如何限制对共享ami的访问

Question

我需要共享ami，以便客户端可以使用ami通过自己的帐户创建自己的实例。但是，我不希望客户能够进入实例。我需要能够ssh进入实例才能够维护它。他们将只有ftp和www访问权限。我有ftp和www访问部分通过ssh配置工作。当他们用自己的密钥对启动实例时，我如何避免使用ssh？

Answer 1

那么，你不能真的防止这个，如果他们确定进入，因为他们控制实例。

停止实例→卸载根EBS卷→安装别处→修改内容→ →卸载重新挂载→ →重启pwn3d。

但是，根据the documentation，如果您没有配置AMI到加载他们的公钥，它只是坐在那里，并没有真正为他们工作。

Amazon EC2允许用户在启动实例时指定公钥 - 私钥对名称。如果为RunInstances API调用（或通过命令行API工具）提供了有效的密钥对名称，则会创建公钥（在调用CreateKeyPair或ImportKeyPair后，Amazon EC2在服务器上保留的密钥对部分）通过针对实例元数据的HTTP查询提供给实例。

要通过SSH登录，AMI必须在引导时检索密钥值并将其附加到/root/.ssh/authorized_keys（或AMI上任何其他用户帐户的等效值）。用户可以使用密钥对启动AMI的实例并登录，而不需要root密码。

如果您没有获取密钥并按照描述追加密钥，那么只是凭借被“分配”给实例，他们的密钥实际上不会给他们任何访问权限实例。

Answer 2

我能够最终通过这个过程完成这个疯狂的任务：

1）登录作为Ubuntu的 2）创建一个用户，属于须藤和管理员组 3）安装我所有的S/W下所述NEWUSER 4）验证新用户具有所有必需的特权 5）chroot监ubuntu的用户访问FTP仅

当AMI被发送到新的区域/帐户，ubuntu的用户存在作为sudoer，但不能ssh进入实例。 Ftp允许他们连接到系统，但他们查看一个裸露的目录，并且无法在系统中的任何其他位置进行切换。

这不是一个完全的否定，但我认为它会为这个客户服务。