私はいくつかのAWSインスタンスを自動的に作成し、その上でスクリプトを実行するアプリケーションを持っています。aws自動化プロセスで使用するためのパスワード暗号化
各スクリプトはしなくても、それを行うための最も安全な方法は何ですか...等私は公共のDNSホスト名を提供する必要があるため、リモートDB、DBのパスワード、DBユーザー名、に接続するために
をしようとします普通のパスワードを保存しますか?
他の誰かが同じスクリプトを実行してその資格情報を取得するリスクはありませんか?
どうもありがとう
あなたはAWS SSM service's Parameter Storeを使用することができます。
パラメータストアは、構成データの管理を一元化 - あなたは、一般的に参照する こと - パスワード、ライセンスキー、またはデータベース接続文字列として スクリプト、コマンド、その他の自動化、および 構成ワークフローで使用できます。 ユーザーのアクセスと、機密データの強力な暗号化( パスワードなど)を管理するためのきめ細かいセキュリティコントロールを使用すると、全体的なセキュリティの姿勢が に向上します。パラメータストアによるパラメータの暗号化は、すべての地域でサポートされていない です。
パラメータストアの値にアクセスできるIAMロールを作成し、そのロールを動的に作成するEC2インスタンスに割り当てます。スクリプトはAWS SDK/CLIを使用してパラメータストアからそれらの値を取得できます。データベースが(この時点でのみ、MySQLとオーロラ)RDSデータベースthat supports IAM authenticationある場合
また、あなたは、データベースへの直接アクセスを持っているIAMロールを作成し、EC2インスタンスにその役割を割り当てることができます。