AWS kimlik bilgilerini kişisel bir makinede güvenli bir şekilde depolama

10

AWS kimlik bilgilerini kişisel makinelerde nasıl güvenli bir şekilde saklayabilirim?

Detayda:

Ekibimizdeki herkes yönetici görevleri için AWS güvenlik kimlik bilgilerine ihtiyaç duyar (kimlik bilgileri rolle ayrılır). Bu kimlik bilgileri genellikle diskteki bazı yapılandırma dosyalarında düz metin olarak depolanır. Özellikle kimlik bilgilerinin ekip üyeleri üzerinde dağıtıldığı, yedekle sonuçlandığı vb.

Bu kimlik bilgilerini şifrelenmiş biçimde (örneğin ssh anahtarlarına benzer) depolamayı tercih ederim. Bunu yapmanın otomatik bir yolu var mı? Veya verileri şifrelemek için openssl kullanan bazı bash betiğini kesmek zorunda mıyım?

Bir EC2 örneğinde kimlik bilgilerinin nasıl güvence altına alınacağı konusunda web üzerinde çok fazla bilgi var. Bu Amazon IAM rolleri işlevselliği bile var , ancak sadece EC2 için de geçerli.

linux  security  amazon-web-services  credentials 
arnuschky
kaynak
1
Bu harika bir soru ve cevaplarla çok ilgileniyorum.
ceejayoz

Yanıtlar:

4

https://github.com/realestate-com-au/credulous araştırmaya değer olabilir. Proje açıklamasından:

credulous AWS (IAM) Kimlik Bilgilerini güvenli bir şekilde yöneten bir komut satırı aracıdır . Amaç, bir kullanıcının genel SSH Anahtarını kullanarak kimlik bilgilerini şifrelemektir, böylece yalnızca ilgili özel SSH anahtarına sahip olan kullanıcı bunları görebilir ve kullanabilir. Ayrıca araç , kullanıcının geçerli iş akışını bozmadan mevcut kimlik bilgilerini kolayca döndürmesini de sağlar .

Http://techblog.realestate.com.au/protecting-your-aws-keys-with-credulous/ adresinde tanıtıcı bir blog makalesi bulunmaktadır .

mvermaes
kaynak
Harika, bu tam olarak aradığım şeydi (ve kendi başıma bulmayı başaramadığım şey ...)
arnuschky
Yves M.
4

Harika bir soru -ve cevap veren kişiye bağlı olarak, muhtemelen gitmek için birkaç yol olacak. Size ne kullandığımızın bir örneğini vereceğim:

  1. Kullanıcıya dayalı IAM rolleri oluşturun (geliştirici, altyapı, güvenlik, denetim, vb.) - Kullanıcı erişimine dayalı belirli eylemlere izin vermek veya reddetmek için ilkeyi özelleştirin.

Örnek: yönetici için tüm ec2 işlemlerine izin ver. Veya yalnızca bir geliştirici vb. İçin bir etikete veya alt ağa dayalı erişime izin verin.

  1. Belirli IAM rollerini kullanarak ec2 Linux örneklerini başlatın. Her bir belirli rol veya kullanıcı için bir örnek başlatın (örnek boyutunu / türünü ihtiyaca, bütçeye vb. Göre ayarlayın)

  2. Her örnek için güvenlik grubunu, yalnızca belirli alt ağlara veya tek tek IP'lere izin verecek şekilde yapılandırın, böylece SSH'ye trafik girişini kilitleyebilirsiniz.

  3. SSH için özel bir kullanıcı / şifre belirleyin veya alan adına katılın.

  4. Her bir kullanıcının rolüne veya kullanıcı erişimine atanmış Linux örneğinde oturum açma veya SSH olmasını sağlayın.

  5. API anahtarları ve erişim artık IAM rolünün kendisinden devralınır ve bu da kullanıcı anahtarlarının saklanmasıyla alakasız hale gelir. Güvenlik grubunu kilitlediğinizden emin olun, sadece Linux kutusundaki belirli kullanıcılara erişim verin. Kullanıcı AWS API kullanarak komut dosyaları yazabilmeli / API araçları işlevini normal şekilde kullanabilmelidir.

Bu yöntemi yaklaşık bir yıldır kullanıyoruz - kiralık erişim süresi gibi ek güvenlik ayarlarıyla AWS HSM'ye satın aldık ve harika çalışıyor.

Umarım bu size veya başka birine yardımcı olur.

Scott Moore
kaynak
Güzel fikir, teşekkürler! Bunu düşünmedim. Şu anda ilgili maliyetler nedeniyle bizim için bir seçenek yok, ama bunu aklımda tutacağım.
arnuschky
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.