为 AWS Lambda 存储 SSH 私钥的标准做法是什么
What is standard practice for storing private SSH keys for AWS Lambda
我的 lambda 函数负责通过 ssh 连接到我们的一些 EC2 实例。目前我只是将我们的密钥文件存储在 lambda 的部署包中,但这显然不是生产的理想解决方案。我已经研究了几种方法,例如将密钥存储在私有 S3 存储桶中,并将其存储为加密的环境变量。但是,我对一直从 S3 存储桶中提取密钥并不感到兴奋,而且加密的环境变量似乎也不会在未来的 lambda 函数中持续存在。存储供 lambda 使用的私钥的其他一些行业标准方法是什么?
您可以在 Secrets Manager or in Parameter Store 中存储加密的秘密。对于某些类型的密文,您可以让它们在 Secrets Manager 中自动轮换。限制哪些 IAM 角色可以访问机密,您可以减少潜在的滥用。
此外,请注意可用于避免需要通过 SSH 连接到 EC2 实例的选项:
我的 lambda 函数负责通过 ssh 连接到我们的一些 EC2 实例。目前我只是将我们的密钥文件存储在 lambda 的部署包中,但这显然不是生产的理想解决方案。我已经研究了几种方法,例如将密钥存储在私有 S3 存储桶中,并将其存储为加密的环境变量。但是,我对一直从 S3 存储桶中提取密钥并不感到兴奋,而且加密的环境变量似乎也不会在未来的 lambda 函数中持续存在。存储供 lambda 使用的私钥的其他一些行业标准方法是什么?
您可以在 Secrets Manager or in Parameter Store 中存储加密的秘密。对于某些类型的密文,您可以让它们在 Secrets Manager 中自动轮换。限制哪些 IAM 角色可以访问机密,您可以减少潜在的滥用。
此外,请注意可用于避免需要通过 SSH 连接到 EC2 实例的选项: