4

私の弾力性のあるbeanstalkアプリケーションには、機密性の高い環境変数(APIキー、ハッシュシークレットなど)が多数あります。ほとんどの開発者がconfigなどを表示および編集できるようにAWSをセットアップしたいが、これらの環境変数のいくつかを見ることはできない。たとえば、開発者が離れるたびにこれらのすべてを変更する必要がある場合は、大きなオーバーヘッドになります。AWS Elastic Beanstalkに環境変数を隠す方法はありますか?

少なくともElastic Beanstalkでは、設定に完全なアクセス権があるか、アクセスできないと思われます。アクセス権を完全に削除すると、開発者はできないことになりますデプロイメントが失敗した理由などの基本的なこと。

環境変数に別のアプローチがあると、私はdevsにこの設定へのアクセスを許可するかもしれませんが、機密性の高いものは隠してしまいます。私は秘密のenvをサーバー上のファイルに置くことができますか?

これを行う別の方法はありますか?

+1

秘密とパスワードを格納するボールトを確認することができます。 Googleではボールトを使用してAWSのクレジットを保管します。ボールトに関する詳細はhttps://www.vaultproject.io/を参照してください。 –

+0

すごい!クリスマスの読書をしますか? – MDalt

答えて

0

これに近づく方法の1つは、Elastic Beanstalk EC2インスタンスのIAMロールを使用することです。開発者がアクセスできないが、特定の役割を担っているため、EC2インスタンスがアクセスできるリソースに情報を格納することができます。

Amazonは、S3暗号化バケットとAWS KMSを使用して暗号化キーを保存する方法について、blog postを持っています。これは、EC2コンテナサービスのDockerコンテナに使用することですが、原則は同じです。