Какой вариант использования шифрования значений хранилища параметров AWS?
Чтобы приложение могло считывать значения хранилища параметров, мне нужно дать ему разрешение на это, и если используются безопасные строковые значения, приложению / потребителю также необходим доступ к ключу KMS, которым они были зашифрованы.
Но какой смысл использовать безопасные строки, если я уже должен явно разрешить доступ к значению в первую очередь, если я позволю вам запросить параметр, я, конечно, также разрешу вам расшифровать его. Кроме того, значения фактически возвращаются расшифрованному запрашивающей стороне, если у них есть доступ к ключу KMS, и они запрашиваются "с расшифровкой", так что речь идет не о безопасности в полете.
Для справки:
https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html https://aws.amazon.com/blogs/mt/the-right-way-to-store-secrets-using-parameter-store/
1 ответ
Это тот же вариант использования для шифрования томов EBS. Это препятствует тому, чтобы сотрудники Amazon или кто-либо, кто украл оборудование или что-то подобное, не имели доступа к вашим конфиденциальным материалам.