我需要从我的 Java 应用程序中安全地存储和获取 keystore.jks 和 truststore.jks 文件,以便与外部应用程序进行安全通信。
我们可以将这些文件存储在 AWS Secret Manager 中吗?
我无法找到适当的文档将 JKS 证书作为机密存储在 AWS 机密管理器中。
【问题讨论】:
标签: java amazon-web-services aws-sdk aws-secrets-manager
您可以将这些作为二进制机密存储在 SecretsManager 中,只要它们在大小限制之下。或者,您可以将它们存储在使用 KMS CMK 加密的私有 S3 存储桶中。
由于 Java 期望在 Java 应用程序启动之前存在于文件系统上的 truststore.jks 和 keystore.jks 文件,因此您需要编写 docker 容器脚本以在启动 Java 应用程序之前将文件下载到正在运行的容器中,例如通过在 Docker 映像中包含和使用 AWS CLI 工具。
要让您的 ECS 应用程序访问下载文件,您需要为 ECS 任务分配适当的 IAM 权限。
【讨论】:
您可以从 AWS Secret Manager 添加和检索证书。但这也取决于您的证书的大小。在这里阅读:Quotas for AWS Secrets Manager
AWS Secrets Manager 的密钥有各种限制,例如长度 字符 (65,536)。
阅读文档:Storing the certificates in AWS Secrets Manager
注意:您需要使用 HTTP 解析器/Lambda 解析器才能对 AWS Secrets Manager 进行 http 调用以获取密钥。
【讨论】: