Какой вариант использования шифрования значений хранилища параметров AWS?

Чтобы приложение могло считывать значения хранилища параметров, мне нужно дать ему разрешение на это, и если используются безопасные строковые значения, приложению / потребителю также необходим доступ к ключу KMS, которым они были зашифрованы.

Но какой смысл использовать безопасные строки, если я уже должен явно разрешить доступ к значению в первую очередь, если я позволю вам запросить параметр, я, конечно, также разрешу вам расшифровать его. Кроме того, значения фактически возвращаются расшифрованному запрашивающей стороне, если у них есть доступ к ключу KMS, и они запрашиваются "с расшифровкой", так что речь идет не о безопасности в полете.

Для справки:

https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html https://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html https://aws.amazon.com/blogs/mt/the-right-way-to-store-secrets-using-parameter-store/

1 ответ

Решение

Это тот же вариант использования для шифрования томов EBS. Это препятствует тому, чтобы сотрудники Amazon или кто-либо, кто украл оборудование или что-то подобное, не имели доступа к вашим конфиденциальным материалам.

Другие вопросы по тегам