是否可以将 AWS API 网关 API 密钥存储在秘密管理器中并轮换它们

【问题标题】:Is it possible to Store AWS API gateway API keys in secret manager and rotate them是否可以将 AWS API 网关 API 密钥存储在秘密管理器中并轮换它们
【发布时间】:2020-06-01 14:20:30
【问题描述】:

我想创建多个 API 密钥并在客户之间分发,一旦我创建了一个 API 密钥并将其附加到使用计划中,我想将其保存到秘密管理器,秘密管理器可以将轮换策略应用于 API 中的 API 密钥网关还是我们需要开发自己的机制呢? 我看到它可以将轮换策略应用于 AWS 数据库凭证,但对于 AWS API 密钥却没有看到。

【问题讨论】:

  • @vicky-shrestha 过得怎么样?我认为这行不通。因为 API 密钥既用于识别服务的用户/消费者,也用于作为实际秘密。因此,随着 API 密钥的传入,您必须遍历 Secrets Manager 中的所有条目才能找到匹配项。没有这样的界面。比如使用basic-auth,用户名可以用来查找相关的secret-id,然后就可以获取和验证secret。我看到的唯一选择是密钥的格式是否允许从中提取秘密 ID。对您如何解决这个问题感兴趣。
  • @Tieske 抱歉回复晚了,我们没有采用 API 密钥的轮换政策。

标签: amazon-web-services api aws-lambda aws-api-gateway aws-secrets-manager


【解决方案1】:

没有像 RDS 这样的解决方案,您只需输入凭据,它就会为您完成,但是,Secrets Manager 支持的本机解决方案可以满足您的目的。

Secrets Manager 支持 Lambda Rotation,由此它将调用您选择的 Lambda,该 Lambda 执行其所需任务,然后返回新密钥以存储在 Secrets Manager 中。

所以您的解决方案看起来与此类似

Secrets Manager -> Invoke Lambda -> Create new key and retire old key(s) -> Return new key to secrets manager

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2019-05-05
    • 2021-03-18
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2022-01-26
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode