在代码中设置 AWS 凭证的推荐方法

Question

我正在寻找在我的应用程序中设置 aws 凭据的最佳方式（如果存在），该应用程序在非 EC2 实例上运行。截至目前，代码适用于配置文件和\或环境变量，但我想知道是否有办法从代码中设置 aws 凭据。即我如何确保我的代码在运行时获取我从另一个内部服务获得的 aws_access_key_id 和 aws_secret_access_key 值？

为我提供凭据的服务是受信任的内部服务（不暴露在我们的网络之外），并且提供了很大的灵活性 w.r.t.更改 creds 运行时，无需新部署或无需接触产品框。

Answer 1

对于您所描述的内容，即您不在机器上使用 Ec2 角色，推荐的方式是在 app.config 中，因此您可以在需要恕我直言时灵活更改它们。但是添加了一些东西。

加密您的 app.config

我相信您可以使用对 App.config 设置的加密来提高安全性。

本指南可以帮助您。 https://magenic.com/thinking/encrypting-configuration-sections-in-net

将您的 Api 访问密钥限制在您需要的范围内。

您应该确保为特定用户设置了对其所需资源的特定权限，而不是其他任何东西。即不要对您的 app.config 使用您的编程访问权限。设置一个新的。

每 3 个月或更早轮换该程序化密钥

确保您轮换密钥并查看访问权限级别。