Я создаю службу, которая распределяется между несколькими машинами, которые входят в другие целевые машины и выполняет действие (записывать в файл, запускать сценарий оболочки и т. Д.).Обмен ключами SSH на нескольких хостах
В настоящее время у меня есть эта служба, настроенная на использование имени пользователя и пароля в качестве формы аутентификации для ssh-ing на целевых компьютерах, но для ее работы требуется дополнительная загрузка на целевой машине. Я хочу перейти к модели аутентификации с открытым/закрытым ключом.
Мой вопрос в том, что эта служба распределяется между несколькими узлами, неуместно хранить закрытый ключ в безопасном месте (скажем, с помощью AWS KMS или какой-либо подобной службы), и каждый из моих машин читает это или я должен иметь закрытый ключ для каждой из моих машин?
Я не 100% уверен, что я следовать за тобой. Вы говорите, что каждая машина должна ожидать, что ключ хранится локально, а если нет, он должен извлечь его из централизованного безопасного места? –
Я говорю, что ключи для доступа к тому, что вы называете «целевыми» машинами, будут храниться в центральном месте, но машины все равно должны иметь доступ к центральному местоположению. Таким образом, вам все равно нужно хранить один ключ или пароль какого-либо типа на каждой машине, но вам не нужно хранить целую кучу, даже если вы получаете доступ к целому набору целевых машин. –