Ezek AWS instance-ok szétszórva több régió és account között, nem egyedi gépek. Egy sablonból indulnak el ahogy a terhelés kívánja. Az AWS lehetőséget ad arra hogy beállíts egy, azaz egy darab publikus kulcsot a sablonban. Ehelyett van most az hogy a gép konfigurációjában van a CA definiálva és minden admin kolléga, nem vagyunk sokan, saját kulcsot használ, nem egy közöset. Így eszköz elvesztése esetén nem kell megint végigtolni egy sablon módosítást minden gépen ami alsó hangon is egy hét.
AD, LDAP itt nem játszik, a gépeknek teljesen önjárónak kell lenniük, izolált környezetben is működniük kell a boot során kapott konfiggal.
A Vaultot ismerem, használtuk és várhatólag fogjuk is ismét használni - most más van helyette. Dedikált security team nincs, elvileg az infrahoz tartozik az is (kis cég, kis foci). Az átszerveződést meg már régóta javaslom, de nem az én szintemen dől el.