我不小心将 AWS SSM 中的密码存储为字符串而不是 SecureString。然后我使用 boto3 在 Python 中访问了这个参数。我现在需要担心任何安全隐患吗?
这就是我通过 Python 访问它的方式:
client = boto3.client('ssm', region_name=REGION_NAME)
parameter = client.get_parameter(Name=abs_key, WithDecryption=True)['Parameter']
value = parameter['Value']
谢谢!
答案真的取决于你的偏执程度。通过存储为字符串而不是 SecureString,密码以明文形式存储在 Parameter Store 中。任何有权访问您的 Parameter Store 的人都可以读取密码。这包括您的 AWS 账户中具有 Parameter Store 访问权限的任何成员以及 AWS 本身。如果您担心前者,您可能希望更改密码并将新密码存储为 SecureString,选择只有适当用户才能访问的 KMS 密钥。如果您担心后者,您应该更换云提供商。
使用 boto3 检索密码不会增加您的风险或风险。当 boto 使用 AWS API(API 仅是 https)请求参数时,密码通过 TLS 加密。