У нас есть экземпляр EC2, входящий в состав конфигурации автомасштабирования. Этот экземпляр может извлекать учетные данные AWS с помощью назначенной ему роли IAM. Тем не менее, экземпляру нужна настройка , некоторые из которых чувствительны (пароли к ресурсам, отличным от EC2), а некоторые из них не являются (параметры конфигурации).Предоставление учетных данных без AWS экземпляру EC2 при запуске
Кажется, что best practice from AWS предназначен для хранения конфигурации экземпляра в IAM и получения его во время выполнения. Проблема, с которой я сталкиваюсь в этом подходе, заключается в том, что конфигурация сидит незащищенной в ведре S3 - некорректная политика может выставлять ее сторонам, которые никогда не хотели ее видеть.
Какова наилучшая практика для достижения моей цели, чтобы данные конфигурации, хранящиеся в S3, также были зашифрованы?
PS: Я прочитал this question, но это не касается моих потребностей.
+1 «правильно установить политику», но вся точка зашифрованных учетных данных должна иметь глубину защиты. Как бы вы расшифровали данные в экземпляре, когда он закручивается? Как ключ дешифрования попадает туда? Имейте в виду, что экземпляр возник из-за автомасштаба, поэтому вмешательство человека не происходит. –
AWS Security рекомендовала использовать их непосредственно для экземпляров через SSH в прошлом. Хотя, вероятно, они не думали о автоматическом масштабировании. Что, если вы поместите ключ дешифрования в файл в развертывание приложения? –
Райан, помещая ключ дешифрования на коробке - это путь. –