Когда сотрудник или подрядчик покидает компанию, вам необходимо отключить любой привилегированный доступ к ресурсам компании. Это включает в себя (но не ограничивается) ваши ключевые проблемы SSH:
Удалите открытый ключ ssh из всех файлов авторизованных ключей во всех запущенных экземплярах. Замените их новым сгенерированным открытым ключом ssh, который известен только людям, которые должны иметь доступ.
Удалите все записи пары ключей в EC2, которые были известны усопшим, чтобы новые экземпляры не могли быть запущены с этими парами ключей. Замените их новыми записями пар ключей, возможно, с теми же именами, если ваш
Альтернативный метод, который вы предлагаете, также хорош, и я использую его: отключите исходный ключ ssh и добавьте отдельные открытые ключи ssh для каждого разработчика, чтобы они могли войти в систему со своим обычным закрытым ключом ssh. Это может быть сделано для входа в общую учетную запись или для каждого разработчика, получающего свою собственную индивидуальную учетную запись пользователя (мой выбор).
После ухода сотрудника вам придется не только очистить работающие серверы, но и процесс, который добавляет ключи ssh на новые серверы. И, когда сотрудник присоединяется, вам нужно сделать обратное: добавить ключи ssh к работающим серверам и обновить новый процесс сервера.
Это может быть немного больше работы для поддержки большого количества ssh-ключей на многих серверах, но это то, где автоматизация приходит.