我被要求提出一个解决方案,以确保AWS上的所有Windows服务器都具有使用SSM为管理团队创建的本地帐户。我们需要能够对此进行审核并确保可以轻松更改密码。我知道,我知道,我应该喜欢域名所做的事情,但无论出于什么原因这是不允许的!
使用powershell脚本创建文档很好但是将密码放入脚本是一个问题,这需要使用纯文本格式。
我以为我可以使用AWS KMS加密密码,并让SSM动态解密。问题是我不能让解密只能用于SSM而不能用于登录服务器的任何人。如果有人可以解密密码,那么也可以用纯文本:/
我希望这是有道理的!
任何想法或建议都会感激不尽。
由于
答案 0 :(得分:0)
对你来说可能为时已晚,但我唯一能想到的是将密码作为SSM参数并为ssm创建父lambda。您可以指定lambda仅通过策略访问KMS密钥。
这增加了一个额外的步骤(必须调用lambda来调用和SSM),但它允许你限制更高程度的访问。
我非常确定SSM参数足够安全以传输密码,但我建议在扣动扳机之前仔细检查它。
理想的解决方案是在实例上检测您是否来自SSM,但我认为这不可行。