为秘密管理器生成的数据库设置密码是否很好?
我现在用这种方式。
Type: 'AWS::SecretsManager::Secret'
Properties:
Description: 'Description'
GenerateSecretString:
SecretStringTemplate: '{"username": "username"}'
GenerateStringKey: 'password'
PasswordLength: 40
ExcludeCharacters: '"@/\'
最佳实践是什么?我是否需要为每个 RDS 设置单独的密钥管理器?在秘密管理器中存储其他值怎么样?每个应用程序都需要一个吗?
是的,在 Secret Manager 中存储数据库密码是AWS Secret Manager 用户指南中的推荐做法
您可以创建多个密钥,然后通过密钥名称或 ARN 访问它们
这样做的最大好处是您可以定期轮换您的数据库密码
您可以在aws secret manager 的最佳实践中阅读更多信息
是的,最好让 AWS 机密管理器管理轮换数据库凭证。它提高了应用程序的安全性。您的数据库凭据不再存储在您的项目配置中。秘密经理会为您处理这件事..
要了解整个操作和最佳实践,请阅读 Amazon 的此文档 - https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html
选项 2 如果您只想在项目配置之外维护您的数据库凭证并且不想自动轮换密钥,您可以在 AWS Secrets Manager 中创建一个简单的密钥来存储您的应用程序数据库凭证,然后使用读取/获取密钥 AWS SDK API(基于您的应用程序语言)在您的应用程序运行时获取数据库机密以连接数据库。