amazon-web-services - 在 AWS Lambda 包中存储机密
问题描述
我目前正在我的 Lambda 中存储一个 Google Cloud 私钥文件。它从源代码控制中排除,并在上传到 AWS 之前打包到最终的 lambda zip 文件中。
这安全吗?
我知道由于各种原因(出现在日志中等),在环境变量中存储秘密是一个坏主意,但我目前不知道我这样做的方式是否不好(我的知识空白)。
我知道 KMS 存在用于加密机密,但使用它似乎需要做更多的工作,并且每次调用我的 lambda 时(或每次我的 lambda 获取新的执行上下文时)都必须请求解密文件似乎效率低下。
解决方案
参数存储可用于存储AWS Service: Systems Manager提供的密码/秘密文本。
以下是示例:
IAM 策略可以限制对这些密码的访问,遵循 IAM 策略指南 参数存储
可以附加一个 Lambda 角色,您可以通过该角色查询密码/秘密文本。无需文件解密。只需 1/2 API 调用。
推荐阅读
- sql - SQL 条件行号重置
- python - 如何修复“ValueError:没有足够的值来解包(预期 2,得到 1)”
- ios - 是否可以在不使用第三方解决方案的情况下创建在 iOS 应用安装后仍然存在的深层链接?
- python - TensorFlow 中 model.predict 的进展?
- php - 如何使用 Laravel 在 MySQL 中插入表情符号?
- reactjs - 如何在 reactjs 中处理刷新令牌
- python - 使用 fastText 进行文本分类的文本预处理
- node.js - mongoose:无法为模型名称“SchemaName”在 `_id` 上指定自定义索引,MongoDB 不允许覆盖默认的 `_id` 索引
- python - 带有元组和frozensets的“is”关键字
- django - 借助表单将图像插入数据