AWS Secret Manager 中的密钥 ID

【问题标题】:Secret Id in AWS Secret ManagerAWS Secret Manager 中的密钥 ID
【发布时间】:2020-06-18 18:59:30
【问题描述】:

我们在 AWS 环境中部署了完整的应用程序,我们发现 AWS Secret Manager 是存储数据库和其他一些组件的秘密的正确选择。

我们的最终目标是不在配置文件/数据库中存储任何凭据。它是使用 AWS Secret Manager 实现的。

但是当我尝试连接 AWS Secret Manager 以检索密钥值时,我看到它需要一个类似“secret-id”的字段,如下所示,我需要保护这个 secret-id在某个位置,以便我可以在应用程序中使用它来访问秘密值。 

aws secretsmanager get-secret-value --secret-id tutorials/MyFirstTutorialSecret

【问题讨论】:

  • secret-id 不需要保密。该 ID 的 就是秘密。 secret-id 告诉 Secrets Manager 要检索哪个 值。

标签: amazon-web-services amazon-s3 aws-secrets-manager


【解决方案1】:

如果你想隐藏你的secret-id,你最好有另一个安全层。将那些secret-id 存储在某个地方,AWS DynamoDB 怎么样?

|   id   |            secret-id          |
| abc123 |tutorials/MyFirstTutorialSecret|

然后创建一个自定义脚本(Bash/Python),只有您和特权用户才能访问?

$MYSECRETID = <Retrieve it from DynamoDB using `id` key>
aws secretsmanager get-secret-value --secret-id $MYSECRETID

【讨论】:

  • 这个秘密 ID 是什么以及为什么 aws 秘密管理器需要它?
【解决方案2】:

AWS 不允许您随意使用,因为它使用密钥名称作为 ARN 的一部分。但是,您可以尝试像@leondkr 建议的那样进行一些间接操作,或者使用策略来限制谁甚至可以列出存在的秘密。这可以在 IAM 或秘密资源策略中完成。有关详细信息,请参见此处:https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html 您可能要限制的权限是 secretsmanager:ListSecrets。

以下是该服务的 IAM 操作:https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecretsmanager.html

【讨论】:

    猜你喜欢
    • 2021-04-11
    • 1970-01-01
    • 2020-07-07
    • 2021-07-17
    • 2023-01-02
    • 2019-09-19
    • 2021-09-10
    • 2020-12-25
    • 2020-12-07
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode