无法将 AWS IAM 角色与 KMS 提供商一起用于 MongoDB 客户端字段级加密?
Can't use AWS IAM Roles with KMS Providers for MongoDB Client Side Field Level Encryption?
我正在使用 EC2 Instance profile credentials 允许 AWS EC2 实例访问其他 AWS 服务。
最近,我实施了 MongoDB Client-Side Field-Level Encryption,其中 AWS KMS 已用作 KMS 提供程序。 MongoDB Documentation for CSFLE 提到 KMS 提供程序应具有映射到 IAM 用户的密钥和访问密钥。
这样我就必须创建另一个 IAM 用户,然后单独维护这些凭据。一种更简单(也更安全)的方法是使用 software.amazon.awssdk:auth 中的 DefaultCredentialsProvider 并且可以使用实例配置文件中的凭据,这些凭据可以提供对 KMS 的访问权限。但这对我不起作用,MongoClient 失败,因为 KMS 拒绝使用的安全令牌。
是否有任何原因不允许这种访问 KMS 的方式?
作为所有项目,CSFLE 的初始实施都有一个范围。此范围不包括使用实例角色进行凭据识别的能力。
我建议您将请求提交给 https://feedback.mongodb.com/ 以供考虑。
我正在使用 EC2 Instance profile credentials 允许 AWS EC2 实例访问其他 AWS 服务。
最近,我实施了 MongoDB Client-Side Field-Level Encryption,其中 AWS KMS 已用作 KMS 提供程序。 MongoDB Documentation for CSFLE 提到 KMS 提供程序应具有映射到 IAM 用户的密钥和访问密钥。
这样我就必须创建另一个 IAM 用户,然后单独维护这些凭据。一种更简单(也更安全)的方法是使用 software.amazon.awssdk:auth 中的 DefaultCredentialsProvider 并且可以使用实例配置文件中的凭据,这些凭据可以提供对 KMS 的访问权限。但这对我不起作用,MongoClient 失败,因为 KMS 拒绝使用的安全令牌。
是否有任何原因不允许这种访问 KMS 的方式?
作为所有项目,CSFLE 的初始实施都有一个范围。此范围不包括使用实例角色进行凭据识别的能力。
我建议您将请求提交给 https://feedback.mongodb.com/ 以供考虑。