Как я могу легко управлять постоянно меняющимися общедоступными IP-адресами в моих многочисленных группах безопасности

Наша среда разработки размещена на AWS, и к ней обращаются десятки людей. Когда люди присоединяются к проекту и покидают его или работают из разных (часто временных) мест, я обнаруживаю, что постоянно обновление многих наших групп безопасности.

Пример: Кэролайн — разработчик, который в основном работает из дома.

• Когда она присоединится к проекту, я Добавлять ее публичный IP-адрес для группы безопасности «dev-a», «dev-b», «dev-c» и «dev-d»; ее записи отмечены как «Кэролайн Фамилия дома» ¡
• В понедельник суровая погода выбивает силу Кэролайн; когда он снова включится, ее публичный IP адрес изменился, поэтому я должен Обновить ее "Кэролайн Фамилия home» в группах безопасности «dev-a», «dev-b», «dev-c» и "дев-д".
• Через неделю Кэролайн навещает своих родителей в другом штате. Она определяет свой новый публичный IP и передает его мне и мне Добавлять записи в группах безопасности "dev-a", "dev-b", "dev-c" и "dev-d" отмечен как «временная фамилия Кэролайн [ГГГГММДД]».
• я впоследствии Удалить эти «временные» IP-записи на основе сбора мусора.
• Когда Кэролайн заходит в офис поработать, мне больше нечего делать, потому что диапазон IP-адресов офиса уже настроен там, где он должен быть.

Теперь умножьте эти действия на количество сотрудников, задействованных в проекте... вы понимаете, почему я добавил в закладки ссылку на список групп безопасности!

Как я могу легко управлять постоянно меняющимися общедоступными IP-адресами в моих многочисленных группах безопасности? Какие шаги я могу предпринять, чтобы упростить администрирование записей групп безопасности?

â¡: Все имена (включая имена групп безопасности) были изменены для защиты невиновных.

Немного сложно сказать, что лучше, потому что вы не сказали, что люди делают в окружающей среде. Они используют IDE на экземпляре Windows EC2? Доступ к журналам на компьютере с Linux? Если вы отредактируете вопрос, чтобы дать больше информации, вы можете получить лучшие ответы.

Однако несколько мыслей:

• Используйте другой подход: вместо внесения домашних IP-адресов в белый список разрешите людям войти в инстанс-бастион / рабочую область AWS, в идеале используя MFA. Группа безопасности bastion/Workspaces занесена в белый список в остальной части вашей среды. Лучшей практикой было бы в любом случае иметь частные ресурсы в частной подсети с бастионом.

• Дайте всем скрипт/пакетный файл, который использует AWS CLI (или CLI вызывает лямбда), чтобы удалить любые существующие правила группы безопасности с их именем/уникальным идентификатором и заменить его своим текущим IP-адресом.

• Рассмотрите общую идею аутентификации на основе удостоверений вместо ограничений на основе IP, подобно сети с нулевым доверием.

Если вы расширите свой сценарий в своем вопросе, ответьте, чтобы сообщить мне, что я могу уточнить свой ответ.

Создайте VPN-клиент AWS, чтобы предоставить им доступ. Каждый из них может иметь свои собственные учетные данные и получать доступ к среде, используя частные IP-адреса. Также вы можете поместить VPN-клиентов в их собственную группу безопасности и таким образом ограничить доступ.