AWS EB自动化添加EC2用户的最佳实践

1. 项目背景与核心需求

在AWS Elastic Beanstalk（EB）环境中，我们经常需要为底层EC2实例添加特定用户账号。这个需求可能源于多种场景：部署需要特定权限的应用程序、配置自动化运维工具访问权限，或是建立安全的SSH访问机制。传统做法是通过EB控制台手动操作，但在规模化部署和自动化流程中，这种方式显得效率低下且难以维护。

我最近在一个CI/CD项目中就遇到了这个痛点：每次部署新环境时，都需要手动登录每台EC2实例创建运维账号。这不仅耗时，还容易出错。通过研究AWS文档和社区实践，我总结出了一套通过代码自动化实现用户添加的方案。这个方案的核心价值在于：

1. 完全自动化 - 用户创建过程集成到部署流程中
2. 可重复使用 - 通过配置文件管理用户信息
3. 安全可控 - 支持密钥对和权限精细控制
4. 环境一致性 - 确保所有实例的用户配置完全相同

2. 技术方案选型与比较

2.1 可选方案对比

在AWS环境中，为EC2添加用户主要有以下几种技术路径：

经过实际测试，对于大多数需要动态管理用户的场景，.ebextensions方案在简单性和可靠性之间取得了最佳平衡。特别是当用户信息需要根据不同环境变化时，这种方案可以通过环境变量灵活配置。

2.2 为什么选择.ebextensions

选择EB配置文件方案主要基于以下考虑：

1. 生命周期集成：配置文件会在环境部署和更新时自动执行，与EB的生命周期完美契合
2. 版本控制友好：配置文件可以与其他应用代码一起存放在版本库中
3. 无需额外权限：相比SSM方案，不需要配置额外的IAM权限
4. 失败可见性：执行日志会直接显示在EB环境事件中，便于排查问题

3. 详细实现步骤

3.1 基础配置文件结构

在项目根目录创建.ebextensions文件夹，然后新增一个YAML格式的配置文件（例如add_users.config）。基本结构如下：

yaml复制files:
  "/tmp/create_users.sh":
    mode: "000755"
    content: |
      #!/bin/bash
      # 用户创建脚本内容

commands:
  01_create_users:
    command: "/tmp/create_users.sh"
    ignoreErrors: false

这个模板展示了EB配置的两个核心部分：

• files：在实例上创建临时脚本文件
• commands：在特定部署阶段执行命令

3.2 用户创建脚本详解

下面是一个完整的用户创建脚本示例，支持同时创建多个用户并设置SSH密钥：

bash复制#!/bin/bash

# 定义用户数组 (实际使用中可通过环境变量注入)
USERS=(
  "deploy:ssh-rsa AAAAB3Nza... deploy-key"
  "monitor:ssh-rsa AAAAB3Nza... monitor-key"
)

# 为每个用户创建账号
for user_entry in "${USERS[@]}"; do
  IFS=':' read -r username ssh_key <<< "$user_entry"
  
  # 检查用户是否已存在
  if id -u "$username" >/dev/null 2>&1; then
    echo "用户 $username 已存在，跳过创建"
    continue
  fi
  
  # 创建用户并设置主目录
  useradd -m -s /bin/bash "$username"
  
  # 创建.ssh目录并设置权限
  mkdir -p "/home/$username/.ssh"
  echo "$ssh_key" > "/home/$username/.ssh/authorized_keys"
  chown -R "$username:$username" "/home/$username/.ssh"
  chmod 700 "/home/$username/.ssh"
  chmod 600 "/home/$username/.ssh/authorized_keys"
  
  # 将用户添加到sudoers (可选)
  echo "$username ALL=(ALL) NOPASSWD:ALL" > "/etc/sudoers.d/$username"
  chmod 440 "/etc/sudoers.d/$username"
  
  echo "成功创建用户 $username"
done

3.3 通过环境变量动态配置

为了增强灵活性，我们可以修改脚本从环境变量读取用户配置：

yaml复制option_settings:
  aws:elasticbeanstalk:application:environment:
    USER_CONFIG: >
      [
        "deploy:ssh-rsa AAAAB3Nza...",
        "monitor:ssh-rsa AAAAB3Nza..."
      ]

然后在脚本中替换：

bash复制# 从环境变量读取用户配置
IFS=$'\n' read -d '' -r -a USERS <<< "$(echo -e "${USER_CONFIG//\\n/$'\n'}")"

4. 安全增强措施

4.1 最小权限原则

在为用户分配权限时，应遵循最小权限原则：

1. 非必要不给sudo权限
2. 如果必须使用sudo，限制可执行的命令范围：

   bash复制# 替代无限制的sudo权限
   echo "$username ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart app-service" > "/etc/sudoers.d/$username"
   

4.2 SSH安全加固

1. 禁用密码认证（仅允许密钥登录）：

   bash复制sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
   systemctl restart sshd
   

2. 使用强加密算法：

   bash复制echo "Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com" >> /etc/ssh/sshd_config
   echo "KexAlgorithms curve25519-sha256@libssh.org" >> /etc/ssh/sshd_config
   

4.3 密钥管理最佳实践

1. 使用不同的密钥对不同的用户和环境
2. 定期轮换密钥（可以通过脚本自动化）
3. 在EB环境变量中存储密钥时，使用AWS Parameter Store加密：

   yaml复制option_settings:
     aws:elasticbeanstalk:application:environment:
       DEPLOY_KEY: "{{resolve:ssm:/env/prod/deploy_key:1}}"
   

5. 高级应用场景

5.1 多环境差异化配置

通过EB环境特性实现不同环境的不同用户配置：

yaml复制conditions:
  IsProduction:
    test: '"`{elasticbeanstalk:environment_name}`" =~ /^prod/'

files:
  "/tmp/create_users.sh":
    mode: "000755"
    content: |
      #!/bin/bash
      if ${IsProduction}; then
        USERS=("prod-admin:ssh-rsa AAAAB3Nza...")
      else
        USERS=("dev-user:ssh-rsa AAAAB3Nza...")
      fi
      # 剩余脚本内容...

5.2 与IAM角色集成

对于需要AWS API访问的用户，可以配置实例配置文件：

yaml复制Resources:
  AWSEBAutoScalingGroup:
    Metadata:
      AWS::CloudFormation::Authentication:
        S3Access:
          type: "s3"
          roleName: 
            Fn::GetOptionSetting:
              Namespace: "aws:autoscaling:launchconfiguration"
              OptionName: "IamInstanceProfile"
              DefaultValue: "aws-elasticbeanstalk-ec2-role"

然后在用户初始化脚本中配置AWS CLI：

bash复制sudo -u $username aws configure set profile.$username.region $AWS_REGION
sudo -u $username aws configure set profile.$username.source_profile default

6. 故障排查与调试

6.1 常见错误与解决方案

6.2 日志查看技巧

1. 查看EB部署日志：

   bash复制eb logs --all
   

2. 直接查看脚本输出：

   bash复制cat /var/log/eb-activity.log | grep -A 20 "create_users.sh"
   

3. 检查cloud-init日志：

   bash复制cat /var/log/cloud-init-output.log
   

6.3 调试技巧

1. 在脚本中添加详细日志：

   bash复制set -x  # 开启命令回显
   exec > >(tee /var/log/user_init.log) 2>&1  # 重定向所有输出
   

2. 手动测试脚本：

   bash复制sudo su - 
   /tmp/create_users.sh
   

3. 检查系统日志：

   bash复制journalctl -xe
   

7. 性能优化与扩展

7.1 大规模环境优化

当需要管理大量用户时（50+），考虑以下优化：

1. 使用集中式用户目录（如LDAP）
2. 预生成用户数据文件：

   yaml复制sources:
     /tmp/users_data.tar.gz: https://s3.amazonaws.com/mybucket/users_data.tar.gz
   

3. 并行处理用户创建：

   bash复制echo "${USERS[@]}" | xargs -n 1 -P 8 -I{} bash -c 'create_user {}'
   

7.2 自动化测试

在CI/CD流水线中添加配置验证：

yaml复制# .ebextensions/test.config
commands:
  01_test_script:
    command: "bash -n /tmp/create_users.sh"
    test: "! grep -q 'TODO' /tmp/create_users.sh"

7.3 与配置管理工具集成

对于复杂场景，可以结合Ansible等工具：

yaml复制files:
  "/tmp/playbook.yml":
    content: |
      ---
      - hosts: localhost
        tasks:
          - name: Add users
            user:
              name: "{{ item.name }}"
              groups: "{{ item.groups | default('users') }}"
              ssh_key: "{{ item.ssh_key }}"
            loop: "{{ users }}"
    
commands:
  01_run_ansible:
    command: "ansible-playbook /tmp/playbook.yml --extra-vars='users=${USER_CONFIG}'"
    cwd: "/tmp"

8. 替代方案与补充技术

8.1 使用EC2 Instance Connect

AWS官方提供的替代方案：

1. 安装EC2 Instance Connect：

   bash复制sudo yum install -y ec2-instance-connect
   

2. 通过API临时添加SSH密钥：

   bash复制aws ec2-instance-connect send-ssh-public-key \
     --instance-id $(curl -s http://169.254.169.254/latest/meta-data/instance-id) \
     --availability-zone $(curl -s http://169.254.169.254/latest/meta-data/placement/availability-zone) \
     --instance-os-user $username \
     --ssh-public-key file:///path/to/key.pub
   

8.2 使用Session Manager

完全避免SSH的替代方案：

1. 配置IAM权限

2. 安装SSM Agent：

   yaml复制packages:
     yum:
       amazon-ssm-agent: []
   

3. 通过AWS Console或CLI连接：

   bash复制aws ssm start-session --target $(curl -s http://169.254.169.254/latest/meta-data/instance-id)
   

9. 实际案例分享

在某金融项目中的实施经验：

1. 需求背景：

   • 需要为200+ EC2实例创建统一的审计账号
   • 每个账号需要不同的权限级别
   • 密钥需要每月轮换

2. 解决方案：

   yaml复制files:
     "/tmp/create_audit_users.sh":
       mode: "000755"
       content: |
         #!/bin/bash
         # 从Secrets Manager获取最新密钥
         KEY=$(aws secretsmanager get-secret-value --secret-id audit/key-$(date +%Y-%m) --query SecretString --output text)
         
         useradd -m -G audit audit-$(date +%m)
         echo "$KEY" > /home/audit-$(date +%m)/.ssh/authorized_keys
   

3. 实施效果：

   • 部署时间从2小时缩短到5分钟
   • 密钥轮换完全自动化
   • 通过CloudTrail实现完整审计

10. 维护与演进建议

1. 版本控制：

   • 将.ebextensions纳入代码仓库
   • 使用语义化版本控制
   • 为重大变更维护迁移脚本

2. 文档规范：

   markdown复制## 用户管理配置
   
   ### 文件位置
   `.ebextensions/add_users.config`
   
   ### 变量说明
   | 变量名 | 必填 | 示例 | 描述 |
   |--------|------|------|------|
   | USER_CONFIG | 是 | "user1:key1" | 用户配置 |
   
   ### 变更流程
   1. 修改配置文件
   2. 提交Pull Request
   3. 通过CI验证
   4. 部署到测试环境
   5. 生产环境发布
   

3. 监控指标：

   • 用户创建成功率
   • 密钥轮换及时性
   • 未使用账号清理情况

这套方案在实际项目中已经稳定运行超过2年，管理着300+ EC2实例上的用户访问。最大的收获是：自动化不仅提高了效率，更重要的是消除了人为操作的不一致性。特别是在安全合规要求严格的行业，能够精确控制每个环境的访问权限，同时保持完整的审计追踪。