2

我正在考虑使用AWS SSM Parameter Store来存储机密信息,例如部署在 EC2、Elastic Beanstalk、Fargate docker 容器等上的应用程序的数据库连接字符串。

链接的文档指出该服务是Highly scalable, available, and durable,但我找不到更多关于这意味着什么的详细信息。例如,它是否在所有区域中复制?

最好:

a) 在应用程序启动时从参数存储中读取秘密(即依赖它具有高可用性和可扩展性,即使,例如,另一个区域已经关闭)?

或者

b) 部署应用程序时在本地读取和存储机密?可以说安全性较低,但这意味着 Parameter Store 服务的任何不可用性只会影响新版本的部署。

4

2 回答 2

1

如果您想使用参数存储,请使用您的选项 a。如果获取参数调用失败,则应用程序失败。(发生这种情况,我已经看到 Parameter Store API 请求发生速率限制)请参见此处

或者

最好的选择是AWS 机密管理器。Secrets manager 是参数存储的超集。它支持 RDS 密码轮换等等。也是付费的。

于 2018-09-14T16:12:44.447 回答
0

刚刚检查了 SSM 的不受限制的吞吐量。它不在规范中,但它是ca。50请求/秒。

于 2019-01-28T19:38:50.023 回答