Коллеги, как малой кровью организовать доступ нескольким дата сантистам к

одному EC2 инстансу?

Проблемы:
- надо шерить ssh-key
- надо построянно добавлять их айпишники в security group
- надо следить за этими паразитами, чтобы инстанс не забывали выключать

Подскажите, кто как решал подобные вопросы?

- пускай тебе дают свои публичные ключи, а ты напиши скрипт который будет их добавлять - все тот же скрипт, можешь в тераформе эту машину менеджить - настрой себе лямбду которая будет выключать по расписанию например

что бы убрать SSH, можно попробовать использовать Systems Manager Session Manager для этого достаточно для каждого разработчика создать IAM юзера, так же навесить на EC2 роль с SSM для этого нужен будет только InstanceId к этому же вы сможете использовать подход Iaac ( CloudFormation ) при создании юзеров и будите знать кому дан доступ но нужно будет научить пользоваться AWS CLI

О! Кстати вариант

у нас есть кейс, когда к AWS VPN цепляется юзер, там есть хендлер, которые можно к лямбде прицепить. Так вот лямбда запускает SSM автоматизацию, которая сначала стартует инстанс, добавляет логины/ключи пользаков на созданный с нуля инстанс (из нужного AMI).

возможно вопрос с ssh ключиками поможет решить вот такой подход https://learn.hashicorp.com/tutorials/vault/ssh-otp

Потребует как минимум два дополнительных инстанс и отдельно инженера который знает hashicrop vault & consul

Проще через k3s поставить в кубере его на 3 инстанца, с помощью их же helm чарта

Может лучше SageMaker studio? Если им Jupiter notebook нужен, то будет удобнее.

Я тоже через ssm и лямбды такое делал. Пользователи просят бота (лямбда) в слаке дать им машину. Бот стартует инстанс и пишет в чат команду как поднять туннель через ssm. Каждый час клаудвотч запускает другую лямбду, которая проверяет статус машин по тегу и отписывается в тот же слак чатик. Там кто-то из людей может нажать кнопку остановки машины.