0

我被要求提出一个解决方案,以确保我们在 AWS 上的所有 Windows 服务器都有使用 SSM 为管理团队创建的本地帐户。我们需要能够对此进行审核并确保可以轻松更改密码。我知道,我知道,我应该喜欢域名的功能,但无论出于何种原因,这是不允许的!

使用 powershell 脚本创建文档很好,但将密码放入脚本是一个问题,这需要纯文本。

我想我可以使用 AWS KMS 加密密码并让 SSM 即时解密它们。问题是我无法让解密仅适用于 SSM 而不适用于登录服务器的任何人。如果有人可以解密密码,那么它也可以是纯文本:/

我希望这是有道理的!

任何想法或建议将不胜感激。

谢谢

4

1 回答 1

0

对你来说可能为时已晚,但我唯一能想到的是将密码作为 SSM 参数并为 ssm 创建一个父 lambda。您可以指定 lambda 以仅通过策略访问 KMS 密钥。

这增加了一个额外的步骤(必须调用 lambda 来调用和 SSM),但它允许您将访问限制到更高程度。

我相当确定 SSM 参数足以安全地传输密码,但我建议在扣动扳机之前仔细检查一下。

一个理想的解决方案是在实例上检测您是否来自 SSM,但我认为这是不可能的。

于 2018-01-22T18:37:38.190 回答