是否可以在不使用 EC2 或同等产品的情况下使用 AWS KMS 和 credstash 之类的工具,还是仅依赖 IAM 角色?
我在其他地方有一台服务器,我正在测试一些东西,最终我将考虑将应用程序迁移到 EC2 等以利用扩展。但是现在,当我设置我的部署管道等时,我想知道是否仍然可以在我的非 aws 配置服务器上使用 KMS?
我能想到的唯一可能的方法是在相关服务器上安装 AWS CLI 工具。这听起来像是正确的方法吗?
问问题
200 次
1 回答
0
@Viccari 说的是正确的(在评论中)。就您想要做的事情(存储密码)而言,AWS Parameter Store 非常适合您。有关更多信息,请参阅https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-paramstore.html。该指南明确指出您的用例:
Parameter Store 提供以下优势和功能。
- 使用安全、可扩展、托管的机密管理服务(无需管理服务器)。
最后,如果您最终使用 Parameter Store 或 KMS,您将需要存储在某处的某种凭证来获取用于调用底层 AWS 服务的 AWS STS 令牌。如果在 AWS EC2 之外工作,您将需要来自 IAM 用户的 AWS 访问密钥和 AWS 密钥。如果您在 EC2 中,IAM 实例角色将神奇地为您提供凭证并使用该角色调用这些 AWS 服务。AWS 开发工具包在幕后为您执行此操作。
但是,正如您所说,您不想在 EC2 中运行它(为了省钱或其他原因)。存储这些凭据的最快方法是将它们放在一个未跟踪的文件中(添加到您的.gitignore. 这使您可以进行本地测试,并在 EC2 中轻松运行它,而代码更改为零。有关要设置的变量,请参阅https://docs.aws.amazon.com/cli/latest/userguide/cli-environment.html。请注意,此文档讨论的是 CLI;SDK 遵循相同的行为。
于 2018-01-11T16:50:35.490 回答