包含私有信息的 AWS SSM 文档

【问题标题】:AWS SSM document with private information包含私有信息的 AWS SSM 文档
【发布时间】:2017-12-12 15:54:00
【问题描述】:

有人要求我提出一个解决方案,以确保我们在 AWS 上的所有 Windows 服务器都使用 SSM 为管理团队创建了本地帐户。我们需要能够对此进行审核并确保可以轻松更改密码。我知道,我知道,我应该喜欢域名的功能,但无论出于何种原因,这是不允许的!

使用 powershell 脚本创建文档很好,但是将密码放入脚本是一个问题,并且需要使用纯文本。

我认为我可以使用 AWS KMS 加密密码并让 SSM 即时解密它们。问题是我无法让解密仅适用于 SSM 而不适用于登录服务器的任何人。如果有人可以解密密码,那么它也可以是纯文本:/

我希望这是有道理的!

如有任何想法或建议,我们将不胜感激。

谢谢

【问题讨论】:

    标签: powershell amazon-web-services aws-kms amazon-systems-manager aws-ssm


    【解决方案1】:

    对您来说可能为时已晚,但我唯一能想到的是将密码作为 SSM 参数并为 ssm 创建一个父 lambda。您可以指定 lambda 以仅通过策略访问 KMS 密钥。

    这增加了一个额外的步骤(必须调用 lambda 来调用和 SSM),但它允许您将访问限制到更高的程度。

    我很确定 SSM 参数足以安全地传输密码,但我建议在扣动扳机之前仔细检查一下。

    理想的解决方案是在实例上检测您是否来自 SSM,但我认为这是不可能的。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2020-10-27
      • 1970-01-01
      • 2022-11-02
      • 1970-01-01
      • 2015-03-03
      • 2020-09-25
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode