问题标签 [secret-manager]

我正在尝试使用 AWS Secret Manager 轮换密码。但是我在执行 UpdateSecret 或 PutSecret 时遇到了超出限制的异常。目前我只有一个版本的秘密。在 AWS 文档中，我发现每个密钥有 ~100 个版本的限制。

这是 list-secret-version-ids 的输出

到目前为止我还没有找到任何解决方案。请建议我如何解决这个问题。提前致谢。

我有一个用于连接 Aurora Mysql 数据库的 AWS Glue Python 脚本。为此，我尝试使用 AWS SecretManager，这样我就不必在脚本中硬编码数据库凭证。

虽然我能够成功使用 secretmanager 并在我的 AWS Glue 脚本中使用它来连接到 RDS，但我看到凭证不是秘密的，如果我打印包含数据库凭证的变量的内容，我可以看到cloudwatch 日志中的密码、用户名等。

请在此处找到代码片段：

有什么方法可以加密用户名/密码凭据。我们可以使用 AWS KMS 吗？我没有在这方面尝试过 KMS，但想在使用其他 AWS 服务之前获得建议。如果没有，除了secretmanager，我们如何屏蔽数据库凭证。

谢谢

我已按照 Microsoft为 ASP.Net Core 设置 Microsoft 外部登录的说明进行操作，但我已将客户端 ID 和客户端密码直接粘贴到代码的 Startup.cs 中。一切正常，但我担心安全性。这是不好的做法/不推荐吗？还是我一定要使用Secret Manager并从那里引用它们？

我正在使用 AWS ECS 服务来编排我的 docker 容器。

还使用 Secret Manager 存储和检索个人信息。

我将SecretsManagerReadWrite政策应用于我的ecsTaskExecutionRole和ecsServiceRole。

在使用之前Fargate，我只是将 ECS 与 EC2 一起使用。

它工作正常。

但是在fargate，它抛出NoCredentialsError

我通过使用 boto3 制作的 python 脚本获取了秘密管理器。（https://docs.aws.amazon.com/ko_kr/code-samples/latest/catalog/python-secretsmanager-secrets_manager.py.html）

这里有什么解决办法吗？

谢谢。

自定义权限

我有一个 SpringBoot 2.1.4.RELEASE RESTful Web 服务应用程序，使用 Spring Initializer、嵌入式 Tomcat、Thymeleaf 模板引擎，并打包为可执行 JAR 文件，该文件使用由 JWT 保护的第三方 REST API，所以我需要将普通用户名和密码存储在 WebApp 中以对 API 进行身份验证，我想知道保留凭据的最佳做法是什么

1) 在 HttpSession 对象中？

2）在数据库中作为计划文本？

对于我们的产品，我们决定实施一个秘密管理工具（AWS 秘密管理器），它将安全地存储和管理我们所有的秘密，例如数据库凭证、密码和 API 密钥等。

通过这种方式，秘密不会存储在代码、数据库或应用程序的任何地方。我们必须提供 AWS 凭证 - 访问密钥 ID 和秘密访问密钥，以便以编程方式访问 Secrets manager 的 API。

现在出现的最大问题是，该初始信任（用于验证 AWS 机密管理器的凭证）保存在哪里。这是一个引导问题。同样，我们必须在秘密存储之外、配置文件或其他地方维护一些东西。我觉得如果这受到损害，那么将所有内容存储在秘密管理工具中就没有真正的意义。

我阅读了 AWS SDK 开发人员指南，并了解有一些标准方法可以存储 AWS 凭证，例如 - 将它们存储在环境变量中、具有不同配置文件的凭证文件中以及通过对 Amazon EC2 实例使用 IAM 角色。

我们不在亚马逊云中运行/托管我们的应用程序，我们只想使用来自 AWS 云的 AWS 机密管理器服务。因此，配置 IAM 角色可能不是我们的解决方案。

是否有任何最佳实践（或）保存初始信任凭证的最佳位置？

我想在我的任务中使用 IAM 角色来使用 S3、SNS 等 AWS 服务，而不是指定用户的密钥。

我看过这篇文章https://docs.aws.amazon.com/AmazonECS/latest/userguide/task-iam-roles.html但我不确定如何在 Spring Boot 环境中实现它。

目前，我在属性文件中有用于在启动时创建 bean 的键，并且相同的 bean 用于所有 AWS 服务交互（我认为这不是一个好习惯）。

有人可以建议实现这一目标的方法。

任何人都可以提供一个简单、完整的 node.js lambda 函数，我可以从秘密管理器中获取一个秘密并使用它吗？我正在努力处理异步/等待过程。我已经尝试了其他帖子的几个建议，但最后，所有这些建议都不能真正使用 main 函数中的秘密。例如，我有一个 main 函数并调用第二个函数来检索秘密：

xxx = retrieve_secret('mysecret');

然后，在retrieve_secret 函数中，我可以检索秘密，我可以使用console.log 打印它，但是当我尝试在主函数中使用它时，它会显示“Promise”。

请帮忙。提前致谢！

我正在寻找在 blazor webassembly 应用程序中安全存储应用程序机密的方法。我们可以在下面的 MSDN 文档中找到服务器端应用程序的详细信息。

https://docs.microsoft.com/en-us/aspnet/core/security/app-secrets?view=aspnetcore-3.1&tabs=windows

我们如何将这些秘密用于完全在客户端浏览器中运行的 Blazor WebAssembly 应用程序？

我的基本场景是，需要将密码、产品密钥（许可密钥）信息保留在应用程序代码之外。例如，我们在 Program.cs 的静态 main 方法中加载许可证。

https://i.stack.imgur.com/kCrV1.png

我在 blazor 的文档中进行了搜索，但找不到任何详细信息。请帮助我在 Blazor webassembly 中找到解决此问题的推荐方法。

（对于服务器端，我们有多种选择，但对于客户端，可能是推荐的方式）

我需要对 Java 中的 AWS 秘密管理器进行单元测试，并且正在使用 Mockito 和 EasyMock 来执行此操作，并且每当我调用 client.getSecretValue() 时，它都会抛出 要测试的异常代码

例外

有人可以帮我吗？