1

AWS 通常使用在创建实例时分配的 SSH 密钥来促进通过 ssh 访问 EC2 实例。然后,这些密钥通常会在管理团队之间共享以维护实例。为数千个 EC2 实例管理这些密钥本质上是困难的,因为密钥轮换很繁重,而且对谁可以使用密钥没有限制。

因此,在团队成员之间共享 EC2 ssh 密钥是否符合 HIPAA 和/或 Sox 标准?

我知道 Instance Connect 通过使用 IAM 在控制 ssh 访问方面做得更好,但令人惊讶的是,我还没有看到很多公司使用 Instance Connect。即使在需要 HIPAA 或 Sox 合规性的公司中,共享 ssh 密钥似乎也很普遍。

4

1 回答 1

2

AWS 通常使用在创建实例时分配的 SSH 密钥来促进通过 ssh 访问 EC2 实例。然后,这些密钥通常会在管理团队之间共享......

没有。

创建时使用的密钥通常应在第一次连接后立即替换为您自己的新鲜且值得信赖的生成密钥。它不是共享的。只有菜鸟共享密钥。多个用户 = 多个密钥。

共享密钥以访问敏感数据甚至不完全符合 GDPR,因此它 100% 不符合 HIPAA。

免责声明:我不是律师。

于 2020-11-21T17:47:00.320 回答