成本与合规并重aws 跳板机 公钥 备份策略与审计日志保存策略解读

1. 背景与目标

目标：在保证合规（审计、不可篡改、加密）的同时，控制成本，设计跳板机（bastion）访问、公钥备份与审计日志保存策略。适用场景：需要SSH/管理访问但又有限预算和合规要求的中小型团队。

2. 设计原则（概要）

原则：优先使用AWS Session Manager以减少公网跳板机；若必须用跳板机，使用最小规格实例并结合AutoStop/AutoScale；公钥采用中心化存储与版本控制（SSM/Secrets Manager/S3+KMS）；审计日志集中到CloudTrail->S3，并用Lifecycle与Glacier降低长期成本，同时用Object Lock满足不可变要求。

3. 优先替代：使用Session Manager的实操步骤

步骤：1) 在目标实例安装SSM Agent（Amazon Linux通常已安装）。2) 为实例绑定IAM Role：AmazonSSMManagedInstanceCore。3) 给管理员授予ssm:StartSession权限。4) 使用AWS CLI连接：aws ssm start-session --target i-xxxxxxx。好处：无公网IP、无需公钥管理、CloudTrail自动记录会话。

4. 若必须部署跳板机：最小成本配置与自动化

步骤：1) 选择t3.small或t4g.micro（按需/节省计划）。2) 使用Launch Template + Auto Scaling Group，仅在工作时间自动启动：创建Lambda定时启停或使用Instance Scheduler。3) 在Security Group中仅允许管理端口来自公司网段或VPN。4) 启用登录审计：在跳板机上安装CloudWatch Agent并推CloudWatch Logs。

5. 公钥生成、分发与中心化备份（详细操作）

生成与分发：1) 管理员在本地生成密钥对：ssh-keygen -t ed25519 -C "alice@company" -f ~/.ssh/id_ed25519_alice 。2) 将公钥上传到SSM Parameter Store（加密）：aws ssm put-parameter --name "/ssh/keys/alice" --value "$(cat ~/.ssh/id_ed25519_alice.pub)" --type "SecureString" --key-id alias/your-kms-key 。3) 在跳板机或目标实例使用启动脚本从SSM取出公钥并追加到~/.ssh/authorized_keys：aws ssm get-parameter --name "/ssh/keys/alice" --with-decryption --query Parameter.Value --output text >> /home/ec2-user/.ssh/authorized_keys。

6. 公钥备份与恢复策略（S3 + KMS + 版本）

备份步骤：1) 将公钥定期导出并压缩：tar czf ssh_keys_$(date +%F).tgz ~/.ssh/*.pub。2) 加密并上传到S3：aws s3 cp ssh_keys_2022-01-01.tgz s3://your-backup-bucket/ssh-keys/ --sse aws:kms --metadata "created-by=ops"。3) 为Bucket启用版本控制与生命周期：生命周期规则把30天后的对象转到GLACIER或DEEP_ARCHIVE。恢复：从S3取回并解密，确认Checksum，与SSM或目标实例同步authorized_keys。

7. 审计日志保存策略（CloudTrail -> S3）

配置步骤：1) 在管理账号创建CloudTrail，勾选“将日志发送到S3并启用CloudWatch Logs”。2) 指定专用S3桶，启用Bucket Versioning与Server-Side Encryption (SSE-KMS)。3) 为合规启用S3 Object Lock（Compliance Mode）并配置Retention，例如7年。注：开启Object Lock需在桶创建时启用。4) 使用Lifecycle规则将旧日志转到Glacier Deep Archive以降低成本。5) 定期使用Athena或CloudWatch Insights做审计查询并导出证据。

8. 成本优化技巧（针对存储与实例）

技巧：1) 优先用Session Manager减少常驻跳板机。2) S3使用智能分层或Lifecycle转换到Glacier Deep Archive。3) 启用压缩（gzip）和按日期分区上传日志以利查询与降低请求成本。4) 使用KMS客户主密钥（CMK）统一管理，避免大量单独KMS请求导致成本飙升。

9. 合规与安全硬化要点

要点：1) 所有关键操作（添加/删除公钥、停启跳板机、修改Object Lock）都要有IAM审计与Ticket。2) 使用CloudTrail+Config+GuardDuty联合检测异常。3) 启用MFA Delete、Bucket Policy限制写入、并定期导出审计证据到受保护的长期存储。

10. 常见故障排查快速指南

排查：1) 无法SSH：检查安全组、目标实例authorized_keys、SSM是否可用。2) SSM无法取参：确认IAM Role与KMS解密权限。3) 日志缺失：确认CloudTrail是否启用全区域日志并指向正确S3桶。

问答一（问）

问：如果我想完全避免跳板机，是否所有场景都能用Session Manager代替？

问答一（答）

答：大多数情况可以用Session Manager替代，尤其是维护与运维命令行操作，但若有需要基于SSH的端口转发或某些专有工具依赖SSH隧道，仍需跳板机。建议优先评估改造为Session Manager，再对少量特殊场景保留跳板机。

问答二（问）

问：审计日志使用Object Lock会增加多少成本？是否值得？

问答二（答）

答：Object Lock本身无直接费用，但会限制删除与生命周期操作，长期存储费用按S3/Glacier策略计费。合规要求（如法律保存期）通常使其“值得”。为节省成本，可结合Lifecycle把老旧日志转到Deep Archive，同时在创建桶时评估保留期长度以避免过度保留。

来源：成本与合规并重aws 跳板机 公钥 备份策略与审计日志保存策略解读