我有一个错误的问题,我有一个应用程序,该应用程序的一个实用程序是在s3上传和下载文档。 我的问题是,存储s3访问密钥的最佳做法是什么。 我已经存储在config.ini文件中并从我的php脚本中调用它。 我也知道我可以把它放在linux上的〜/ .aws / credentials中。
但是我想把它放在服务器之外并从它们访问它,这样即使我的服务器被黑客攻击(是的,我的服务器已被一些中国人一次黑了)我也不应该害怕。
提议的想法:
1:我正在考虑创建一个密钥服务器(我想让它集中化,以便我可以在我的其他项目中使用它),并通过加密,ip阻塞,授权机制的http请求获取密钥。
2:使用适当的加密方法将其存储在某个数据库中。
请与您的想法一起提出建议。
答案 0 :(得分:1)
针对您的用例的最佳解决方案是使用AWS IAM角色。创建IAM角色以访问S3存储桶,并在创建实例时将该角色附加到EC2实例。这将消除S3访问密钥的使用,因此您不必担心密钥被泄露。
阅读本文了解更多详情
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html