Bagaimana saya bisa menyimpan kredensial AWS dengan aman di mesin pribadi?
Secara terperinci:
Semua orang di tim kami membutuhkan kredensial keamanan AWS untuk melakukan tugas administratif (kredensial dipisahkan oleh peran). Kredensial ini biasanya disimpan dalam plaintext di beberapa file konfigurasi pada disk. Saya pikir ini sangat tidak aman, terutama mengingat kredensial dibagikan kepada anggota tim, berakhir di cadangan dll.
Saya lebih suka menyimpan kredensial ini dalam bentuk terenkripsi (mirip dengan kunci ssh, misalnya). Apakah ada cara otomatis untuk melakukannya? Atau apakah saya perlu meretas beberapa skrip bash yang digunakan misalnya openssl untuk mengenkripsi data?
Ada banyak informasi di web tentang cara mengamankan kredensial pada instance EC2. Bahkan ada fungsi peran IAM Amazon ini , tetapi juga berlaku hanya untuk EC2.
sumber
Jawaban:
https://github.com/realestate-com-au/credulous mungkin perlu diselidiki. Dari deskripsi proyek:
Ada artikel blog pengantar di http://techblog.realestate.com.au/protecting-your-aws-keys-with-credulous/ .
sumber
Pertanyaan yang bagus - dan tergantung pada orang yang menjawab, Anda mungkin akan memiliki beberapa rute untuk ditempuh. Saya akan memberi Anda contoh apa yang kami gunakan:
Contoh: izinkan semua tindakan EC2 untuk administrator. Atau hanya izinkan akses berdasarkan tag atau subnet untuk pengembang, dll.
Luncurkan instance ec2 Linux menggunakan peran IAM tertentu. Luncurkan instance untuk setiap peran atau pengguna tertentu (sesuaikan ukuran / jenis instance sesuai dengan kebutuhan, anggaran, dll)
Konfigurasikan grup keamanan untuk setiap instance untuk hanya membolehkan subnet atau IP individu tertentu, sehingga Anda dapat mengunci masuknya lalu lintas ke SSH.
Tetapkan pengguna khusus / kata sandi untuk SSH atau bergabung ke domain.
Mintalah setiap pengguna masuk atau SSH ke instance Linux ditugaskan untuk peran atau akses pengguna mereka.
Kunci dan akses API sekarang diwarisi dari peran IAM itu sendiri - membuat kebutuhan untuk menyimpan kunci pengguna menjadi tidak relevan. Pastikan untuk mengunci grup keamanan, hanya berikan akses ke pengguna tertentu di kotak Linux. Pengguna harus dapat menulis skrip menggunakan AWS API / menggunakan fungsionalitas API tools seperti biasa.
Kami telah menggunakan metode ini selama sekitar satu tahun sekarang - dengan tweak keamanan tambahan, seperti waktu akses sewaan, dibeli di AWS HSM dan ini bekerja dengan baik.
Semoga ini bisa membantu Anda atau orang lain di luar sana.
sumber