ihrem IAM -Security credentials.

    Schritt 2

    Den deployment-Skript unten wird das Parsen der JSON-Daten von AWS CLI mit einem handlichen Linux-tool namens jq (jq offizielle tutorial), so müssen wir hinzufügen, es in .ebextensions:

      packages:
    yum:
      jq: []

    Schritt 3

    Fügen Sie den folgenden BASH-deployment-Skript .ebextensions:

      files:
    "/opt/elasticbeanstalk/hooks/appdeploy/post/980_beanstalk_ssh.sh":
      mode: "000755"
      owner: ec2-user
      group: ec2-user
      content: |
        #!/bin/bash
        rm -f /home/ec2-user/.ssh/authorized_keys
        users=$(aws iam get-group --group-name beanstalk-access | jq '.["Users"] | [.[].UserName]')
        readarray -t users_array < <(jq -r '.[]' <<<"$users")
        declare -p users_array
        for i in "${users_array[@]}"
        do
        user_keys=$(aws iam list-ssh-public-keys --user-name $i)
        keys=$(echo $user_keys | jq '.["SSHPublicKeys"] | [.[].SSHPublicKeyId]')
        readarray -t keys_array < <(jq -r '.[]' <<<"$keys")
        declare -p keys_array
        for j in "${keys_array[@]}"
        do
        ssh_public_key=$(aws iam get-ssh-public-key --encoding SSH --user-name $i --ssh-public-key-id $j | jq '.["SSHPublicKey"] .SSHPublicKeyBody' | tr -d \")
        echo $ssh_public_key >> /home/ec2-user/.ssh/authorized_keys
        done
        done
        chmod 600 /home/ec2-user/.ssh/authorized_keys
        chown ec2-user:ec2-user /home/ec2-user/.ssh/authorized_keys

    Leider, denn dies ist YAML, können Sie nicht Einrücken der code, damit es leichter lesbar. Aber lassen Sie uns brechen, was passiert:

    • (In der code-snippet direkt unten) Wir entfernen die Standard-SSH-key-Datei zu geben, die volle Kontrolle über die Liste, um das deployment-Skript.

        rm -f /home/ec2-user/.ssh/authorized_keys

    • (In der code-snippet direkt unten), die Mit AWS CLI, wir bekommen die Liste der Benutzer in der beanstalk-access Gruppe, und dann sind wir Rohrleitungen, die JSON-Liste in jq zu extrahieren nur, dass die Liste der `$Benutzer.

        users=$(aws iam get-group --group-name beanstalk-access | jq '.["Users"] | [.[].UserName]')

    • (In der code-snippet direkt unten) Hier sind wir der Umwandlung von JSON $users Liste in einem BASH-array und ruft es $users_array.

      readarray -t users_array < <(jq -r '.[]' <<<"$Benutzer")
      declare -p users_array

    • (In der code-snippet direkt darunter) beginnen Wir die Schleife durch das array von Benutzern.

        for i in "${users_array[@]}"
  do

    • (In der code-snippet direkt darunter) kann Dies wahrscheinlich gemacht werden in einer Zeile, aber es ' s grabbing die Liste der SSH-Schlüssel für jeden Benutzer in der beanstalk-access Gruppe. Es hat noch nicht verwandelte Sie in eine BASH-array, es ist immer noch eine JSON-Liste.

        user_keys=$(aws iam list-ssh-public-keys --user-name $i)
  keys=$(echo $user_keys | jq '.["SSHPublicKeys"] | [.[].SSHPublicKeyId]')

    • (In der code-snippet direkt unten), Jetzt ist es der Umwandlung von JSON-Liste für jeden Nutzer SSH-keys in einem BASH-array.

       readarray -t keys_array < <(jq -r '.[]' <<<"$keys")
 declare -p keys_array

    • (In der code-snippet direkt unten), Jetzt ist es der Umwandlung von JSON-Liste in einem BASH-array.

       readarray -t keys_array < <(jq -r '.[]' <<<"$keys")
 declare -p keys_array

    • (In der code-snippet direkt unten) Jetzt haben wir eine Schleife durch jedes Benutzers Reihe von SSH-Schlüsseln.

       for j in "${keys_array[@]}"
 do

    • (In der code-snippet direkt unten) fügen Wir jeder SSH-Schlüssel für jeden Benutzer, der authorized_keys Datei.

      ssh_public_key=$(aws iam get-ssh-public-key --encoding SSH --user-name $i --ssh-public-key-id $j | jq '.["SSHPublicKey"] .SSHPublicKeyBody' | tr -d \")
echo $ssh_public_key >> /home/ec2-user/.ssh/authorized_keys

    • (In der code-snippet direkt darunter) Schließen beide die $users_array Schleife und $users_keys Schleife.

      done
done

    • (In der code-snippet direkt darunter) Geben die authorized_keys Datei die gleichen Berechtigungen, die es ursprünglich hatte.

      chmod 600 /home/ec2-user/.ssh/authorized_keys
chown ec2-user:ec2-user /home/ec2-user/.ssh/authorized_keys

    Schritt 4

    Wenn Ihr Elastic Beanstalk EC2-Instanz in einer öffentlichen Subnetz, können Sie auch einfach ssh in Sie es mit:

    ssh ec2-user@ip-address -i /path/to/private/key

    Wenn Ihr Elastic Beanstalk EC2-Instanz in ein eigenes Subnetz (wie es sein sollte für cloud security best practices), dann werden Sie brauchen, um eine "bastion server" EC2-Instanz, die als gateway für die Tunnelung alle SSH-Zugriff auf EC2-Instanzen. Nachschlagen ssh agent forwarding oder ssh proxy commands um eine Idee zu bekommen, wie das zu erreichen SSH-tunneling.

    Hinzufügen neuer Benutzer

    Alles, was Sie tun ist, fügen Sie Sie zu Ihrem IAM - beanstalk-access Gruppe, und führen Sie eine Bereitstellung aus, und das Skript hinzufügen, um Ihr Elastic Beanstalk-Instanzen.

    • Dies scheitert für mich durch und aws iam-Befehl: 2018-10-16 13:43:24-FEHLER [Beispiel: i-05cc43b96ffc69145] Fehler beim ausführen des Befehls on-Instanz. Rückgabecode: 1 Ausgabe: (GEKÜRZT)...rform: iam:GetGroup auf Ressource: Gruppe beanstalk-Zugang
    • Sind Sie sicher, dass die IAM-Gruppe genannt beanstalk-access? Dann auch sicherstellen, dass Benutzer dieser Gruppe zugewiesen.
    • Ja, ich habe sowohl von denen, aber das ist der Fehler, der zurückgegeben wird von beanstalk während einer Bereitstellung. Auch entfernte ich die config-Datei und entfernt jq aus der yum-Pakete und jetzt kann ich immer noch nicht bereitstellen, da es versucht, führen Sie diesen Befehl mit jedem bereitstellen, das fand ich sehr seltsam.
    • ls -la .ebextensions insgesamt 16 drwxrwxrwx@ 4 jcrawford Mitarbeiter 128 Oct 16 15:03 . drwxrwxrwx@ 36 jcrawford Mitarbeiter 1152 Okt 16 09:18 .. -rw-r--r--@ 1 jcrawford Mitarbeiter 744 Sep 18 10:07 Komponisten.config -rw-r--r--@ 1 jcrawford Personal 73 Oct 16 09:53-Projekt.config 2018-10-16 19:05:05 INFO die Bereitstellung einer neuen version auf Instanz(en). 2018-10-16 19:06:09 FEHLER [Beispiel: i-05cc43b96ffc69145] Fehler beim ausführen des Befehls on-Instanz. Rückgabecode: 1 Ausgabe: (GEKÜRZT)...erform: iam:GetGroup auf Ressource: Gruppe BeanstalkAccess
    • Schließlich war in der Lage, unsere Umwelt wieder in einen Zustand ausgeführt werden. Klonen unsere QA-Umgebung auf weitere Tests, die die Aktivierung von SSH.
    InformationsquelleAutor Sam Malayek
  7. 1

    https://stackoverflow.com/a/16776129/7459377

    ist die einfachste Methode - wie @rhunwicks aber mit einem ">" - symbol auf der ersten Kopie:

    Grüße.

    • Nicht kopieren und fügen Sie den vorhandenen Antworten und geringfügigen änderungen. Wenn Sie haben etwas beizutragen zu einer bestehenden Antwort share button neben eurer neuen Antwort.
    • Ich habe meinen Beitrag korrigiert. Vielen Dank für die Beratung.
    InformationsquelleAutor Kefir
  8. 1

    anstatt echo und Ihre Schlüssel zu speichern, die auf Git-laden Sie Ihren öffentlichen Schlüssel an IAM-Benutzer auf AWS und als:

    commands:
  copy_ssh_key_userA: 
    command: rm -f /home/ec2-user/.ssh/authorized_keys;aws iam list-users --query "Users[].[UserName]" --output text | while read User; do aws iam list-ssh-public-keys --user-name "$User" --query "SSHPublicKeys[?Status == 'Active'].[SSHPublicKeyId]" --output text | while read KeyId; do aws iam get-ssh-public-key --user-name "$User" --ssh-public-key-id "$KeyId" --encoding SSH --query "SSHPublicKey.SSHPublicKeyBody" --output text >> /home/ec2-user/.ssh/authorized_keys; done; done;
    InformationsquelleAutor user181163
Schreibe einen Kommentar