我正在为 ECS 任务设置任务定义。任务中容器上的一个环境变量是一组凭据,当前作为 SecureString 存储在 Parameter Store 中。我想知道不直接将其作为环境变量存储在任务容器中的理由是什么?
将其存储在 Parameter Store 中似乎带来的唯一增加的安全性是 AWS 用户和资源可以被分割为无法直接访问它,但还有其他原因吗?
我正在为 ECS 任务设置任务定义。任务中容器上的一个环境变量是一组凭据,当前作为 SecureString 存储在 Parameter Store 中。我想知道不直接将其作为环境变量存储在任务容器中的理由是什么?
将其存储在 Parameter Store 中似乎带来的唯一增加的安全性是 AWS 用户和资源可以被分割为无法直接访问它,但还有其他原因吗?
Parameter Store 和/或 Secrets Manager 将充当所有需要访问您的密钥值的服务的单一事实来源。当这些秘密值发生变化时,它会为您提供一个需要更新的位置。它使用 KMS 加密安全地存储值,并通过 IAM 提供对您个人秘密值的访问控制。
如果您将您的机密直接嵌入您的 ECS 任务定义中,那么以上都不是真的。
您将使用参数存储来避免将凭据放入其他人可以读取的 GIT 等版本控制中。不过,不确定您打算如何将变量存储在任务的容器中。也许你可以澄清一下。