AWS EB环境自动化添加用户账号的3种方案对比

1. 项目背景与核心需求

在AWS云平台的实际运维中，我们经常遇到这样的场景：当Elastic Beanstalk（EB）环境自动创建EC2实例后，需要为这些实例批量添加特定用户账号。传统的手动操作方式既低效又容易出错，特别是在需要管理数十上百台实例时。通过代码自动化实现用户添加，不仅能提升运维效率，还能确保配置的一致性。

这个方案特别适合以下场景：

• 需要为EB环境中的所有实例添加统一的监控账号
• 自动化部署流程中要求预先配置CI/CD工具所需的部署账号
• 满足安全合规要求，批量创建审计专用的只读账号

2. 技术方案设计思路

2.1 核心架构解析

实现这个需求主要有三种技术路线：

1. EB扩展文件方案：

   • 原理：利用EB的.ebextensions配置目录
   • 优势：与EB生命周期深度集成，部署时自动执行
   • 限制：需要在应用部署包中包含配置文件

2. UserData脚本方案：

   • 原理：通过EC2的UserData机制在启动时执行
   • 优势：不依赖EB应用包，配置更灵活
   • 注意：需要处理脚本的幂等性问题

3. Systems Manager方案：

   • 原理：使用SSM Run Command批量执行
   • 优势：可对已有实例进行操作，实时性高
   • 要求：实例需预先安装SSM Agent

2.2 方案选型建议

对于大多数场景，我推荐采用EB扩展文件方案，因为：

• 与EB部署流程天然集成
• 配置可版本化管理
• 不需要额外的基础设施准备

下文将重点讲解这种实现方式。

3. 详细实现步骤

3.1 准备.ebextensions配置文件

在应用根目录创建.ebextensions文件夹，新建add_user.config文件：

yaml复制commands:
  create_user:
    command: |
      USERNAME="audit_user"
      if ! id -u $USERNAME >/dev/null 2>&1; then
        useradd -m -s /bin/bash $USERNAME
        mkdir -p /home/$USERNAME/.ssh
        echo "ssh-rsa AAAAB3NzaC1yc2E... audit_user@company" > /home/$USERNAME/.ssh/authorized_keys
        chown -R $USERNAME:$USERNAME /home/$USERNAME/.ssh
        chmod 700 /home/$USERNAME/.ssh
        chmod 600 /home/$USERNAME/.ssh/authorized_keys
        usermod -aG wheel $USERNAME
      fi

关键参数说明：

• USERNAME：自定义的用户名
• useradd命令的-m参数确保创建家目录
• -s /bin/bash指定默认shell
• wheel组赋予sudo权限（根据实际需求调整）

3.2 配置SSH密钥认证

安全最佳实践：

1. 使用ED25519算法生成密钥对：

   bash复制ssh-keygen -t ed25519 -f audit_user_key -C "audit_user@company"
   

2. 将公钥内容填入配置文件的authorized_keys
3. 私钥通过AWS Secrets Manager安全存储

3.3 打包部署应用

标准的部署包结构应包含：

code复制my-app/
├── .ebextensions/
│   └── add_user.config
├── application.py
└── requirements.txt

使用EB CLI部署：

bash复制eb deploy --staged

4. 高级配置技巧

4.1 多环境差异化配置

通过EB环境变量实现环境区分：

yaml复制commands:
  create_user:
    command: |
      USERNAME="${USERNAME:-default_user}"
      # 剩余配置保持不变...

在EB控制台设置环境变量：

• 开发环境：USERNAME=dev_audit
• 生产环境：USERNAME=prod_audit

4.2 密码策略配置

如需设置密码登录（不推荐），可添加：

yaml复制  set_password:
    command: |
      echo "$USERNAME:SecurePass123!" | chpasswd
      passwd -e $USERNAME

安全建议：

• 优先使用SSH密钥认证
• 如必须用密码，确保定期轮换
• 通过IAM策略限制EC2的密码登录

4.3 用户权限精细化控制

修改sudo权限配置：

bash复制echo "$USERNAME ALL=(ALL) NOPASSWD: /usr/bin/less,/usr/bin/tail" > /etc/sudoers.d/$USERNAME

这表示：

• 允许无密码执行less和tail命令
• 其他sudo操作需要密码

5. 问题排查与调试

5.1 常见错误处理

问题1：用户已存在导致创建失败

• 解决方案：添加存在性检查，如示例中的if ! id -u条件

问题2：权限配置不正确

• 检查命令：ls -ld /home/$USERNAME
• 预期结果：

  code复制drwx------ 4 audit_user audit_user 4096 Jun 1 10:00 /home/audit_user
  

问题3：SSH登录被拒绝

• 调试步骤：
  1. 检查auth日志：tail -f /var/log/auth.log
  2. 验证密钥权限：stat -c "%a %U:%G" /home/$USERNAME/.ssh/authorized_keys

5.2 EB日志查看技巧

获取扩展文件执行日志：

bash复制eb logs --all | grep -A 20 "Running command create_user"

关键字段说明：

• [INFO]表示成功执行
• [ERROR]需重点关注错误堆栈

6. 安全加固建议

1. 定期轮换密钥：

   • 通过AWS Lambda每月自动更新密钥
   • 使用SSM Parameter Store存储历史版本

2. 网络访问控制：

   yaml复制resources:
     SecurityGroupIngress:
       - IpProtocol: tcp
         FromPort: 22
         ToPort: 22
         CidrIp: 10.0.1.0/24
   

3. 审计日志记录：

   bash复制echo "session required pam_loginuid.so" >> /etc/pam.d/sshd
   

4. 实例元数据保护：

   bash复制aws ec2 modify-instance-metadata-options \
     --instance-id i-1234567890abcdef0 \
     --http-tokens required \
     --http-endpoint enabled
   

7. 替代方案对比

7.1 UserData方案示例

在EB环境配置中添加：

json复制{
  "aws:autoscaling:launchconfiguration": {
    "UserData": "IyEvYmluL2Jhc2gKdXNlcmFkZCAtbSAtcyAvYmluL2Jhc2ggYXVkaXRfdXNlcgo="
  }
}

Base64编码注意事项：

bash复制base64 -w0 userdata.sh

7.2 SSM方案实施步骤

1. 创建SSM文档：

   json复制{
     "schemaVersion": "2.2",
     "parameters": {
       "username": {"type": "String"},
       "publicKey": {"type": "String"}
     },
     "mainSteps": [...]
   }
   

2. 批量执行命令：

   bash复制aws ssm send-command \
     --instance-ids i-1234567890 \
     --document-name "AddUserAccount" \
     --parameters '{"username":["audit_user"]}'
   

8. 维护与演进

8.1 用户生命周期管理

添加用户清理脚本：

yaml复制files:
  "/etc/cron.daily/user_cleanup":
    mode: "000755"
    content: |
      #!/bin/bash
      if [[ $(date +%u) -eq 6 ]]; then
        userdel -r temp_user 2>/dev/null
      fi

8.2 配置漂移检测

使用AWS Config规则：

json复制{
  "ConfigRuleName": "ec2-audit-user-check",
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "INCOMING_SSH_DISABLED"
  },
  "InputParameters": "{\"approvedUsers\":\"audit_user\"}"
}

8.3 自动化测试方案

使用InSpec编写测试用例：

ruby复制describe user('audit_user') do
  it { should exist }
  its('groups') { should include 'wheel' }
end

describe file('/home/audit_user/.ssh/authorized_keys') do
  its('content') { should match /ssh-ed25519/ }
end

执行测试：

bash复制inspec exec test.rb -t ssh://audit_user@ec2-instance

通过这个完整的实施方案，我们不仅解决了基础的用户添加需求，还构建了包含安全加固、自动化维护在内的完整生命周期管理体系。在实际项目中，建议根据具体需求选择适合的组件组合使用。