mongodb - 无法将 AWS IAM 角色与 KMS 提供程序一起用于 MongoDB 客户端字段级加密?
问题描述
我正在使用 EC2实例配置文件凭证来允许 AWS EC2 实例访问其他 AWS 服务。
最近,我实施MongoDB Client-Side Field-Level Encryption
了 AWS KMS 已用作 KMS 提供程序。CSFLE的MongoDB 文档提到 KMS 提供程序应该具有映射到 IAM 用户的密钥和访问密钥。
这样,我将不得不创建另一个 IAM 用户,然后单独维护这些凭证。一种更简单(也更安全)的方法是使用DefaultCredentialsProvider
fromsoftware.amazon.awssdk:auth
并且可以使用来自实例配置文件的凭据,该凭据可以授予对 KMS 的访问权限。但这对我不起作用,并且 MongoClient 失败,因为 KMS 拒绝使用的安全令牌。
不允许这种访问 KMS 的方式有什么原因吗?
解决方案
与所有项目一样,CSFLE 的初始实施是有范围的。此范围不包括使用实例角色进行凭证识别的能力。
我建议您将您的请求提交到https://feedback.mongodb.com/以供考虑。
推荐阅读
- javascript - 您如何在 Fluid Framework 中管理数据?
- python - 如何绘制按计数值排序的列词
- python - 如何将 STDIN 两次发送到 Popen 进程,每次都使用 EOF?
- python - 可视化时间序列的最佳方法,其中数据仅存在季节性
- reactjs - 在 react.js 上使用 Axios 从 API 中提取数据。我究竟做错了什么?
- android - Android:两种方式数据绑定调用editText中每个字符的更改
- php - 如何从 HTML 调用 PHP 来获取 url?
- google-sheets-api - Google Sheets API 中是否有访问脚本编辑器的方法?
- php - 找不到匹配版本的包 ext-mysql_xdevapi
- c# - 用于检查资格的嵌套 If 语句