无法将 AWS IAM 角色与 KMS 提供程序一起用于 MongoDB 客户端字段级加密?

【问题标题】:Can't use AWS IAM Roles with KMS Providers for MongoDB Client Side Field Level Encryption?无法将 AWS IAM 角色与 KMS 提供程序一起用于 MongoDB 客户端字段级加密?
【发布时间】:2020-04-24 08:44:59
【问题描述】:

我使用 EC2 Instance profile credentials 允许 AWS EC2 实例访问其他 AWS 服务。

最近,我实施了MongoDB Client-Side Field-Level Encryption,AWS KMS 已用作 KMS 提供程序。 MongoDB Documentation for CSFLE 提到 KMS 提供者应该具有映射到 IAM 用户的密钥和访问密钥。

这样我将不得不创建另一个 IAM 用户,然后单独维护这些凭证。一种更简单(也更安全)的方法是使用来自software.amazon.awssdk:authDefaultCredentialsProvider,并且可以使用可以访问KMS 的实例配置文件中的凭据。但这对我不起作用,并且由于 KMS 拒绝使用的安全令牌,MongoClient 失败。

不允许这种方式访问​​KMS有什么原因吗?

【问题讨论】:

    标签: mongodb amazon-web-services amazon-iam spring-data-mongodb aws-kms


    【解决方案1】:

    与所有项目一样,CSFLE 的初始实施也有一定范围。此范围不包括使用实例角色进行凭据识别的能力。

    建议您将请求提交至https://feedback.mongodb.com/ 以供考虑。

    【讨论】:

    • 谢谢!我实际上后来遇到了提到这个范围的specification for MongoDB CSFLE。我还看到这在仍处于测试阶段的newer version of MongoDB driver 4.1 和具有 mongodb 驱动程序版本提升的spring-data-mongodb 3.0.0.M4 中实现。希望它尽快发布。
    • 这里提到的 MONGODB-AWS 身份验证机制是针对 MongoDB 服务器的客户端身份验证,这不适用于 FLE(或您在此处查询)。
    • 哦,我猜想它是通用的,任何 MongoClient 都应该能够使用相同的 AWS 身份验证机制进行身份验证,即使客户端配置为 CSFLE,因为它仍在尝试访问 AWS服务。但是感谢@Oleg 澄清这一点,如果这有助于优先考虑该功能,我可能会提交相同的反馈。
    猜你喜欢
    • 2021-03-07
    • 2017-09-14
    • 2023-03-10
    • 1970-01-01
    • 2016-12-16
    • 1970-01-01
    • 2022-01-12
    • 2021-02-12
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode