Lưu trữ thông tin xác thực AWS an toàn trên máy cá nhân


10

Làm cách nào tôi có thể lưu trữ an toàn thông tin đăng nhập AWS trên máy cá nhân?

Chi tiết:

Mọi người trong nhóm của chúng tôi đều yêu cầu thông tin bảo mật AWS để thực hiện các tác vụ quản trị (thông tin đăng nhập được phân tách theo vai trò). Các thông tin đăng nhập thường được lưu trữ trong bản rõ trong một số tệp cấu hình trên đĩa. Tôi nghĩ rằng điều này rất không an toàn, đặc biệt khi xem xét rằng thông tin đăng nhập được phân phối trên các thành viên trong nhóm, kết thúc trong bản sao lưu, v.v.

Tôi rất thích lưu trữ các thông tin này ở dạng mã hóa (ví dụ như khóa ssh chẳng hạn). Có một số cách tự động để làm như vậy? Hoặc tôi có cần hack một số tập lệnh bash sử dụng ví dụ openssl để mã hóa dữ liệu không?

Có nhiều thông tin trên web về cách bảo mật thông tin đăng nhập trên một ví dụ EC2. Thậm chí còn có chức năng vai trò IAM Amazon này , nhưng nó cũng chỉ áp dụng cho EC2.


1
Đây là một câu hỏi hay và tôi rất quan tâm đến câu trả lời.
ceejayoz

Câu trả lời:


4

https://github.com/realestate-com-au/credious có thể đáng để điều tra. Từ mô tả dự án:

đáng tin cậy là một công cụ dòng lệnh quản lý an toàn AWS (IAM) . Mục đích là để mã hóa thông tin đăng nhập bằng Khóa SSH công khai của người dùng để chỉ người dùng có khóa SSH riêng tương ứng mới có thể xem và sử dụng chúng. Hơn nữa, công cụ cũng sẽ cho phép người dùng dễ dàng xoay thông tin đăng nhập hiện tại của họ mà không phá vỡ quy trình làm việc hiện tại của người dùng.

Có một bài viết blog giới thiệu tại http://techblog.realestate.com.au/protecting-your-aws-keys-with-credificent/ .


Thật tuyệt vời, đây chính xác là những gì tôi đang tìm kiếm (và những gì tôi không thể tự mình tìm thấy ...)
arnuschky


4

Câu hỏi tuyệt vời - và tùy thuộc vào người trả lời, bạn có thể sẽ có một vài tuyến đường để đi. Tôi sẽ cho bạn một ví dụ về những gì chúng tôi sử dụng:

  1. Tạo các vai trò IAM dựa trên người dùng (nhà phát triển, cơ sở hạ tầng, bảo mật, kiểm toán, v.v.) chính sách tùy chỉnh để cho phép hoặc từ chối các hành động cụ thể dựa trên quyền truy cập của người dùng.

Ví dụ: cho phép tất cả các hành động ec2 cho quản trị viên. Hoặc chỉ cho phép truy cập dựa trên thẻ hoặc mạng con cho nhà phát triển, v.v.

  1. Khởi chạy (các) phiên bản Linux ec2 bằng các vai trò IAM cụ thể. Khởi chạy một thể hiện cho từng vai trò hoặc người dùng cụ thể (điều chỉnh kích thước / loại đối tượng theo nhu cầu, ngân sách, v.v.)

  2. Định cấu hình nhóm bảo mật cho từng phiên bản để chỉ cho phép các mạng con cụ thể hoặc IP riêng lẻ, do đó bạn có thể khóa lưu lượng truy cập vào SSH.

  3. Đặt người dùng / mật khẩu tùy chỉnh cho SSH hoặc tham gia vào miền.

  4. Yêu cầu mỗi người dùng đăng nhập hoặc SSH vào phiên bản Linux được gán cho vai trò hoặc quyền truy cập của người dùng.

  5. Các khóa API và quyền truy cập hiện được kế thừa từ chính vai trò IAM - khiến cho nhu cầu lưu trữ khóa người dùng không liên quan. Chỉ cần đảm bảo khóa nhóm bảo mật, chỉ cấp quyền truy cập cho người dùng cụ thể trên hộp Linux. Người dùng sẽ có thể viết các tập lệnh bằng API AWS / sử dụng chức năng công cụ API như bình thường.

Chúng tôi đã sử dụng phương pháp này khoảng một năm nay - với các điều chỉnh bảo mật bổ sung, như thời gian truy cập thuê, đã mua vào AWS HSM và nó hoạt động rất tốt.

Hy vọng điều này sẽ giúp bạn hoặc người khác ngoài đó.


Ý kiến ​​hay, cảm ơn! Không nghĩ về điều đó. Không có lựa chọn nào cho chúng tôi vào lúc này do các chi phí liên quan, nhưng tôi sẽ ghi nhớ nó.
arnuschky
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.