私的情報のあるAWS SSMドキュメント

Question

私は、AWSのすべてのWindowsサーバにSSMを使用して管理チーム用に作成されたローカルアカウントがあることを確認するソリューションを考え出すように求められました。これを監査し、パスワードを簡単に変更できるようにする必要があります。私は知っている、私は知っている、私はちょうどドメインが何かをする必要がありますが、許可されていない何らかの理由で！

文書をpowershellスクリプトで作成するのは問題ありませんが、パスワードをスクリプトに入れることは問題であり、これはプレーンテキストで行う必要があります。

私はAWS KMSを使用してパスワードを暗号化し、SSMで暗号化を解読できると考えました。問題は、復号化をSSMだけで動作させることができず、サーバーにログオンする誰のためでもないことです。もし誰かがパスワードを解読できれば、それは平文でもよいでしょう：/

私はそれが理にかなっていることを望みます！

ご意見やご忠告をお寄せいただきありがとうございます。

おかげ

Answer 1

はあなたのために遅すぎるかもしれないが、私は考えることができる唯一のことは、SSMパラメータとしてパスワードを持っているとSSMの親ラムダを作成することです。ラムダを指定して、ポリシーを介してのみKMSキーにアクセスすることができます。

これは追加のステップ（呼び出しとSSMにラムダをコールする必要があります）を追加しますが、より高度なアクセスを制限できます。

私はSSMパラメータが十分に安全であると確信していますが、私はトリガーを引っ張る前にそれをダブルチェックすることをお勧めします。

理想的な解決策は、あなたがSSMから発信されているかどうかをインスタンスで検出することですが、それは可能だとは思いません。