amazon-web-services - AWS SSM 参数存储可靠性

我正在考虑使用AWS SSM Parameter Store来存储机密信息，例如部署在 EC2、Elastic Beanstalk、Fargate docker 容器等上的应用程序的数据库连接字符串。

链接的文档指出该服务是Highly scalable, available, and durable，但我找不到更多关于这意味着什么的详细信息。例如，它是否在所有区域中复制？

最好：

a) 在应用程序启动时从参数存储中读取秘密（即依赖它具有高可用性和可扩展性，即使，例如，另一个区域已经关闭）？

或者

b) 部署应用程序时在本地读取和存储机密？可以说安全性较低，但这意味着 Parameter Store 服务的任何不可用性只会影响新版本的部署。

标签： amazon-web-servicesaws-ssm

如果您想使用参数存储，请使用您的选项 a。如果获取参数调用失败，则应用程序失败。（发生这种情况，我已经看到 Parameter Store API 请求发生速率限制）请参见此处。

或者

最好的选择是AWS 机密管理器。Secrets manager 是参数存储的超集。它支持 RDS 密码轮换等等。也是付费的。