如何保护备份脚本,使我不必硬编码密码?
如何保护备份脚本,使我不必硬编码密码?
提问于 2019-12-09 06:43:48
我有一个安全和私有的aws ec2环境,但是我需要对mongodb、postgresql做一些备份,所以我有一个单独的ec2实例来执行备份,偶尔允许80和443允许在备份实例上安装/更新软件。
我使用shell脚本进行备份工作,它需要硬编码的密码或脚本中的凭据,我觉得它不够安全,无法将所有凭据保存到一个位置-备份实例中。
如何保护备份实例以避免在纯文本中保存密码/凭据,我也希望避免将密码/凭据保存在内存或临时文件中?
回答 1
Security用户
发布于 2019-12-12 06:04:40
您是否尝试过AWS秘密管理器(或参数存储)。它正是为了这个目的而建造的。
为备份过程创建一个独立的IAM角色,并授予所需的IAM角色的EC2实例。然后修改脚本以调用Secrets以获取凭据,并且除了在运行过程的内存中以外,不要存储这些凭据。(即,一旦过程是一个过程,就清除它)。
在后台,EC2实例将有一个元数据实例,该元数据实例发出标记,脚本可以使用这些令牌来调用Secrets。一旦它能够调用机密管理器,它就可以获得调用DB的实际db凭据。更深层次的是,元数据服务只为IAM角色发出临时令牌,这使得这种方法更好。
更老的-skool方法是为IAM角色生成API键,并将这些凭据硬编码到EC2的~/..aws/凭据位置。然后,AWS将使用它来调用具有相同概念的AWS秘密管理器。
最终,概念是相同的,使用API键调用返回实际使用凭据的API。该API调用将被记录(cloudtrail),并且只返回调用所需的凭据。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/222468
复制相关文章
相似问题
腾讯云开发者
